PKI-Implementierung

Dieser Abschnitt enthält nützliche Informationen zu den Implementierungsentscheidungen der Atos-PKI.

Fragen

 

Welche Autoritäten werden von einer EA oder AA verwaltet?

EA- und AA-URLs können mit einem Standardbrowser aufgerufen werden, um die Liste der unterstützten HashedID8 der Autoritäten anzuzeigen. Beispiel hier.

 

Wie wird die validityPeriod geprüft und verarbeitet?

  • Wenn die validityPeriod in der Anfrage angegeben ist:

    • Sie muss konform sein mit (d.h. vor dem Ende liegen) der validityPeriod der ausstellenden CA (EA für EC und AA für AT)
    • Sie muss konform sein mit dem im Profil konfigurierten Wert Wenn diese 2 Bedingungen nicht erfüllt sind, wird ein Fehler zurückgegeben

  • Wenn die validityPeriod in der Anfrage nicht angegeben ist:

    • Sie wird mit einem Startdatum "jetzt" (d.h. dem Empfangsdatum der Anfrage durch die CA) und einer Dauer gleich dem im Profil konfigurierten Wert gesetzt
    • Wenn der im Profil konfigurierte Wert nicht konform mit der validityPeriod der ausstellenden CA ist, wird er auf den maximalen Wert gesetzt, der mit der validityPeriod der ausstellenden CA kompatibel ist

 

Welcher Zeitrahmen wird für die Signierung von Zertifikatsanfragen toleriert?

Anfragen, die früher als 10 Minuten in der Vergangenheit und später als 3 Sekunden in der Zukunft signiert wurden, werden abgelehnt.

 

Werden nicht-kanonische Zertifikate unterstützt?

Nein. Die erstellten Zertifikate liegen direkt in kanonischem Format vor, was bedeutet, dass die Schlüssel immer komprimiert sind und die Signatur im x-only-Format vorliegt. Das bedeutet auch, dass alle Schlüssel in ITS-Anfragen (auch publicKeys in der ETSI TS 102 941 InnerAtRequest-Sequenz und v in der ETSI TS 103 097 EciesP256EncryptedKey-Sequenz, die ephemeren Schlüssel für ECIES) in komprimierter Form vorliegen sollten.

 

Gibt es IP/HTTP-Einschränkungen?

Der Host-Header von HTTP-Anfragen muss den mit dem Dienst verbundenen Domainnamen enthalten (zum Beispiel 0.atos-ea.l0.c-its-pki.eu). Wir können eine Anfrage nicht verarbeiten, wenn der Host-Wert leer, fehlerhaft ist oder nur die IP-Adresse enthält. Es ist nicht möglich, PKI-Dienste auf verschiedenen IP-Adressen bereitzustellen. Für L0-Dienste können feste IP-Adressen nicht garantiert werden. FQDN sollten verwendet werden.

 

Was kann zur Erneuerung eines EC verwendet werden?

Für L0-Dienste kann ein EC entweder mit dem technischen Schlüssel der Station oder mit jedem gültigen, zuvor ausgestellten EC angefordert werden. Zusätzlich kann jedes gültige EC zur Anforderung von ATs verwendet werden.

 

Welchen Wert sollte das Feld id in der CertificateSubjectAttributes-Sequenz in Zertifikatsanfragen haben?

Das Feld ist optional und darf nicht verwendet werden:

  • Bei EC-Anfragen legt ETSI TS 103 097 §7.2.2 fest, dass das EC eine CertificateId haben sollte, die auf den Kettennamen gesetzt ist und einen eindeutigen Namen enthalten soll, der dem Registrierungszertifikat zugeordnet ist. Die PKI generiert diesen Namen, daher kann die Station keinen bestimmten id anfordern.
  • Bei AT-Anfragen wird das generierte AT keine id haben, daher kann das ITS keinen Wert anfordern.