Übersicht Zertifikatsnutzung

Für die Marktkommunikation via API Webservices sind eigene Zertifikate notwendig, die

Wann werden welche Zertifikate benötigt?

mTLS

Bei mTLS authentifizieren sich Client und Server gegenseitig.

mTLS - Outbound (Client):

Benötigte Zertifikate:

  • Sender (Mandant) TLS-Zertifikat & Schlüssel
  • Empfänger (Partner) Aussteller Zertifikat

Folgende Services setzen mTLS Outbound ein:

  • api-webservice-server
  • api-webservice-client
  • api-address-service (für Anfragen gegenüber API-Verzeichnisdiensten)
  • CSR-Service (für die Zertifikatserneuerung gegenüber der eigenen Sub-CA)
  • Certificate-Manager (für die LDAPS Abfrage der Partner-Zertifikate bei den Sub-CAs

mTLS - Inbound (Server):

Benötigte Zertifikate:

  • Empfänger (Mandant) TLS-Zertifikat & Schlüssel
  • Sender (Partner) Aussteller Zertifikate

Nachrichten-Signatur

Im Folgenden werden Signaturen für API-Anfragen betrachtet.

Der api-webservice-client signiert ausgehende API-Anfragen und der api-webservice-server prüft die Signatur empfangener API-Anfragen.

Signieren API-Anfrage (Outbound):

Benötigte Zertifikate:

  • Mandant (Sender) SIGN-Zertifikat & Schlüssel

Signatur Verifikation API-Anfrage (Inbound):

Benötigte Zertifikate:

  • Partner (Sender) Aussteller Zertifikat

Anhang Verschlüsselung

Neben der TLS Verschlüsselung ist keine zusätzliche Verschlüsselung vom BDEW vorgesehen.

Zertifikats-Lebenszyklus

Alle Zertifikate werden im FSS bzw. über die FSS-UI verwaltet.

Mandanten-Zertifikate werden mit Hilfe des CSR-Service erstellt & erneuert. Der Service verbindet sich hierfür mit den Webservices der Sub-CAs.

Partner Zertifikate können automatisch über den Certificate-Manager geladen und erneuert werden. Dieser verbindet sich hierfür mit dem LDAP der Sub-CAs.

Aussteller-Zertifikate sind manuell über die FSS-UI zu pflegen.

Sperrlisten

Sperrlisten müssen regelmäßig (mindestens 1x täglich) heruntergeladen und im FSS hinterlegt werden. Nur so kann der Einsatz gesperrter Zertifikate verhindert werden. Gelingt der Aufruf mindestens 3 Tage lang nicht, ist dem, Zertifikat gemäß BDEW Spezifikation zu misstrauen und darf nicht mehr verwendet werden.

Der Sperrlisten-Download kann z.B. automatisch über den Service CSR-Downloader durchgeführt werden. Dieser greift auf die durch die Sub-CAs veröffentlichten Sperrlisten zu.

View Me   Edit Me