Domainsicht
Systemcontext
Konfiguration der HSM Verbindung
Die Verbindung zum HSM wird über Slots aufgebaut. Die Slots sind Passwort geschützt. Jedem Slot wird einem Client zugeordnet und ein Client kann mehrere Tenants enthalten.
Initial müssen wir dazu einen Client erzeugen, die HSM Verbindung einrichten und anschließend einen Slot erstellen.
| create client | create hsm |
|---|---|
 |
 |
| client entry on db | hsm entry on db |
|---|---|
 |
 |
| create slot | slot entry on db |
|---|---|
 |
 |
Erstellen des Schlüssel Paares
Zum Erstellen des Schlüsselpaares senden wir einen Post Request an den CSR Service. Dazu nennen wir den Clientnamen und den Alias. Zu beachten ist hierbei bei, dass der Alias entweder mit ENC, SIGN, oder TLS endet. Für alle drei Verwendungszwecke muss ein Schlüsselpaar erstellt werden. Der Alias sollte aus der ILN plus der jeweiligen Endung bestehen.
 |
Anschließend wird der öffentliche Schlüssel, mit dem Alias und dem ClientName an den Endpoint zur Zertifikatserstellung im CSR Service übergeben.
 |
Upload des Zertifikats
Über CSR Service
Der CSR Service ermöglicht den Upload eines Zertifikats, um dieses im FSS zu persistieren. Dabei ist zu beachten, dass sich das erstellte Zertifikat im Docker Container befindet und es von dort aus upgeloadet wird.
 |
In diesem Beispiel müssen auch die beiden Root Zertifikate upgeloadet werden, da sie beim Neustart des Docker Containers sons verloren gehen würden.
 |
Über FSS Service
Beim direkten upload über das FSS lässt sich eine Datei mitgeben. Dieser Endpoint wird empfohlen, wenn es um beispielsweise um den upload des Partner Zertifikates geht. Für Ausstellerzertifikate muss für purposes ‘ENC,SIGN,TLS’ angegeben werden.
 |
Dafür lassen sich die Zertifikate aus dem Docker Container exportieren.
 |
Die 07b entspricht den ersten drei Zeichen der Container ID.
Validierung des Zertifikates
Mit dem Aufruf wird das Zertifikat validiert.
 |
Bei Erfolg wird das Ergebnis persistiert.
 |
Am Ende muss dann das validierte Zertifikat hinzugefügt werden.
| 
|
HINWEIS: Hsmalias muss nur für Zertifikate, die zum Mandanten gehören (für die es einen entsprechenden privaten Schlüssel des Mandanten gibt), angegeben werden. Der hsmalias ist in der Regel die aliasID-certPurpose z.B. 9903111000004-SIGN.
Allerdings muss dafür die Timestamp des Gültigkeitsbereichs für slicefrom und sliceto in Milliskunden angegeben werden.
 |
Letztendlich lässt sich das Ergebnis auch in der Datenbank einsehen.
 |
Zugriff auf das HSM
Mit dem KeyCat.jar lässt sich auf den privaten Schlüssel des HSM Simulator zugreifen. Siehe unter HSM Simulator Integration.
 |
 |
 |