AS4 Certification Creation Documentation

Domainsicht

Domain View

Systemcontext

Systemcontext

Konfiguration der HSM Verbindung

Die Verbindung zum HSM wird über Slots aufgebaut. Die Slots sind Passwort geschützt. Jedem Slot wird einem Client zugeordnet und ein Client kann mehrere Tenants enthalten.

Initial müssen wir dazu einen Client erzeugen, die HSM Verbindung einrichten und anschließend einen Slot erstellen.

create client create hsm
alt alt
client entry on db hsm entry on db
alt alt
create slot slot entry on db
alt alt

Erstellen des Schlüssel Paares

Zum Erstellen des Schlüsselpaares senden wir einen Post Request an den CSR Service. Dazu nennen wir den Clientnamen und den Alias. Zu beachten ist hierbei bei, dass der Alias entweder mit ENC, SIGN, oder TLS endet. Für alle drei Verwendungszwecke muss ein Schlüsselpaar erstellt werden. Der Alias sollte aus der ILN plus der jeweiligen Endung bestehen.

alt

Anschließend wird der öffentliche Schlüssel, mit dem Alias und dem ClientName an den Endpoint zur Zertifikatserstellung im CSR Service übergeben.

alt

Upload des Zertifikats

Über CSR Service

Der CSR Service ermöglicht den Upload eines Zertifikats, um dieses im FSS zu persistieren. Dabei ist zu beachten, dass sich das erstellte Zertifikat im Docker Container befindet und es von dort aus upgeloadet wird.

alt

In diesem Beispiel müssen auch die beiden Root Zertifikate upgeloadet werden, da sie beim Neustart des Docker Containers sons verloren gehen würden.

alt

Über FSS Service

Beim direkten upload über das FSS lässt sich eine Datei mitgeben. Dieser Endpoint wird empfohlen, wenn es um beispielsweise um den upload des Partner Zertifikates geht. Für Ausstellerzertifikate muss für purposes ‘ENC,SIGN,TLS’ angegeben werden.

alt

Dafür lassen sich die Zertifikate aus dem Docker Container exportieren.

alt

Die 07b entspricht den ersten drei Zeichen der Container ID.

Validierung des Zertifikates

Mit dem Aufruf wird das Zertifikat validiert.

alt

Bei Erfolg wird das Ergebnis persistiert.

alt

Am Ende muss dann das validierte Zertifikat hinzugefügt werden.

| alt | HINWEIS: Hsmalias muss nur für Zertifikate, die zum Mandanten gehören (für die es einen entsprechenden privaten Schlüssel des Mandanten gibt), angegeben werden. Der hsmalias ist in der Regel die aliasID-certPurpose z.B. 9903111000004-SIGN.

Allerdings muss dafür die Timestamp des Gültigkeitsbereichs für slicefrom und sliceto in Milliskunden angegeben werden.

alt

Letztendlich lässt sich das Ergebnis auch in der Datenbank einsehen.

alt

Zugriff auf das HSM

Mit dem KeyCat.jar lässt sich auf den privaten Schlüssel des HSM Simulator zugreifen. Siehe unter HSM Simulator Integration.

alt
alt
alt
View Me   Edit Me