Zum Hauptinhalt springen

Zertifikate umwandeln

Die folgende Beschreibung zeigt, wie Sie aus einem Zertifikat Dateien ableiten, die JSON Web Keys (JWKs) enthalten (Zertifikatsumwandlung). Sie benötigen diese Dateien für einen Client des Typs Subscriber (Empfänger), siehe die Seite Zustellpunkt anlegen.

Ende-zu-Ende-Verschlüsselung

FIT-Connect verwendet zur Übertragung von Einreichungen (Anträgen) eine Ende-zu-Ende-Verschlüsselung: Der Sender (Onlinedienst) verschlüsselt die Anträge und sendet sie verschlüsselt über FIT-Connect an den Empfänger (Verwaltungssystem). Der Empfänger entschlüsselt die Anträge.

Schlüssel zum Ver- und Entschlüsseln

Der Sender benötigt den öffentlichen Verschlüsselungsschlüssel des Empfängers, um damit Antragsdaten zu verschlüsseln. Der Empfänger entschlüsselt die Antragsdaten mit Hilfe seines privaten Schlüssels, der nur ihm bekannt sein darf.

Zertifikate enthalten Schlüssel zum Ver- und Entschlüsseln

Der öffentliche und der private Schlüssel sind in einem Zertifikat enthalten, das dem Verantwortlichen für die Umsetzung (oder den beauftragten Entwickler:innen) vorliegen muss.

So erhalten Sie ein Zertifikat

Sie erhalten das erforderliche Zertifikat auf zwei Wegen:

  • Für die Test-Umgebung (TEST) von FIT-Connect erzeugen Sie selbst das erforderliche Zertifikat (siehe unten JSON Web Keys erzeugen)
  • Für die Stage-Umgebung (STAGE) und die Produktiv-Umgebung (PROD) von FIT-Connect beantragen Sie ein Zertifikat bei der Verwaltungs-PKI.

Auf der Seite Betriebs-Umgebungen der FIT-Connect-Infrastruktur finden Sie eine Beschreibung der Umgebungen von FIT-Connect.

Erforderliches Schlüssel-Format für FIT-Connect

Um die Zertifikate, die Sie selbst erzeugt oder von der Verwaltungs-PKI erhalten haben, innerhalb von FIT-Connect zu verwenden, müssen die Schlüssel im Format JSON Web Keys (JWK) vorliegen.

Programme für FIT-Connect

JSON Web Keys erzeugen

Für FIT-Connect stellen wir Ihnen zwei Programme zur Verfügung, um aus den Zertifikaten die Ver- und Entschlüsselungsschlüssel zu lesen und in das Format JWK umzusetzen.

  • Für die Test-Umgebung (TEST) von FIT-Connect verwenden Sie das Programm testPkcs12ToJwk.py. Dieses Programm erzeugt intern für Sie selbstgenerierte Zertifikate, liest daraus die Ver- und Entschlüsselungsschlüssel und setzt die Schlüssel in das Format JWK um.
  • Für die Stage-Umgebung (STAGE) und die Produktiv-Umgebung (PROD) von FIT-Connect verwenden Sie das Programm pkcs12ToJwk.py, um aus einem Zertifikat, das Sie von der Verwaltungs-PKI erhalten, die Ver- und Entschlüsselungsschlüssel zu lesen und in das Format JWK umzusetzen.

Programme für FIT-Connect erhalten

Um die Programme für FIT-Connect auf Ihren Rechner zu laden, klicken Sie auf den folgenden Link Programme für FIT-Connect. Daraufhin öffnet Ihr Browser das Verzeichnis, in dem die FIT-Connect Tools heruntergeladen werden können.

Screenshot der FIT-Connect Tools

Alternativ kann das openCode-Projekt PFX to JWK Converter for FIT-Connect verwendet werden. Dieses Tool unterstützt bei der Konfiguration von FIT-Connect, indem es Zertifikate aus einer PFX-Datei in JWK-Dateien umwandelt. Die Umwandlung erfolgt lokal in einer eigenständigen HTML-Datei – es ist keine zusätzliche Softwareinstallation notwendig. Die HTML-Datei kann einfach heruntergeladen und in einem modernen Webbrowser geöffnet werden (z. B. Chrome, Firefox oder Edge). Hinweis: Das Auslesen der PFX-Datei erfolgt clientseitig mithilfe der JavaScript-Bibliothek forge.

JSON Web Keys (JWKs) erzeugen

JWK-Dateien für die Test-Umgebung erstellen

Klicken Sie zum Erstellen der Test-JWKs auf den Button Test-Zertifikate erzeugen. Im zweiten Schritt werden Sie gebeten einen Pfad für die Zertifikate anzugeben. Diesen können Sie per Datei-Dialog auswählen. Anschließend werden die JWK-Dateien erzeugt und im angegebenen Pfad gespeichert.

Generierte Dateien

Der Befehl erzeugt für Sie die folgenden Dateien

  • publicKey_encryption.jwk.json
    Diese Datei enthält den öffentlichen Schlüssel für das Verschlüsseln von Antragsdaten. Laden Sie diese Datei zum Self-Service-Portal hoch, wenn Sie einen Client des Typs Subscriber erstellen.
  • publicKey_signature_verification.jwk.json
    Diese Datei enthält den öffentlichen Signaturschlüssel. Laden Sie diese Datei zum Self-Service-Portal hoch, wenn Sie einen Client des Typs Subscriber erstellen.
  • privateKey_decryption.jwk.json
    Diese Datei enthält den privaten Schlüssel für das Entschlüsseln von Antragsdaten. Laden Sie diese Datei nicht zum Self-Service-Portal hoch. Dieser Schlüssel ist geheim.
  • privateKey_signing.jwk.json
    Diese Datei enthält den privaten Signaturschlüssel. Laden Sie diese Datei nicht zum Self-Service-Portal hoch. Dieser Schlüssel ist geheim.

JWK-Dateien für die Stage- und Produktiv-Umgebung erstellen

Dieser Abschnitt beschreibt, wie Sie für die Stage- und Produktiv-Umgebung von FIT-Connect Dateien erzeugen, die öffentliche und private Schlüssel im Format JSON Web Key enthalten:

  • Beantragen Sie für Ihr Verwaltungssystem ein Zertifikat der Verwaltungs-PKI.
  • Mit diesem Zertifikat erhalten Sie eine Datei und ein Passwort. Beides benötigen Sie in den nächsten Schritten.
  • In der Applikation klicken Sie jetzt VPKI-Zertifikat umwandeln .
  • Im nächsten Schritt wählen Sie die Datei aus, die Sie von der Verwaltungs-PKI erhalten haben.
  • Geben Sie in dem folgenden Dialog das Passwort ein, das Sie von der Verwaltungs-PKI erhalten haben und klicken dann auf Container laden .
  • Im letzten Schritt werden Sie gebeten einen Pfad auszuwählen, in dem die JWK gespeichert werden soll.
  • Haben Sie den Pfad ausgewählt, werden die JWK-Dateien erzeugt und im angegebenen Pfad gespeichert.

Es werden auch hier die gleichen Dateien erzeugt wie bei den Test-Zertifikaten nur für die Produktions- und Staging-Umgebung.