Verwendung von Cookies

Sofern Sie uns Ihre Einwilligung erteilen, verwenden wir Cookies zur Nutzung unseres Webanalyse-Tools Matomo Analytics. Durch einen Klick auf den Button „Webanalyse akzeptieren“ erteilen Sie uns Ihre Einwilligung dahingehend, dass wir zu Analysezwecken Cookies (kleine Textdateien mit einer Gültigkeitsdauer von maximal zwei Jahren) setzen und die sich ergebenden Daten verarbeiten dürfen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft in unserer Datenschutzerklärung widerrufen. Hier finden Sie auch weitere Informationen.

Bayern-PKI 2.0 Newsletter 7

Sehr geehrte Damen und Herren,

der heutige Newsletter informiert Sie über die veränderte Planung für die Infrastruktur-PKI (IPKI) im Rahmen des Plan B.

Folgende Themen sind der Inhalt des Newsletters:

  • Die IPKI der Bayern-PKI 2.0 (Plan B)
  • Für wen wird die IPKI angeboten?
  • Welche Funktionalität wird mit der IPKI im Plan B geboten?
  • Welche Vorteile werden realisiert?

Die IPKI der Bayern-PKI 2.0 (Plan B)- Zertifikate für Assets

Die wesentlichen Grundfunktionalitäten der bisher geplanten Bayern-PKI 2.0 werden umgesetzt als Bestandteil im Release 1 der neuen BPKI 2.0 (Plan B).

Funktionsweise IPKI Plan B

Die Infrastruktur PKI stellt Zertifikate für Assets (Infrastruktur Komponenten) aus. Dies sind beispielsweise Clients und Server, Arbeitsplatzrechner, Domänencontroller, Radius Server, Router, SharePoint Server und Exchange Server. Zertifikatsrelevante Attribute werden in der IPKI verwaltet.

Es handelt sich um private trusted Zertifkate.

Es wird zunächst kein dediziertes IdM/IAM geben. 

  • Ein Teil der Zertifikate (siehe Abschnitt zur Funktionalität) benötigt dennoch eine Software zur Verwaltung der Assets und derer Zertifikate (beispielsweise zur Sperrung).
  • Daher wird die Verwaltung der Assets, also eine Art Nutzerverwaltung, im Nexus Smart ID Identity Manager (inkl. Self-Service-Funktion) stattfinden.
  • Dafür bekommt ein Asset-Verantwortlicher eine Kennung.
  • Eine manuelle Zertifikatsbeantragung über diese Oberfläche, die ähnlich ist zu Nexus Prime, wird weiterhin möglich sein.

Das IT-DLZ bleibt die oberste Zertifizierungsstelle der dreistufigen Hierarchie, die Wurzelzertifizierungsstelle (Root-Certification Authority oder Root-CA) stellt Zertifikate auch für untergeordnete Zertifizierungsstellen (Sub-CAs) im Eigenbetrieb unserer Kunden aus.

Für wen wird die IPKI angeboten?

Der Dienst steht - wie bereits angekündigt - ausschließlich innerhalb des Behördennetzes zur Verfügung. 
Die IPKI-Zertifikate können kostenfrei in Anspruch genommen werden von allen Mitarbeitern

  • der bayerischen Staatsverwaltung
  • der kommunalen Gebietskörperschaften wie etwa Gemeinden, Landkreise inkl. Landratsämter und Bezirken
  • von Verwaltungsgemeinschaften
  • sowie der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB).

Gegebenenfalls können Lizenzkosten anfallen für Software, die die Zertifikate verwendet.

Welche Funktionalität wird mit der IPKI im Plan B geboten?

Für die IPKI werden die folgenden unterschiedliche Protokolle für die Verteilung der Zertifikate angeboten:

Manuelle Zertifikatsverteilung

Hierfür wird das Zertifikatsverwaltungssystem Nexus Smart ID Identity Manager zur Beantragung, Verwaltung und Sperrung zum Einsatz kommen.

Gültigkeitsdauer der Zertifikate: ein Jahr

Automatische Zertifikatsverteilung (Auto-enrollment) mit Assetverwaltung im Nexus Smart ID Identity Manager

  • SCEP (Simple Certificate Enrollment Protocol)
  • EST (Enrollment over Secure Transport)

Hierfür wird ebenfalls das Zertifikatsverwaltungssystem Nexus Smart ID Identity Manager zur Verwaltung und Sperrung zum Einsatz kommen.

