C_11516_Anlage_V2.0.0
Prereleases:
Änderung in gemSpec_Kon
TIP1-A_4649-03 - TUC_KON_152 „Signaturvoraussetzungen für QES prüfen“
Der Konnektor MUSS den technischen Use Case TUC_KON_152 „Signaturvoraussetzungen für QES prüfen” umsetzen.
Element |
Beschreibung |
Name |
TUC_KON_152 „Signaturvoraussetzungen für QES prüfen“ |
Beschreibung |
Es werden die Voraussetzungen an die zu signierenden Dokumente und das Signaturzertifikat geprüft. Es werden die QES_DocFormate unterstützt. |
Auslöser |
TUC_KON_150 „Dokumente QES signieren“ |
Vorbedingungen |
keine |
Eingangsdaten |
|
Komponenten |
Konnektor, Kartenterminal, Signaturkarte |
Ausgangsdaten |
|
Standardablauf |
|
Varianten/Alternativen |
(->2,3) Es dürfen alternativ die vollständigen cached Zertifikatsprüfungsdaten ohne Aufruf von TUC_KON_216 und TUC_KON_037 verwendet werden. |
Fehlerfälle |
(->3) Für MGM_LU_ONLINE=Enabled gilt: Liefert die Zertifikatsprüfung (OCSP-Abfrage) die Warnung CERT_REVOKED oder CERT_UNKNOWN gemäß [gemSpec_PKI#Tab_PKI_274], dann wird der TUC mit Fehler 4123 abgebrochen. |
Nichtfunktionale Anforderungen |
keine |
Zugehörige Diagramme |
keine |
Fehlercode |
ErrorType |
Severity |
Fehlertext |
---|---|---|---|
Neben den Fehlercodes der aufgerufenen technischen Use Cases können keine weiteren Fehlercodes auftreten. |
[<=]
TIP1-A_4647-04 - TUC_KON 165 „Signaturvoraussetzungen für nonQES prüfen“
Der Konnektor MUSS den technischen Use Case „Signaturvoraussetzungen für nonQES prüfen” umsetzen.
Element |
Beschreibung |
Name |
TUC_KON_165 „Signaturvoraussetzungen für nonQES prüfen“ |
Beschreibung |
Es werden die Voraussetzungen an die zu signierenden Dokumente und das Signaturzertifikat geprüft. Es werden die nonQES_DocFormate unterstützt. |
Auslöser |
TUC_KON_160 „Dokumente nonQES signieren“ |
Vorbedingungen |
keine |
Eingangsdaten |
|
Komponenten |
Konnektor, Kartenterminal, Signaturkarte |
Ausgangsdaten |
|
Standardablauf |
|
Varianten/Alterna-tiven |
(->2,3) Es dürfen alternativ die vollständigen cached Zertifikatsprüfungsdaten ohne Aufruf von TUC_KON_216 und TUC_KON_037 verwendet werden. |
Fehlerfälle |
Keine |
Nichtfunktionale Anforderungen |
keine |
Zugehörige Diagramme |
keine |
Fehlercode |
ErrorType |
Severity |
Fehlertext |
---|---|---|---|
Neben den Fehlercodes der aufgerufenen technischen Use Cases können keine weiteren Fehlercodes auftreten. |
A_23536-01 - TUC_KON_159 - "Signaturdatenelemente nachbereiten"
Der Konnektor MUSS den technischen Use Case TUC_KON_159 "Signaturdatenelemente nachbereiten" umsetzen.
Element |
Beschreibung |
Name |
TUC_KON_159 „Signaturdatenelemente nachbereiten“ |
Beschreibung |
Es wird für das verwendete Signaturzertifikat die Statusauskunft eingeholt, überprüft und falls gefordert, in die vorab erstellte Signatur eingebettet. |
Auslöser |
TUC_KON_150 „Dokumente QES signieren“, TUC_KON_170 Dokumente mit Komfort signieren", TUC_KON_160 „Dokumente nonQES signieren“ |
Vorbedingungen |
keine |
Eingangsdaten |
•
signatureMode (Signaturart: QES | nonQES)
•
Signierte Dokumente / signiertes Dokument
•
signatureType
(URI für den Signaturtyp XML-, CMS-, S/MIME- oder PDF-Signatur)
•
Zertifikatsreferenz (zu verwendende Signatur-Identität)
•
includeRevocationInfo [Boolean] - optional; Default: true
(Dieser Parameter steuert die Einbettung von OCSP-Responses in die Signatur. true: Die Sperrinformationen werden in die Signatur eingebettet.) |
Komponenten |
Konnektor, Kartenterminal, Signaturkarte |
Ausgangsdaten |
•
Prüfergebnis für das Zertifikat
•
Signiertes Dokument/ Dokumente mit eingebetteter OCSP-Antwort
optional/nur wenn includeRevocationInfo = true |
Standardablauf |
1.
