DE102016113110A1 - Verfahren und System zum Installieren von Zertifikaten - Google Patents
Verfahren und System zum Installieren von Zertifikaten Download PDFInfo
- Publication number
- DE102016113110A1 DE102016113110A1 DE102016113110.5A DE102016113110A DE102016113110A1 DE 102016113110 A1 DE102016113110 A1 DE 102016113110A1 DE 102016113110 A DE102016113110 A DE 102016113110A DE 102016113110 A1 DE102016113110 A1 DE 102016113110A1
- Authority
- DE
- Germany
- Prior art keywords
- certificate
- profile
- installation
- database
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Vorrichtung und Verfahren zum Installieren von Zertifikaten auf einem Anwendungssystem, welches mit einem Installationssystem und einer Datenbank koppelbar ist, wobei auf einem Installationssystem ein erster Agent ausgeführt wird, welcher auf die Datenbank Zugriff hat, wobei die Datenbank die Zertifikate, Zertifizierungsanforderungen, Profile und Installationsanweisungen umfasst, wobei auf der Basis einer Benutzereingabe, mit welcher ein Zertifikat spezifiziert wird, ein Profil aus der Datenbank zugeordnet wird, und die durch das Profil spezifizierten Daten erfasst und an die Datenbank übermittelt wird, auf Basis der Daten ein Schlüsselpaar und eine Zertifizierungsanforderung erzeugt werden, an die Datenbank zur Speicherung in Relation mit den durch das Profil spezifizierten Daten übermittelt und die Zertifizierungsanforderung an die im zugeordneten Profil spezifizierte Zertifizierungsstelle übermittelt wird, in einem dritten Prozessschritt das von der Zertifizierungsstelle generierte Zertifikat von der Zertifizierungsstelle empfangen wird und an die Datenbank zum Speichern in Relation mit der Zertifizierungsanforderung übermittelt wird, und veranlasst wird, dass das Zertifikat auf der Basis des zugeordneten Profils auf dem Anwendungssystem entsprechend den Installationsanweisungen installiert wird.
Description
- Die vorliegende Erfindung betrifft ein Verfahren und ein System zum Installieren von Zertifikaten.
- Der Umgang mit Zertifikaten, die Erstellung von Schlüsselpaaren, die Erzeugung von Signing Requests, die Signierung und die Einbindung von Zertifikaten in Laufzeitumgebungen erfolgt in vielen Systemlandschaften manuell oder teil-automatisiert durch Administratoren. Der Administrator muss dabei einen sicheren Umgang mit den vorhandenen Public-Key-Infrastructure (PKI)- / Install-Tools sowie Scripten gewährleisten und einen nicht unerheblichen Teil an Vorwissen für das Handling mit Zertifikaten mitbringen. Die Abläufe sind zumeist zeitaufwändig und oft Ursachen von Betriebsstörungen in Test und Produktion. Dazu kommt, dass die Einrichtung von zertifikatsbasierten Sicherheitsmaßnahmen kein Tagesgeschäft mit hoher Stückzahl ist und somit keine Routine in den Abläufen entsteht.
- Ein zentraler Dokumentationsbestand, der alle in einem Unternehmen eingesetzten Zertifikate enthält, unabhängig von der ausstellenden Zertifizierungsstelle, abgekürzt: CA, oder ihrem Verwendungszweck, ist in der Regel nicht verfügbar. Meistens dokumentieren eingesetzte PKI-Tools nur ihre damit erstellten Zertifikate. Andere im Unternehmen vorhandene Zertifikate von Dritt-Ausstellern, z.B. der SCHUFA für Webservice-Aufrufe eines Kreditinstituts sind nicht oder wieder an anderen Orten dokumentiert.
- Einheitliche und system- bzw. anwendungsübergreifende Verfahren zur Überwachung der Installation und der Erneuerung von Zertifikaten sind meist nicht verfügbar.
- Aufgabe der Erfindung ist es, ein Verfahren und ein System für die Installation von Zertifikaten beliebiger Herkunft bereitzustellen. Diese Aufgabe wird durch die Verfahren und die Systeme gemäß den Ansprüchen gelöst.
