PKI Newsletter 2

Sehr geehrte Damen und Herren,

der heutige Newsletter informiert Sie über die neue Infrastruktur PKI (IPKI), die mit der Bayern-PKI 2.0 in Betrieb gehen wird.

Auf folgende Fragen gehen wir näher ein:

  • Für wen wird die IPKI angeboten?
  • Was ändert sich mit der neuen IPKI?
  • Was bleibt weiterhin unverändert?

Die Infrastruktur PKI dient dazu, Zertifikate für Infrastruktur Komponenten (Clients und Server, z.B. Arbeitsplatzrechner, Domänencontroller, Radius Server, Router, SharePoint Server und Exchange Server) bereitzustellen. Die Geräte, welche Zertifikate beziehen, werden als Assets bezeichnet.
Die Wurzelzertifizierungsstelle (Root-Certification Authority oder Root-CA), also die oberste Zertifizierungsstelle der dreistufigen Hierarchie, ist das IT-DLZ. Es stellt Zertifikate für Clients und auch für Sub-CAs (untergeordnete Zertifizierungsstellen) aus.

Für wen wird die IPKI angeboten?

Der Dienst steht ausschließlich innerhalb des Behördennetzes zur Verfügung. Staatliche Behörden, Kommunale Gebietskörperschaften (Gemeinden, Landkreise inkl. Landratsämter und Bezirke), Verwaltungsgemeinschaften und die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) können die IPKI unentgeltlich nutzen.

Was ändert sich mit der neuen IPKI?

Mit der neuen Bayern-PKI werden für die IPKI mehrere Verbesserungen realisiert. Die wesentlichen Neuerungen sind:

Automatische Zertifikatsverteilung:

Für die neue IPKI werden die folgenden unterschiedliche Protokolle für die automatische Verteilung (Auto-enrollment) der Zertifikate angeboten.

  • MS WCCE (Microsoft Auto-enrollment)
  • SCEP
  • SCEP-NDES
  • EST
  • ACME

Verbesserte Sicherheit:

Das Sicherheitsniveau der IPKI wird durch die Orientierung an den einschlägigen technischen Richtlinien (TRs) des BSI (insbesondere der BSI TR-03145) erhöht.
Die Sicherheitsanforderungen für die Ausstellung und Sperrung von Zertifikaten nach den Standards RFC 5280 (X.509) sind schon heute in einer Policy festgeschrieben.
Diese Policys werden wir für die neue IPKI entsprechend anpassen und auf der PKI Website veröffentlichen.

Anbindung an das neue zentrale Identitätsmanagement (IDM):

Das im Rahmen der Bayern-PKI 2.0 aufgebaute IDM steuert die Autorisierung der Teilnehmer in den nachgeordneten PKI-Systemen. Auf diese Weise sorgt es für korrekte Personendaten und Berechtigung der Teilnehmer in den PKIs.
Die IPKI profitiert dadurch von der Konsistenz der Benutzerdaten und Rechteverwaltung, die durch das zentrale IDM sichergestellt wird. Zudem kann die IPKI in Zukunft über Trigger zu Datenänderungen informiert werden. Dadurch wird die Entstehung "verwaister“ Zertifikate verhindert.
Die Assets selbst (also die Geräte, die Zertifikate beziehen) werden innerhalb der neuen IPKI verwaltet.

Was bleibt weiterhin unverändert?

Der On-premises Betrieb der IPKI im IT-DLZ bleibt bestehen
Die Zertifikate der CAs der Infrastruktur werden auch in Zukunft über die Seite pki.bayern.de zum Herunterladen bereitgestellt werden.
Eine "manuelle" Zertifikatsbeantragung über eine Oberfläche, die ähnlich ist zu Nexus Prime, wird weiterhin möglich sein.
Wenn Sie eine eigene Sub-CA innerhalb der Infrastruktur PKI betreiben möchten, so ist dies bei Beibehaltung des Sicherheitsniveaus des Trustcenters des LDBV auch mit der neuen IPKI möglich.

Zugangsvoraussetzungen:

Für die Kommunikation ist ein Behördennetzzugang zwingend erforderlich.
Folgende Voraussetzungen für die Assets sind gegeben:

Client Diverse, z.B. Webbrowser, Webserver, Exchange Server, Router, Terminalserver, ACME Client, etc.
Infrastruktur

Die Kommunikation läuft über folgende Ports, die ggf. freigeschalten werden müssen:

  • 389 (LDAP)
  • 636 (LDAPS)
  • 443 (HTTPS)
  • 8080 (OCSP)

Nur bei MS WCCE (Microsoft Auto-enrollment):

  • 135 (RPC)
  • 49152 bis 65535

Nur bei SCEP, SCEP-NDES, EST und ACME:

  • 8443
  • 8444

 

Erfahren Sie mehr

Detaillierte Informationen zu den weiteren Themen wie etwa IDM, MPKI, SmartCard-Druck etc. werden wir Ihnen weiterhin in loser Folge zukommen lassen.

Zudem werden grundlegende Informationen an den folgenden Stellen veröffentlicht:

Website der Bayern-PKI: https://www.pki.bayern.de/pki20/index.html

Hier finden Sie neben aktuellen Projektinformationen auch:

  • FAQ zur Bayern-PKI 2.0
  • Ansprechpartner
  • ein Newsletterarchiv

Onlineportal des IT-DLZ: https://onlineportal.it-dlz.bybn.de

Hier finden Sie:

  • die PKI im Produktportfolio
  • das Angebot an Vorträgen und Kundenworkshops des IT-DLZ
  • ein Newsletterarchiv

Sie haben Fragen dazu?

Bei Fragen zur Bayern-PKI 2.0 wenden Sie sich an das IT-DLZ, per E-Mail an bayern-pki-2.0@ldbv.bayern.de oder direkt an das IT-DLZ Kundenmanagement.

Bei IT-sicherheitstechnischen Fragen unterstützt Sie das LSI, beispielsweise zur

  • Auswahl der Zertifikats-Algorithmen
  • Auswahl von Autoenrollment-Mechanismen
  • Erfüllung von spezifischen Sicherheitsanforderungen durch die PKI

Wenden Sie sich an beratung-staatsverwaltung@lsi.bayern.de oder beratung-kommunen@lsi.bayern.de

Letzte Meldungen

Aktuelle Termine für die Bayern-PKI 2.0

Mit freundlichen Grüßen

Ihr PKI-Team

Landesamt für Digitalisierung, Breitband und Vermessung
IT-Dienstleistungszentrum des Freistaats Bayern
St.-Martin-Str. 47
81541 München
Internet: https://www.ldbv.bayern.de/digitalisierung/itdlz.html
E-Mail: bayern-pki-2.0@ldbv.bayern.de