C_11963_Anlage_V1.0.0
Prereleases:
C_11963_Anlage
Inhaltsverzeichnis
1 Änderungsbeschreibung
Zur Verifikation von betrieblichen Changes der arvato Systems an PKI-Produkten (v.a. am PMS - PKI Management System) wird ein X.509-Zertifikatsprofil erstellt, das keine funktionalen Berechtigungen besitzt. Dieses dient der Verifikation der jeweiligen betrieblichen Changes, indem durch definierte durchgeführte Basis-Usecases mit diesen Zertifikaten nachgewiesen wird, dass sie keinen negativen Einfluss haben.
Es soll damit verifiziert werden können, dass auch nach Umsetzung des jeweiligen Changes weiterhin Zertifikate beantragt, ausgegeben und gesperrt werden können.
2 Änderung in gemSpec_PKI
Es wird im Kapitel 5.8 (ZD - Zentrale Dienste) ein neues Unterkapitel für zur Einordnung des neuen Profils angelegt.
2.1 Neues Kapitel 5.8.3.3 C.GEM.VER - Profil zur Verifikation von PKI-Changes im AZPD-Umfeld
A_26829 - Umsetzung Zertifikatsprofil C.GEM.VER
Der TSP-X.509 nonQES MUSS C.GEM.VER gemäß Tab_PKI_298 umsetzen.
Tabelle 1: Tab_PKI_298 C.GEM.VER Profil zur Verifikation von PKI-Changes im AZPD-Umfeld
| Element |
Inhalt |
Kar. |
||||
|---|---|---|---|---|---|---|
| certificate |
C.GEM.VER |
|||||
| tbsCertificate |
||||||
| version |
2 (v3) |
|||||
| serialNumber |
gemäß [RFC5280#4.1.2.2.] |
|||||
| signature |
zur Signatur des Zertifikats verwendeter Algorithmus gemäß [gemSpec_Krypt#GS-A_4359-*] |
|||||
| issuer |
DN der ausstellenden CA |
|||||
| validity |
Gültigkeit des Zertifikats (von – bis) |
|||||
| subject |
||||||
| commonName |
Verifikation von PKI-Changes | 1 |
||||
| serialNumber |
bei Bedarf zur Unterscheidung gleichartiger Instanzen |
0-1 |
||||
| organizationName |
Name des verantwortlichen Anbieters |
1 |
||||
| countryName |
Land der Anschrift des verantwortlichen Anbieters |
1 |
||||
| andere Attribute |
0 |
|||||
| subjectPublicKeyInfo |
Algorithmus gemäß [gemSpec_Krypt#GS-A_4359-*] und individueller Wert des öffentlichen Schlüssels des Zertifikatsinhabers |
|||||
| extensions |
critical |
|||||
| SubjectKeyIdentifier {2 5 29 14} |
keyIdentifier = ID des öffentlichen Schlüssels des Zentralen Dienstes |
1 |
FALSE |
|||
| KeyUsage {2 5 29 15} |
0 | TRUE |
||||
| SubjectAltNames {2 5 29 17} |
0 |
FALSE |
||||
| BasicConstraints {2 5 29 19} |
ca = FALSE |
1 |
TRUE |
|||
| CertificatePolicies {2 5 29 32} |
policyIdentifier = <oid_policy_gem_or_cp> policyQualifierInfo = http://www.gematik.de/go/policies (URL zur Publikation der Zertifikatsrichtlinie) policyIdentifier = <oid_gem_ver> |
1 0-1 1 |
FALSE |
|||
| CRLDistributionPoints {2 5 29 31} |
keine Festlegung |
0-1 |
FALSE |
|||
| AuthorityInfoAccess {1 3 6 1 5 5 7 1 1} |
URL für OCSP-Statusdienst |
1 |
FALSE |
|||
| AuthorityKeyIdentifier {2 5 29 35} |
keyIdentifier = ID des öffentlichen Schlüssels der ausstellenden CA |
1 |
FALSE |
|||
| Admission {1 3 36 8 3 3} |
0 | FALSE |
||||
| ExtendedKeyUsage {2 5 29 37} |
0 |
FALSE |
||||
| andere Erweiterungen |
0 |
|||||
| signatureAlgorithm |
zur Signatur des Zertifikats verwendeter Algorithmus gemäß [gemSpec_Krypt#GS-A_4359-*] |
|||||
| signature |
Wert der Signatur |
|||||
3 Änderung in gemSpec_OID
Änderung in Kap. 3.5.3 OID-Vergabe für den Zertifikatstyp
Die folgende Afo wird angepasst:
GS-A_4445-09 - OID-Festlegung für Zertifikatstypen
Ein TSP-X.509 MUSS die Zertifikatstypen für die Nutzung in X.509-Zertifikaten der TI mit OIDs entsprechend der Tabelle Tab_PKI_405-* referenzieren.