- Die Erfindung ist mit zahlreichen Vorteilen verbunden. Abläufe rund um Zertifikate werden einfacher, robuster und sicherer gemacht. Die Erfindung gewährleistet höchste Sicherheit durch die Verwendung von Hardware-Security-Modulen (HSM) zur Erzeugung von Schlüsseln und durch die automatische Übertragung von Schlüsseln vom Ort der Erzeugung auf das Anwendungssystem.
- Der gesamte Zertifikatsprozesses wird automatisiert und signifikant beschleunigt. Hierdurch wird die Betriebssicherheit von Softwareanwendungen erhöht. Störungen des Betriebsablaufs aufgrund abgelaufener Zertifikate oder aufgrund von Handwerksfehlern beim Umgang mit Schlüsseln und Zertifikaten werden verhindert.
- Die Anwendung bzw. die Anwendungskomponenten stellen einheitliche Verfahren für den Umgang mit Zertifikaten sicher. Dies wird durch systemgeführte Abläufe erreicht. Standards, Konventionen und Abläufe für den Umgang mit Zertifikaten selbst, sollen durch Konfiguration entsprechend der Gegebenheiten der Anwendungslandschaften von Kunden vordefiniert und von den Komponenten entsprechend ausgeführt werden können.
- Ein zentrales Repository, also eine Datenbank, gibt Auskunft über alle in einem Unternehmen vorhandenen Zertifikate, unabhängig von ihrer Ausstellung (eigenoder fremderstellte Zertifikate) oder ihren Einsatzzweck. Es bildet die Grundlage für automatisierte Verfahren zur Überwachung des Ablaufs und der Erneuerung von Zertifikaten. Die Sichten auf das Repository können entsprechend dem Rollen-Rechtekonzept eingeschränkt werden.
- Mit dem zentralen Installationssystem ist die Erstellung, Verteilung und Installation von Schlüsseln und Zertifikaten ortsunabhängig. Ein Schlüssel kann auf dem einen System, dem Installationssystem, erzeugt werden und auf einem anderen System, dem Anwendungssystem, installiert werden, auch wenn sich beide Systeme an unterschiedlichen Orten befinden.
- Dies führt zu einer Automatisierung und signifikanten Beschleunigung des gesamten Vorgangs und dadurch Erhöhung der Betriebssicherheit. Insbesondere wird das unbemerkte Ablaufen von Zertifikaten verhindert.
- Nach erstmaliger Konfiguration (Zertifikatskonfiguration, Schlüsselkonfiguration, CA-Konfiguration, Erneuerungseinstellungen, Installationsanweisungen) kann der Vorgang beliebig oft automatisch wiederholt werden.
- Die Erfindung wird anhand eines Ausführungsbeispiels und der Zeichnung näher beschrieben. In der Zeichnung zeigen
-
1 die Prozessschritte beim Verarbeiten von Zertifikaten, -
2 die Zuordnung eines Profils zu einem Zertifikat, -
3 die Schlüsselpaarerzeugung anhand von Profildaten, -
4 den Prozess des Installierens eines Zertifikats und -
5 die Interaktion des erfindungsgemäßen Installationssystems mit seiner Umgebung. - Im Ausführungsbeispiel ist das System eine Webanwendung, die zur Ausstellung und Verwaltung des Lebenszyklus von digitalen Zertifikaten dient. Abläufe wie die Erstellung von Schlüsselpaaren, Weiterleitung von Zertifikatsanträgen an die CA zur Signierung sowie die Installation der Zertifikate auf entsprechende Anwendungssysteme werden hiermit abgewickelt. Des Weiteren erfolgt die Überwachung der Gültigkeit von Zertifikaten, Benachrichtigung der Anwender, Import, Export, Scanning und Massenimport und Reporting.
- Das erfindungsgemäße Installationssystem
10 stellt die zentrale Komponente zur Beantragung, Inbetriebnahme und Verwaltung von Zertifikaten dar.1 veranschaulicht die Prozessschritte von Zertifikaten, die wie folgt unterteilt sind:
Entgegennehmen von Benutzereingaben, S10,
Erzeugen eines Schlüsselpaares und des CSR, Übermittlung dieser an die CA, S20,
Empfangen des signierten Zertifikats von der CA, S30,
Installieren des Zertifikats auf Anwendungssystem, S40. - Hinzukommen kann der Schritt der Überwachung der Gültigkeit und der Laufzeit des Zertifikats und der Schritt der Erneuerung des Zertifikats bei Ablauf, S50.