Die Beantragung der Zertifikate erfolgt mittels eines SCEP bzw. EST Clients, welcher in der Verantwortung des Kunden betrieben wird.

Gültigkeitsdauer der SCEP/EST Zertifikate: ein Jahr

Automatische Zertifikatsverteilung (Auto-enrollment) ohne Assetverwaltung im Nexus Smart ID Identity Manager

  • ACME (Automatic Certificate Management Environment)

ACME kann ohne Verwaltung des Assets im Zertifikatsverwaltungssystem genutzt werden. Die Beantragung und ggfs. Sperrung der Zertifikate erfolgt mittels eines ACME Clients (z.B. certbot), welcher in der Verantwortung des Kunden betrieben wird.
Gültigkeitsdauer der Zertifikate: vss. 90 Tage

  • MS WCCE (Cerfificate Enrollment Web Services; besser bekannt als Microsoft Autoenrollment) 

MS WCCE kann ebenfalls ohne Verwaltung des Assets im Zertifikatsverwaltungssystem genutzt werden. Kundenseitig wird die in Microsoft Betriebssystemen eingebaute Auto Enrollment Funktionalität benutzt. Ergänzend werden im Active Directory Informationen hinterlegt. Dazu gehören beispielsweise Zertifikatsvorlagen und darauf berechtigte Gruppen bzw. Assets.

Zudem wird eine Proxy Komponente namens WinEP im Active Directory Forest benötigt, die die Zertifikatsanfragen der Windows Clients entgegennimmt und zur Bearbeitung an die Zertifizierungsstelle weiterleitet.

  • Diese wird im Bündnisforest betrieben durch das IT-DLZ.

  • Außerhalb des Bündnisforests wird eine Abstimmung mit dem Forest Inhaber erfolgen, auf welche Weise WinEP in dem Forest betrieben werden kann.

Gültigkeitsdauer der Zertifikate: vss. 90 Tage

Eine Sperrung dieser Zertifikate ist nicht vorgesehen.

  • SCEP-NDES (Simple Certificate Enrollment Protocol) (nur für MDM)

Dieses Protokoll wird voraussichtlich exklusiv für die Nutzung durch Mobile Device Management (MDM) Systeme freigegeben, damit darüber für die MDM verwalteten mobilen Endgeräte Asset Zertifikate ausgestellt werden können.

Gültigkeitsdauer der Zertifikate: vss. 90 Tage

Eine Sperrung dieser Zertifikate ist ebenfalls nicht vorgesehen.

Diese Funktionalitäten werden im Release 1 umgesetzt, also beim Ausrollen der neuen IPKI in 2026.  

Welche Vorteile werden realisiert?

Die Nachfolgelösung PKI 2.0 (Plan B) benötigt nach aktuellem Kenntnisstand clientseitig kein Java.

Effiziente Nutzung 

Durch die Verwendung der vorhandenen Nexus Lizenzen und damit der bereits prinzipiell sowohl im IT-DLZ als auch bei den Benutzern und RAs bekannten Produktlinien von Nexus können vorhandene Produkt- und Betriebserfahrungen kosten- und zeiteffizient eingesetzt werden.

Geringer Schulungsaufwand der RAs

Die Pflege der Asset Verantwortlichen übernimmt das Trustcenter im IT-DLZ zentralisiert für alle Kunden. Die bekannten Registrierungsstellen müssen aller Voraussicht nach nur noch eine organisatorische Rolle als Identitätsbestätiger der Asset Verantwortlichen übernehmen.

Verbesserte Sicherheit der IPKI

Das Sicherheitsniveau der IPKI wird durch die Orientierung an den einschlägigen technischen Richtlinien (TRs) des BSI (insbesondere der BSI TR-03145) erhöht. 

 

Der nächste Newsletter in 2026 informiert sie über die Komponente Webshop der neuen Bayern-PKI (Plan B). 

DIes ist der letzte Newsletter dieses Jahres. Wir freuen uns darauf, Sie im kommenden Jahr wieder über verschiedene Themen rund um die Bayern-PKI zu informieren.

Wir wünschen Ihnen und Ihren Familien eine schöne Weihnachtszeit und einen guten Start ins Jahr 2026. Mit Zuversicht blicken wir auf das kommende Jahr und wünschen Ihnen viel Erfolg und alles Gute für 2026.