Zertifikate
Bei der verschlüsselten Übertragung in FIT-Connect werden JSON Web Keys (JWKs) gemäß RFC 7517 eingesetzt. Die JSON Web Keys werden aus Zertifikaten abgeleitet. Der öffentliche Schlüssel eines Schlüsselpaares wird in einem Zustellpunkt hinterlegt. Es können mehrere JWKs hinterlegt werden, die entweder für die Verschlüsselung oder Signaturprüfung verwendet werden können.
Die Zertifikate und die damit verbundenen JWKs haben eine begrenzte Gültigkeit und müssen gemäß den Vorgaben der Zertifikatsinfrastruktur in regelmäßigen Intervallen erneuert werden.
Zertifikate der Verwaltungs-PKI
Sie benötigen Zertifikate der Verwaltungs-PKI, um die Produktiv-Umgebung von FIT-Connect an ein Verwaltungssystem anzubinden. Wie Sie Zertifikate der Verwaltungs-PKI beantragen, wird im Artikel Zertifikate beantragen beschrieben.
Zertifikate der Verwaltungs-PKI sind begrenzte Zeit gültig - z.B. drei Jahre lang. Danach müssen sie erneuert werden. Aus dem erneuerten Zertifikat müssen anschließend wieder die JSON Web Keys (JWKs) (siehe unten) abgeleitet und im Zustellpunkt hinterlegt werden. Geschieht dies nicht, ist die Übermittlung von Einrichungen an den Zustellpunkt nicht mehr möglich. FIT-Connect macht den technischen Ansprechpartner per E-Mail an die im Zustellpunkt hinterlegte E-Mail-Adresse, auf das Auslaufen der Zertifikate aufmerksam. Der Hinweis erfolgt zunächst drei Monate vor Ablauf eines Zertifikats, danach einen Monat vor Ablauf eines Zertifikats und anschließend wöchentlich vor Ablauf eines Zertifikats.
Für die Test-Umgebung (TEST) von FIT-Connect sind keine Zertifikate der Verwaltungs-PKI erforderlich. Das Vorgehen ist hier beschrieben.
JSON Web Keys (JWKs) aus einem Zertifikat ableiten
Mit Hilfe von JWK-Dateien werden kryptografische Schlüssel in FIT-Connect zwischen der Destination (Verwaltungssystem) und einem Onlinedienst ausgetauscht. Private Schlüssel sollten nach Möglichkeit dort generiert werden, wo sie am Ende eingesetzt werden.
Das Übertragen von privaten Schlüsseln zwischen Servern/Computern sollte vermieden werden. Sollte dies doch notwendig sein, so muss die Übermittlung verschlüsselt erfolgen. Auf der Seite Zertifikate umwandeln ist beschrieben, wie Sie JWKs für die Stage- und Produktiv-Umgebung von FIT-Connect erzeugen.