- Im Folgenden wird jeder Prozessschritt näher erläutert.
- Im ersten Prozessschritt S10 werden, auf eine Benutzereingabe hin, ein Datensatz für ein zu beantragendes Zertifikat für einen bestimmten Zweck sowie eine bestimmte Systemumgebung, also z.B. Test oder Produktion, bestimmtes Anwendungssystem, im Installationssystem
10 angelegt. Hierzu ist ein Beantragungsmodul vorhanden, welches auf dem Installationssystem10 ausgeführt wird. Das Beantragungsmodul13 vergleicht die vom Benutzer eingegebenen Daten mit in der Datenbank50 hinterlegten Profilen und ordnet dem zu beantragenden Zertifikat automatisch ein bestimmtes Profil200 aus der Datenbank50 zu. - Im nächsten Prozessschritt S15, der optional ist, werden die Daten gegen die im Profil spezifizierten Daten, den Profilvorgaben, validiert. Hierzu ist ein Profilmodul vorhanden, welches auf dem Installationssystem
10 ausgeführt wird. - Im zweiten Prozessschritt S20 wird, vom Beantragungsmodul
13 veranlasst, ein Schlüsselpaar sowie die Zertifikatssignierungsanforderung, abgekürzt CSR, erzeugt und in das Repository, also die Datenbank50 , gespeichert. Der CSR wird anschließend vom Beantragungsmodul13 an die im Profil hinterlegte Zertifizierungsstelle CA100 zur Signierung automatisch gesendet. - Bei der Ausstellung S20 prüft die CA
100 die Informationen, die im CSR enthalten sind, und signiert das Zertifikat, wenn die Daten korrekt sind, und stellt anschließend das Zertifikat zur Abholung bereit. - Die Verfügbarkeit des erstellten Zertifikats wird vom Installationssystem
10 , bzw. dem Beantragungsmodul13 zyklisch abgefragt, und sobald das Zertifikat zur Verfügung steht, wird es im dritten Prozessschritt S30 abgeholt und zu dem zugehörigen Schlüsselpaar in das Repository, also in der Datenbank50 , gespeichert. - Je nach Profileinstellung wird das Zertifikat sofort auf dem Anwendungssystem
20 installiert bzw. über die betreffenden Anwendungssysteme20 verteilt. Hierzu ist ein erster Agent15 vorhanden, der auf dem Installationssystem10 ausgeführt wird, oder ein zweiter Agent25 , der direkt auf dem Anwendungssystem20 , wo das Zertifikat installiert werden soll, ausgeführt wird. - Zusätzlich zu einem Profil
200 sind auch Installationsdaten für das Zertifikat, dem das Profil zugeordnet ist, gespeichert. Die Installationsdaten spezifizieren das oder die Anwendungssysteme20 , auf denen das Zertifikat installiert werden soll, sowie weitere Installationsanweisungen und Parameter, die für die Installation auf dem betreffenden Anwendungssystem20 benötigt werden. Sobald der Installationsprozess im Prozessschritt S40 angestoßen wurde, werden diese Daten ausgewertet und auf dem Anwendungssystem20 ausgeführt. Ob ein Zertifikat sofort nach Ausstellung sofort installiert wird oder nicht, ist ebenfalls im Profil des Zertifikats hinterlegt. - Für die Installation von Zertifikaten über das erfindungsgemäße Installationssystem
10 sind folgende Methoden implementiert: - • Ausführung der Installationsanweisungen durch den ersten Agenten
15 direkt auf dem Anwendungssystem20 über eine SSH-Verbindung, - • Installation mit Hilfe des zweiten Agenten, also eines Installations-Agenten
25 , der auf dem Anwendungssystem20 ausgeführt werden kann oder bereits ausgeführt wird. - Bei der ersten Variante baut das Installationssystem eine geschützte SSH-Verbindung zu dem Anwendungssystem
20 auf und führt dort die Installationsanweisungen aus. Bei der zweiten Möglichkeit, nämlich dem zweiten Agenten25 auf dem Anwendungssystem20 die Aufgabe zu delegieren, kommuniziert der zweite Agent25 auf dem Anwendungssystem20 mit dem Installationssystem10 und erhält alle notwendigen Installationsdaten, die er für die Installation benötigt. - Das erfindungsgemäße Installationssystem