Das Signaturzertifikat wird durch Aufruf von TUC_KON_037 „Zertifikat prüfen“{
certificate = Zertifikatsreferenz; qualifiedCheck = if_QC_present; offlineAllowNoCheck = true; validationMode = OCSP; getOCSPResponses = includeRevocationInfo} geprüft. Eine OCSP-Auskunft muss eingeholt werden. Andere Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
2.
Falls includeRevocationInfo== true wird die OCSP-Antwort gemäß des signatureType in die Signatur für jedes Dokument eingebettet.
signatureType = XMLDSig (XAdES) Einbettung der OCSP-Response im Sinne vom AdES-X-L; die base-64 kodierte OCSP-Response wird im Feld QualifyingProperties/UnsignedProperties /UnsignedSignatureProperties/RevocationValues /OCSPValues/EncapsulatedOCSPValue (selbst DER-kodiert) gespeichert. signatureType = CMS (CAdES) Ist die Einbettung von OCSP-Responses gefordert, wird die für die Offline-Prüfung notwendige OCSP-Antwort des EE-Zertifikats im Attribut SignedData.crls.other abgelegt. signatureType = PDF/A (PAdES) OCSP-Responses werden bei PAdES nicht eingebettet. |
Varianten/Alternativen |
keine |
Fehlerfälle |
(->1) Für MGM_LU_ONLINE=Enabled gilt: Liefert die Zertifikatsprüfung (OCSP-Abfrage) die Warnung CERT_REVOKED oder CERT_UNKNOWN gemäß [gemSpec_PKI#Tab_PKI_274], dann wird der TUC mit Fehler 4123 abgebrochen. |
Nichtfunktionale Anforderungen |
keine |
Zugehörige Diagramme |
keine |
Fehlercode |
ErrorType |
Severity |
Fehlertext |
---|---|---|---|
Neben den Fehlercodes der aufgerufenen technischen Use Cases können folgende weitere Fehlercodes auftreten: |
|||
4123 |
Security |
Error |
Fehler bei Signaturerstellung |
[<=]
TIP1-A_4696-04 - TUC_KON_037 „Zertifikat prüfen“
Der Konnektor MUSS den technischen Use Case „Zertifikat prüfen“ gemäß TUC_KON_037 „Zertifikat prüfen“ umsetzen.
Element |
Beschreibung |
---|---|
Name |
TUC_KON_037 „Zertifikat prüfen“ |
Beschreibung |
Der TUC beschreibt
|
Auslöser |
|
Vorbedingungen |
|
Eingangsdaten |
|
Komponenten |
Konnektor |
Ausgangsdaten |
|
Standardablauf |
Als Timeout wird beim Aufruf von TUC_PKI_018 der Wert von CERT_OCSP_TIMEOUT_NONQES bzw. beim Aufruf von TUC_PKI_030 der Wert von CERT_OCSP_TIMEOUT_QES übergeben (siehe auch Eingangsdaten von diesen TUCs in [gemSpec_PKI]).
Für die QES-Zertifikatsprüfung wird das zu prüfende QES-Zertifikat an TUC_PKI_030 „QES-Zertifikatsprüfung“ übergeben.
Wird im Aufruf der Eingangsparameter getOCSPResponses = false mit übergeben, wird keine OCSP-Response an den Aufrufer zurückgegeben.
Wird von TUC_PKI_030 mit dem Result "Valid" die Warnung "PROVIDED_OCSP_RESPONSE_NOT_VALID" zurückgemeldet, so wird die von TUC_PKI_030 zurückgemeldete OCSP-Response unabhängig von getOCSPResponses an den Aufrufer zurückgemeldet.
