Übersicht Zertifikatsnutzung

Wann werden welche Zertifikate benötigt?

mTLS

Bei mTLS authentifizieren sich Client und Server gegenseitig.

mTLS - Outbound (Client):

Benötigte Zertifikate:

  • Sender (Mandant) TLS-Zertifikat & Schlüssel
  • Empfänger (Partner) Aussteller Zertifikat

Folgende Services setzen mTLS Outbound ein:

  • AS4-Outbound-Sender
  • CSR-Service
  • Certificate-Manager

mTLS - Inbound (Server):

Benötigte Zertifikate:

  • Empfänger (Mandant) TLS-Zertifikat & Schlüssel
  • Sender (Partner) Aussteller Zertifikat

Der Service AS4-Inbound-Endpoint setzt mTLS Inbound ein.

Nachrichten-Signatur

Im Folgenden werden Signaturen für Geschäftsnachrichten und für Quittungen betrachtet. Im Outbound-Workflow wird eine Geschäftsnachricht verschickt und eine Quittung empfangen. Im Inbound-Workflow wird eine Geschäftsnachricht empfangen und eine Quittung verschickt.

Der Service AS4-Crypto-Operations signiert AS4 Nachrichten und prüft die Signatur.

Signieren einer Geschäftsnachricht (Outbound) / Quittung (Inbound):

Benötigte Zertifikate:

  • Mandant (Sender) SIGN-Zertifikat & Schlüssel

Signatur Verifikation einer Geschäftsnachricht (Inbound) / Quittung (Outbound):

Benötigte Zertifikate:

  • Partner (Sender) Aussteller Zertifikat

Anhang Verschlüsselung

Für die Verschlüsselung/Entschlüsselung wird ein sogenanntes shared-secret gebildet. Dieses entsteht aus der Kombination der Zertifikate von Sender & Empfänger.

Der Service AS4-Crypto-Operations ver- & entschlüsselt Anhänge von AS4 Nachrichten.

Anhang Verschlüsselung (shared-secret) - Outbound:

Benötigte Zertifikate:

  • Sender (Mandant) ENC-Zertifikat & Schlüssel
  • Empfänger (Partner) ENC-Zertifikat

Anhang Entschlüsselung (shared-secret) - Inbound:

Benötigte Zertifikate:

  • Empfänger (Mandant) ENC-Zertifikat & Schlüssel
  • Sender (Partner) ENC-Zertifikat

Zertifikats-Lebenszyklus

Alle Zertifikate werden im FSS bzw. über die FSS-UI verwaltet.

Mandanten-Zertifikate werden mit Hilfe des CSR-Service erstellt & erneuert. Der Service verbindet sich hierfür mit den Webservices der Sub-CAs.

Partner Zertifikate können automatisch über den Certificate-Manager geladen und erneuert werden. Dieser verbindet sich hierfür mit dem LDAP der Sub-CAs. Eine detailierte Übersicht der zugehörigen asynchronen Workflows findet sich in der internen Doku.

Aussteller-Zertifikate sind manuell über die FSS-UI zu pflegen.

Sperrlisten

Sperrlisten müssen regelmäßig heruntergeladen und im FSS hinterlegt werden. Nur so kann der Einsatz gesperrter Zertifikate verhindert werden.

Der Sperrlisten-Download kann z.B. automatisch über den Service CSR-Downloader durchgeführt werden. Dieser greift auf die durch die Sub-CAs veröffentlichten Sperrlisten zu.

Revisionierung

Zertifikatsbezogene Events können revisioniert werden.

View Me   Edit Me