10 umfasst eine Überwachungskomponente12 . Die Überwachungskomponente12 sorgt dafür, dass zu einem vorbestimmten Zeitpunkt vor Ablauf eines Zertifikats ein Erneuerungsereignis ausgelöst wird. In den Profildaten des Zertifikats ist die Information enthalten, ob ein Zertifikat automatisch erneuert werden soll, andernfalls erhält der Anwender lediglich eine Nachricht darüber, dass das Zertifikat bald abläuft. Im ersteren Fall wird der Erneuerungsprozess S50 automatisch angestoßen. Der Erneuerungsprozess läuft dann alle Schritte durch, analog einer neuen Zertifikatsbeantragung. Ist in den Profildaten auch eine automatische Installation vorgesehen, so wird das erneuerte Zertifikat auf dem Anwendungssystem direkt installiert und der Anwender wird darüber informiert. - Diese Ein-Klick-Lösung zur Erneuerung und Installation erleichtert den Betrieb von Zertifikaten. Dies führt zu einer erheblichen Zeitersparnis, das ohne ein menschliches Zutun automatisch abläuft. Auf diese Weise wird sichergestellt, dass Zertifikate rechtzeitig ausgestellt bzw. installiert werden und letztlich der laufende Betrieb von Anwendungen sichergestellt wird.
- Die Profile sind zur flexiblen Gestaltung der Zertifikatsprozesse im erfindungsgemäßen Installationssystem
10 eingeführt. Ein Profil ist ein Datencontainer für verschiedene Daten, die zur Steuerung von Zertifikatsprozessen notwendig sind. - In der Tabelle 1 ist eine Übersicht von Informationen für ein Zertifikat dargestellt, die entsprechend dem Profil hinterlegt werden können. Diese umfassen Daten bzw. Attribute zu:
- • Zertifikaten
- • Schlüsseln
- • Zertifizierungsstellen (CAs)
- • Prozessparameter (z.B. automatische oder manuelle Erneuerung)
- • Installation bzw. Verteilung.
- Die Schlüsselkonfiguration legt u.a. fest, wo Schlüssel und CSR (entsprechend der Zertifikatskonfiguration) erzeugt werden sollen:
- – Auf dem Anwendungssystem (wo Schlüssel und Zertifikat letztendlich installiert werden sollen)
- – In der zentralen Komponente
- – Auf einem anderen System oder Hardware-Security-Module (HSM).
- Die CA-Konfiguration legt fest, welche CA das Zertifikat ausstellt.
- Die Erneuerungseinstellungen legen Regeln zur Erneuerung des Zertifikats fest:
- – Ob die Erneuerung automatisch eingeleitet werden soll
- – Wann die Erneuerung eingeleitet werden soll
- – Ob neue Schlüssel (entsprechend der Schlüsselkonfiguration) erzeugt werden sollen.
- In der Tabelle 2 ist eine Übersicht von Informationen für ein Zertifikat dargestellt, die in den Installationsdaten hinterlegt werden können. Diese umfassen Daten bzw. Attribute zur Installation bzw. Verteilung.
Installationseinstellungen Installationsart SSH, Agent Legt die Installationsart für das Zertifikat fest Zielmaschinen/IP-Adressen IP-Adressen, auf die das Zertifikat installiert wird Portnummern Portnummern der Anwendung Anwendung Tomcat Anwendung, die das Zer tifikat einsetzt Installationsbefehle Die Installationsanwei sungen, die auf dem An wendungssystemausge führt werden - Die Installationsanweisungen legen fest, auf welchem Anwendungssystem
20 die Schlüssel und das Zertifikat installiert werden sollen. Darüber hinaus: - – wie die Schlüssel bezogen werden sollen, wenn sie auf einem anderen System oder Hardware-Security-Module (HSM) erzeugt worden sind: Übermittlung durch zentraler Komponente Übermittlung durch das andere System / HSM Abholung beim anderen System / HSM
- – wie die Installation und Inbetriebnahme zu erfolgen hat (z.B. durch Konvertieren in ein bestimmtes Format, Ablage im Dateisystem und Neustarten der nutzenden Komponente)
- Im Folgenden wird der Einsatz von Profilen als besonderes Merkmal gezeigt. Maßgebend für die flexible Prozessabwicklung mit dem erfindungsgemäßen Installationssystem
10 ist die Einführung der Profile. Jedem Zertifikat wird ein Profil zugeordnet, über dessen Einstellungen der Lebenszyklus des Zertifikats gesteuert wird. Dies wird initial bei der Beantragung eines Zertifikats durchgeführt, vgl.2 . - Das Installationssystem
10 ermittelt das passende Profil aufgrund der eingegebenen Daten vom Benutzer (z.B. Verwendungszweck, Einsatz-Umgebung usw.) und ordnet es dem Zertifikatsantrag zu. Nun können diese Profildaten in allen weiteren Prozessschritten herangezogen werden. - Als nächstes werden das Schlüsselpaar und der CSR erzeugt. Hierzu werden die Daten gemäß dem Profil herangezogen, wie z.B. Zertifikatstyp, Laufzeit, Schlüssel-Algorithmus, Schlüssellänge usw.