Als TOLERATE_OCSP_FAILURE wird beim Aufruf von TUC_PKI_018 offlineAllowNoCheck verwendet.
Wenn der Eingangsparameter validationMode („Prüfmodus“) den Wert NONE hat, werden die TUC_PKI_018-Eingangsparameter
2. Falls EECertificateContainedInTSL=true
3. Die Parameter CARD.CERTSTATUS und CARD.CERTOCSPRESPONSE werden befüllt.
34. Der Status der Prüfung und die ermittelten Ausgangsdaten werden zurückgegeben. |
Varianten/ Alternativen |
|
Fehlerfälle |
TUC_KON_037 im kritischen Betriebszustand EC_TSL_Out_Of_Date_Beyond_Grace_Period aufgerufen: Fehlercode 4002. -> 2a) certificate ist nicht in der TSL enthalten |
Nichtfunktionale Anforderungen |
Der Konnektor MUSS unter Einhaltung aller anderen Anforderungen an die Zertifikatsprüfung die Anzahl der OCSP-Abfragen minimieren. Dies MUSS durch Caching (unter Berücksichtigung der Grace Period) und DARF NICHT durch Bündelung von OCSP-Anfragen geschehen. |
Zugehörige Diagramme |
keine |
Fehlercode |
ErrorType |
Severity |
Fehlertext |
---|---|---|---|
Neben den Fehlercodes der aufgerufenen technischen Use Cases treten folgende Fehlercodes auf. |
|||
4002 |
Security |
Fatal |
Der Konnektor befindet sich in einem kritischen Betriebszustand |
4260 | Security | Error | Zertifikat nicht vorhanden in TSL |
TIP1-A_4689-01 - Caching von OCSP-Antworten
Der Zertifikatsdienst MUSS die beim Signieren und Entschlüsseln erhaltene OCSP-Antworten für eine durch CERT_OCSP_DEFAULT_GRACE_PERIOD_NONQES angegebene Anzahl an Minuten (nonQES-Zertifikate) Zeit zwischenspeichern.
[<=]
TIP1-A_4690-01 - Timeout und Graceperiod für OCSP-Anfragen
Bei Ausführung von TUC_PKI_006 „OCSP-Abfrage“ [gemSpec_PKI#8.3.2.2] MÜSSEN folgende Parameter verwendet werden:
- OCSP-Graceperiod =
- Timeout-Parameter =
TIP1-A_4579-02 - TUC_KON_018 „eGK-Sperrung prüfen“
Der Konnektor MUSS den technischen Use Case „eGK-Sperrung prüfen“ gemäß TUC_KON_018 umsetzen.
Element |
Beschreibung |
Name |
TUC_KON_018 „eGK-Sperrung prüfen“ |
Beschreibung |
Es wird geprüft, dass DF.HCA (Health Care Application) der eGK nicht gesperrt ist und optional, dass das AUT-Zertifikat im DF.ESIGN gültig ist. Für eine Karte ab der Generation G2.1 wird das AUT-Zertifikat (ECC) geprüft. Für eine Karte der Generation G2.0 wird das AUT-Zertifikat (RSA) geprüft. |
Auslöser |
Aufruf durch Fachmodul im Konnektor |
Vorbedingungen |
keine |
Eingangsdaten |
|
Komponenten |
Konnektor, Kartenterminal, eGK |
Ausgangsdaten |
|
Standardablauf |
|
Varianten/ Alternativen |
keine |
Fehlerfälle |
(2) Karte ist fremd reserviert, Fehlercode 4093 |
Nichtfunktionale Anforderungen |
keine |
Zugehörige Diagramme |
keine |
Fehlercode |
ErrorType |
Severity |
Fehlertext |
---|---|---|---|
Neben den Fehlercodes der aufgerufenen technischen Use Cases können folgende weitere Fehlercodes auftreten: |
|||
4093 |
Technical |
Error |
Karte wird in einer anderen Kartensitzung exklusiv verwendet |
[<=]
TIP1-A_4702-05 - Konfigurierbarkeit des Zertifikatsdienstes
Der Administrator MUSS die in TAB_KON_606 aufgelisteten Parameter über die Managementschnittstelle konfigurieren und die in TAB_KON_733 aufgelisteten Parameter ausschließlich einsehen können.