Tabelle 2: Tab_PKI_405-* OID-Festlegung Zertifikatstyp in X.509-Zertifikaten
| OID-Referenz in anderen Dokumenten |
Name des Zertifikatstyp |
Zertifikatstyp-OID |
Spezifiziert in |
|---|---|---|---|
| oid_egk_qes |
C.CH.QES |
1.2.276.0.76.4.66 |
[gemSpec_PKI] |
| oid_egk_sig |
C.CH.SIG |
1.2.276.0.76.4.67 |
[gemSpec_PKI] |
| oid_egk_enc |
C.CH.ENC |
1.2.276.0.76.4.68 |
[gemSpec_PKI] |
| oid_egk_encv |
C.CH.ENCV |
1.2.276.0.76.4.69 |
[gemSpec_PKI] |
| oid_egk_aut |
C.CH.AUT |
1.2.276.0.76.4.70 |
[gemSpec_PKI] |
| oid_egk_autn |
C.CH.AUTN |
1.2.276.0.76.4.71 |
[gemSpec_PKI] |
| oid_egk_enc_alt |
C.CH.ENC_ALT |
1.2.276.0.76.4.211 |
derzeit nicht verwendet |
| oid_egk_aut_alt |
C.CH.AUT_ALT |
1.2.276.0.76.4.212 |
[gemSpec_PKI] |
| oid_hba_qes |
C.HP.QES |
1.2.276.0.76.4.72 |
[CertsBÄK#1] |
| oid_hba_sig |
C.HP.SIG |
1.2.276.0.76.4.73 |
nur zu Testzwecken |
| oid_hba_enc |
C.HP.ENC |
1.2.276.0.76.4.74 |
[CertsBÄK#1] |
| oid_hba_aut |
C.HP.AUT |
1.2.276.0.76.4.75 |
[CertsBÄK#1] |
| oid_smc_b_enc |
C.HCI.ENC |
1.2.276.0.76.4.76 |
[gemSpec_PKI] |
| oid_smc_b_aut |
C.HCI.AUT |
1.2.276.0.76.4.77 |
[gemSpec_PKI] |
| oid_smc_b_osig |
C.HCI.OSIG |
1.2.276.0.76.4.78 |
[gemSpec_PKI] |
| oid_ak_aut |
C.AK.AUT |
1.2.276.0.76.4.79 |
[gemSpec_PKI] |
| oid_nk_vpn |
C.NK.VPN |
1.2.276.0.76.4.80 |
[gemSpec_PKI] |
| oid_vpnk_vpn |
C.VPNK.VPN |
1.2.276.0.76.4.81 |
[gemSpec_PKI] |
| oid_smkt_aut |
C.SMKT.AUT |
1.2.276.0.76.4.82 |
[gemSpec_PKI] |
| oid_sak_aut |
C.SAK.AUT |
1.2.276.0.76.4.113 |
[gemSpec_PKI] |
| oid_cm_tls_c |
C.CM.TLS-CS |
1.2.276.0.76.4.175 |
[gemSpec_PKI] |
| oid_fd_tls_c |
C.FD.TLS-C |
1.2.276.0.76.4.168 |
[gemSpec_PKI] |
| oid_fd_tls_s |
C.FD.TLS-S |
1.2.276.0.76.4.169 |
[gemSpec_PKI] |
| oid_fd_aut |
C.FD.AUT |
1.2.276.0.76.4.155 |
[gemSpec_PKI] |
| oid_zd_tls_c |
C.ZD.TLS-C |
1.2.276.0.76.4.156 |
derzeit nicht verwendet |
| oid_zd_tls_s |
C.ZD.TLS-S |
1.2.276.0.76.4.157 |
[gemSpec_PKI] |
| oid_zd_aut |
C.ZD.AUT |
1.2.276.0.76.4.158 |
derzeit nicht verwendet |
| oid_vpnk_vpn_sis |
C.VPNK.VPN-SIS |
1.2.276.0.76.4.165 |
[gemSpec_PKI] |
| oid_fd_sig |
C.FD.SIG |
1.2.276.0.76.4.203 |
[gemSpec_PKI] |
| oid_fd_enc |
C.FD.ENC |
1.2.276.0.76.4.202 |
[gemSpec_PKI] |
| oid_whk_hsm_aut |
C.WHK-HSM.AUT |
1.2.276.0.76.4.213 |
derzeit nicht verwendet |
| oid_sgd_hsm_aut |
C.SGD-HSM.AUT |
1.2.276.0.76.4.214 |
[gemSpec_PKI] |
| oid_vk_pt_enc | C.HP.ENC | 1.2.276.0.76.4.62 | [BÄK_ePA] |
| oid_vk_eaa_enc | C.HP.ENC | 1.3.6.1.4.1.24796.1.10 | [BÄK_eAA] |
| oid_fd_osig | C.FD.OSIG | 1.2.276.0.76.4.283 | [gemSpec_PKI] |
| oid_zd_sig | C.ZD.SIG | 1.2.276.0.76.4.287 | [gemSpec_PKI] |
| oid_hsk_sig | C.HSK.SIG | 1.2.276.0.76.4.300 | [gemSpec_PKI] |
| oid_hsk_enc | C.HSK.ENC | 1.2.276.0.76.4.301 | [gemSpec_PKI] |
| oid_gem_ver | C.GEM.VER | 1.2.276.0.76.4.xxx | [gemSpec_PKI] |
4 Änderungen in Steckbriefen
4.1 Änderungen in gemProdT_TSP_nonQES_Komp_PTV
Anmerkung: Die Anforderungen der folgenden Tabelle stellen einen Auszug dar und verteilen sich innerhalb der Tabelle des Originaldokuments [gemProdT_TSP_nonQES_Komp]. Alle Anforderungen der Tabelle des Originaldokuments, die in der folgenden Tabelle nicht ausgewiesen sind, bleiben unverändert bestehenden.
Tabelle 3: Anforderungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"
| Afo-ID |
Afo-Bezeichnung |
Quelle (Referenz) |
|---|---|---|
| A_26829 |
Umsetzung Zertifikatsprofil C.GEM.VER |
gemSpec_PKI |