3 zeigt schematisch die Schlüsselpaarerzeugung anhand von Profildaten. Es werden ein öffentlicher und der zugehörige private Schlüssel erzeugt. Das erzeugte Schlüsselpaar und der CSR werden in der Datenbank50 (Repository) in Relation zu dem zu beantragenden Zertifikat gespeichert. Der CSR wird sodann an die CA zur Signierung des Zertifikats gesendet. Nach Bereitstellung des signierten Zertifikats durch die CA und Empfang durch das Installationssystem10 bzw. den ersten Agenten15 werden die Installationsdaten aus der Datenbank50 gelesen, und die Installation kann ausgeführt werden. -
4 veranschaulicht einen Ausschnitt aus dem Installationsprozess eines Zertifikats. Bei der Installation wird sowohl das Schlüsselpaar als auch das Zertifikat vom Erstellungsort (Ort des Installationssystems10 oder ein angebundenes Hardware Security Modul (HSM)) auf Anwendungssysteme20 verschlüsselt übertragen. Die sichere Übertragung ist damit gewährleistet. -
5 veranschaulicht die Interaktion des Installationssystems10 mit der Systemumgebung. Das Installationssystem10 , also die zentrale Steuerungskomponente, verfügt über Schnittstellen zur Kommunikation mit anderen Systemen. Zum einen sind das die Schnittstellen zur Kommunikation mit den angeschlossenen CAs100 , wobei jede CA eine eigene Schnittstelle definiert. Zum anderen verfügt das Installationssystem10 über den ersten Agenten15 zur Kommunikation mit den anderen Komponenten, wie z.B. HSM (Hardware Security Module) in der Datenbank50 , die speziell für den Schutz von Verschlüsselungs-Keys über den kompletten Lebenszyklus entwickelt wurden. Weiterhin ist der Austausch über ersten Agenten25 vorgesehen, die auf den jeweiligen Anwendungssystemen20 installiert sind. Hierüber läuft dann unter anderem der Austausch von Schlüsseln ab. - Das Installationssystem
10 , die Datenbank50 , das oder die Anwendungssysteme20 sind in der Regel örtlich voneinander getrennt, können also über Telekommunikationsnetze miteinander gekoppelt sein, also z.B. über das Internet. Die CA ist ohnehin nur über ein Telekommunikationsnetzwerk mit dem Installationssystem10 gekoppelt. - Des Weiteren vorhanden ist ein Reporting-Modul, welches auf dem Installationssystem
10 ausführbar ist, Zugriff auf die Datenbank50 hat und Abfragefunktionen zur Ausgabe bzw. Anzeige für einen Benutzer bereitstellt, z.B. die Anzahl gültiger Zertifikate, die Anzahl von Zertifikaten einer bestimmten CA. - Ebenfalls vorhanden ist ein Netzscan-Modul, welches auf dem Installationssystem
10 ausführbar und ausgestaltet ist, eine oder mehrere Anwendungssysteme20 nach dort installierten Zertifikaten zu durchsuchen und die Zertifikate in die Datenbank50 zu importieren. Dieses Modul ist insbesondere bei der Neuinstallation und Initialisierung des Installationssystems10 in einer neuen Anwendungssystemumgebung interessant, wenn es darum geht, den Bestand von Zertifikaten im neuen System zentral zu erfassen.