ReferenzID |
Belegung |
Bedeutung |
---|---|---|
CERT_TSL_DEFAULT_ GRACE_PERIOD_DAYS |
X Tage |
Default Grace Period TSL in Tagen Gibt an, wie viele Tage der Konnektor mit einer zeitlich abgelaufenen TSL weiter betrieben werden kann. Der Wert MUSS zwischen 1 und 30 Tagen liegen. Default-Wert = 30 Tage Hinweis: Vor dem zeitlichen Ablauf einer TSL wird mit ausreichendem Vorlauf eine neue TSL verteilt. Sollte die TSL dennoch ablaufen und der Konfigurationswert überschritten werden, kann eine neue TSL immer noch lokal geladen werden (TIP1-A_4705 „TSL manuell importieren“). |
CERT_OCSP_DEFAULT_GRACE_PERIOD_NONQES |
X Stunden |
Default Grace Period OCSP für nonQES in Stunden. Der Wert MUSS zwischen 0 und 24 Stunden liegen. Default-Wert = 24 Stunden |
CERT_OCSP_TIMEOUT_ NONQES |
X Sekunden |
Timeout für OCSP-Abfragen bei der Prüfung von nonQES-Zertifikaten. Der Wert MUSS zwischen 1 und 120 Sekunden liegen. Default-Wert = 10 Sekunden |
CERT_OCSP_TIMEOUT_ QES |
X Sekunden |
Timeout für OCSP-Abfragen bei der Prüfung von QES-Zertifikaten. Der Wert muss zwischen 1 und 120 Sekunden liegen. Default-Wert = 10 Sekunden |
CERT_EXPIRATION_ WARN_DAYS |
X Tag(e) |
Warnung X Tage vor Ablauf von Zertifikaten im Managementinterface und per Ereignis. Der Wert muss zwischen 0 und 180 Tagen (0=keine Warnung) liegen. Default-Wert = 90 Tage |
CERT_EXPIRATION_ CARD_CHECK_DAYS |
X Tag(e) |
Alle X Tage wird der Ablauf aller gesteckten Karten überprüft. Der Wert muss zwischen 0 und 365 liegen (0=kein Check). Default-Wert = 1 Tag |
CERT_IMPORTED_ CA_LIST |
Liste von manuell importierten CA-Zertifikaten |
Der Administrator MUSS CA-Zertifikate importieren, anzeigen und löschen können. Der Konnektor DARF CA-Zertifikate zur Ableitung von QES-Zertifikaten NICHT importieren. Default-Wert = leere Liste |
CERT_BNETZA_VL_ UPDATE_INTERVAL |
X Stunden |
Intervall, in dem die BNetzA VL auf Aktualität geprüft werden muss. Der Wert MUSS zwischen 1 Stunde und 168 Stunden (7 Tage) liegen. Default-Wert = 24 Stunden |
CERT_TSL_DOWNLOAD_ADDRESS_INTERNET_BU | 1 URI | Konfigurierbare Backup Adresse der TSL im Internet |
CERT_TSL_IP_ADDRESS_INTERNET_BU | 1 URI |
Konfigurierbare Backup Adresse der TSL im Internet (enthält IP-Adresse des Hosts statt FQDN). Wird verwendet, falls Auflösen der FQDN mittels DNS bei CERT_TSL_DOWNLOAD_ADDRESS_INTERNET_BU fehlschlägt. |
ReferenzID |
Belegung |
Bedeutung |
---|---|---|
CERT_CRL_DOWNLOAD_ADDRESS |
2 URIs |
Download-Adressen für die CRL |
CERT_OCSP_FORWARDER_ADDRESS |
2 FQDNs |
Adressen der OCSP-Forwarder (HTTPS-Proxy) beim Zugangsdienstprovider Der Administrator muss in geeigneter Weise einen Test auslösen können, ob einer der Server per ICMP-Echo (ping) erreichbar ist und ob ein (beliebiger) OCSP-Request zu einer erhaltenen OCSP-Antwort führt. |
CERT_OCSP_FORWARDER_PORT |
TCP-Port |
TCP-Port des OCSP-Forwarders (HTTPS-Proxy) beim Zugangsdienstprovider |
CERT_TSL_DOWNLOAD_ADDRESS_INTERNET | 1 URI | Adresse der TSL im Internet gemäß gemSpec_TSL |
CERT_TSL_IP_ADDRESS_INTERNET | 1 URI |
Adresse der TSL im Internet gemäß gemSpec_TSL (enthält IP-Adresse des Hosts statt FQDN). Wird verwendet, falls Auflösen der FQDN mittels DNS bei CERT_TSL_DOWNLOAD_ADDRESS_INTERNET fehlschlägt. |
[<=]
TIP1-A_4676-10 - Basisdienst Signaturdienst (nonQES und QES)
Der Konnektor MUSS Clientsystemen den Basisdienst Signaturdienst (nonQES und QES) anbieten.