Zertifikatseinstellungen | Wert | Beschreibung |
Zertifikatstyp | SSL-Zertifikat | Legt den Zertifikatstyp fest, der von der CA ge liefert wird |
Laufzeit | 1 Jahr | Gültigkeit |
Common Name (CN) | www.essendi.de | Eindeutiger Zertifikats bezeichner |
Organisation (O) | Essendi | |
Organisationseinheit (OU) | Administration | |
Staat (C) | DE | |
Bundesland (ST) | Hessen | |
Ort (L) | Schwäbisch Hall | |
Schlüsseleinstellungen | ||
Schlüssel-Algorithmus | RSA | Legt das Signaturverfahren fest |
Schlüssellänge | 4096 | |
Signatur-Algorithmus | SHA256withRSA | Legt die Hashfunktion fest |
Einstellungen der Zertifizie rungsstellen (CAs) | ||
QuoVadis | Parameter für den Aufruf von Services bei der CA | |
Schufa | ||
TeleSec | ||
Erneuerungseinstellungen | ||
Neues Schlüsselpaar erzeugen | Ja | Nein | Immer ein neues Schlüs selpaar erzeugen |
Erneuerungszeitpunkt | 1 Woche vor Ablauf | |
Erneuerungsart | automatisch, nicht automatisch |
Claims (14)
- Computer-implementiertes Verfahren zum Installieren von Zertifikaten auf einem Anwendungssystem (
20 ), welches mit einem Installationssystem (10 ) und einer Datenbank (50 ) koppelbar ist, wobei auf dem Installationssystem (10 ) ein erster Agent (15 ) ausgeführt wird, welcher auf die Datenbank (50 ) Zugriff hat, wobei die Datenbank (50 ) eine Anzahl von Zertifikaten, eine Anzahl von Zertifizierungsanforderungen (CSR), eine Anzahl von Profilen und eine Anzahl von Installationsanweisungen umfasst, wobei ein Zertifikat ein digitaler Datensatz ist, der Eigenschaften einer Person oder eines Objekts bestätigt und dessen Authentizität überprüfbar ist, eine Zertifizierungsanforderung eine digitale Nachricht ist, mit welcher die Generierung eines Zertifikats bei einer Zertifizierungsstelle (100 ) unter Verwendung einer vorbestimmten Schnittstelle beantragt wird, jedes Profil Daten spezifiziert, welche für ein Zertifikat bezeichnend sind und Daten spezifiziert, welche mit einer Zertifizierungsanforderung über die vorbestimmte Schnittstelle an die Zertifizierungsstelle (100 ) zu übermitteln sind, und die Installationsanweisungen Informationen sind, welche für die Installation von Zertifikaten auf dem Anwendungssystem (20 ) bezeichnend sind, wobei in einem ersten Prozessschritt (S10) auf der Basis einer Benutzereingabe, mit welcher ein zu beantragendes Zertifikat spezifiziert wird, ein Profil aus der Datenbank (50 ) zugeordnet wird, und die durch das Profil spezifizierten Daten erfasst und an die Datenbank (50 ) zur Speicherung übermittelt werden, in einem zweiten Prozessschritt (S20) auf Basis der Daten gemäß dem zugeordneten Profil ein Schlüsselpaar und eine Zertifizierungsanforderung erzeugt werden, an die Datenbank (50 ) zur Speicherung in Relation mit den durch das Profil spezifizierten Daten übermittelt und die Zertifizierungsanforderung an die im zugeordneten Profil spezifizierte Zertifizierungsstelle (100 ) zur Generierung und Signierung des Zertifikats übermittelt wird, in einem dritten Prozessschritt (S30) das von der Zertifizierungsstelle (100 ) generierte und signierte Zertifikat von der Zertifizierungsstelle (100 ) empfangen wird und an die Datenbank (50 ) zum Speichern in Relation mit der zugrunde liegenden Zertifizierungsanforderung übermittelt wird, und in einem vierten Prozessschritt (S40) veranlasst wird, dass das Zertifikat auf der Basis des zugeordneten Profils auf dem Anwendungssystem (20 ) entsprechend den Installationsanweisungen, die in der Installationsinformation enthalten sind, installiert wird. - Verfahren gemäß Anspruch 1, wobei die Profildaten umfassen: Zertifikatseinstellungen, Schlüsseleinstellungen und Informationen hinsichtlich der Zertifizierungsstelle (