Name |
SignatureService |
|
---|---|---|
Version (KDV) |
7.4.0 (WSDL-Version), 7.4.2 (XSD-Version) 7.4.2 (WSDL-Version), 7.4.4 (XSD-Version) 7.5.5 (WSDL- und XSD-Version) 7.4.3 (WSDL-Version), 7.4.5 (XSD-Version) 7.5.6 (WSDL- und XSD-Version) |
|
Namensraum |
Siehe GitHub |
|
Namensraum-Kürzel |
SIG für Schema und SIGW für WSDL |
|
Operationen |
Name |
Kurzbeschreibung |
SignDocument |
Dokument signieren |
|
VerifyDocument |
Signatur verifizieren |
|
StopSignature |
Signieren eines Dokumentenstapels abbrechen |
|
GetJobNumber |
Liefert eine Jobnummer für den nächsten Signiervorgang |
|
ActivateComfortSignature | Aktiviert die Komfortsignatur für einen HBA | |
DeactivateComfortSignature | Deaktiviert die Komfortsignatur für einen oder mehrere HBA | |
GetSignatureMode | Liefert den Status der Komfortsignaturfunktion und Informationen zur Komfortsignatursession eines HBA | |
WSDL |
SignatureService_V7_5_6.wsdl SignatureService_V7_4_3.wsdl SignatureService_V7_5_5.wsdl SignatureService_V7_4_2.wsdl SignatureService.wsdl (WSDL-Version 7.4.0) |
|
Schema |
SignatureService_V7_5_6.xsd SignatureService_V7_4_5.xsd SignatureService_V7_5_5.xsd SignatureService_V7_4_4.xsd SignatureService.xsd (XSD-Version 7.4.2) |
(...)
CARD. CERTSTATUS |
Valid Invalid Inconclusive NotAvailable |
Prüfungsergebnis aus TUC_KON_037 für
|
CARD. CERTOCSPRESPONSE |
Good Revoked Unknown NotAvailable |
OCSP-Response (TUC_KON_037) für
|
(...)
(...)
CERT /CARD /STATUS |
Op | Warning | - | x | CARD_TYPE=$Type; ICCSN=$ICCSN; CARD_HANDLE=$CardHandle;CardHolderName=$CardHolderName; ZertName=<Name des Zertifikatsobjekts>; ExpirationDate=$validity“ CARD_CERTSTATUS= $CARD.CERTSTATUS|NotAvailable |
(...)
Änderungen an den Schema-Files
Signaturdienst Version |
Änderung zu Vorversion(en) |
Zu unterstützen |
eIDAS-konform |
abkündigen |
Bemerkung |
7.5.6 SignatureService_V7_5_6.wsdl SignatureService_V7_5_6.xsd |
Einbetten von OCSP-Antworten bei nonQES Bug Fix eIDAS-Konformität |
x |
x |
- |
|
7.5.5 |
Komfortsignatur, Bug Fixes, Härtung |
- |
- |
x |
|
7.4.3 SignatureService_V7_4_3.wsdl SignatureService_V7_4_5.xsd |
Bug Fix eIDAS-Konformität |
x |
x |
- |
Benötigt für NFDM |
7.4.2 |
ECC-Migration |
- |
- |
x |
|
7.4.0 |
Signaturproxy statt xTV |
- |
- |
x |
|