100 ), wobei die Profildaten insbesondere umfassen: – eine ID, die für das Profil kennzeichnend ist, – Typinformation, die für den Typ des Zertifikats kennzeichnend ist, – Laufzeitinformation, die angibt, wann das Zertifikat seine Gültigkeit verliert, – Information, welche für die Gültigkeitsdauer bezeichnend ist, – Parameter zur Kommunikation mit der Zertifizierungsstelle (100 ), – Schlüsseleinstellungen, die für den Zertifikatsschlüssel kennzeichnend sind. - Verfahren gemäß Anspruch 1 oder 2, wobei die in der Datenbank (
50 ) gespeicherten Profildaten jedes Zertifikats auf die Erfüllung vorbestimmter Ereignisse überwacht werden und bei Eintritt eines Ereignisses die Ausführung zumindest eines gemäß dem Profil dem Ereignis zugeordneten Prozessschrittes veranlasst wird. - Verfahren gemäß einem der vorherigen Ansprüche, wobei sowohl das erzeugte Schlüsselpaar als auch das generierte und signierte Zertifikat vom Installationssystem (
10 ) auf das Anwendungssystem (20 ) verschlüsselt übertragen wird. - Verfahren gemäß einem der vorherigen Ansprüche, wobei bei Eintreten des Erneuerungsereignisses ein neues Zertifikat angefordert wird und von der Zertifizierungsstelle (
100 ) empfangen wird und entsprechend der Steuerungsinformation auf dem Anwendungssystem (20 ) installiert wird. - Verfahren gemäß einem der vorherigen Ansprüche, wobei der erste Agent (
15 ) einen zweiten Agenten (25 ) steuert, welcher auf dem Anwendungssystem ausgeführt wird, derart, dass der zweite Agent (25 ) das generierte und signierte Zertifikat auf der Basis des zugeordneten Profils auf dem Anwendungssystem (20 ) installiert. - Installationssystem (
10 ) zum Installieren von Zertifikaten auf zumindest einem Anwendungssystem (20 ), welches mit dem Installationssystem (10 ) koppelbar ist, wobei das Installationssystem (10 ) auf eine Datenbank (50 ) Zugriff hat, wobei die Datenbank (50 ) eine Anzahl von Zertifikaten, eine Anzahl von Zertifizierungsanforderungen (CSR), eine Anzahl von Profilen und eine Anzahl von Installationsanweisungen umfasst, wobei ein Zertifikat ein digitaler Datensatz ist, der Eigenschaften einer Person oder eines Objekts bestätigt und dessen Authentizität überprüfbar ist, eine Zertifizierungsanforderung eine digitale Nachricht ist, mit welcher die Generierung eines Zertifikats bei einer Zertifizierungsstelle (100 ) unter Verwendung einer vorbestimmten Schnittstelle beantragt wird, jedes Profil Daten spezifiziert, welche für ein Zertifikat bezeichnend sind und Daten spezifiziert, welche mit einer Zertifizierungsanforderung über die vorbestimmte Schnittstelle an die Zertifizierungsstelle (100 ) zu übermitteln sind, und die Installationsanweisungen Informationen sind, welche für die Installation von Zertifikaten auf dem Anwendungssystem (20 ) bezeichnend sind, wobei das Installationssystem (10 ) ausgestaltet ist, in einem ersten Prozessschritt (S10) auf der Basis einer Benutzereingabe, mit welcher ein zu beantragendes Zertifikat spezifiziert wird, ein Profil aus der Datenbank (50 ) zuzuordnen, und die durch das Profil spezifizierten Daten zu erfassen und an die Datenbank (50 ) zur Speicherung zu übermitteln, in einem zweiten Prozessschritt (S20) auf Basis der Daten gemäß dem zugeordneten Profil ein Schlüsselpaar und eine Zertifizierungsanforderung zu erzeugen, an die Datenbank (50 ) zur Speicherung in Relation mit den durch das Profil spezifizierten Daten zu übermitteln und die Zertifizierungsanforderung an die im zugeordneten Profil spezifizierte Zertifizierungsstelle (100 ) zur Generierung und Signierung des Zertifikats zu übermitteln, in einem dritten Prozessschritt (S30) das von der Zertifizierungsstelle (100 ) generierte und signierte Zertifikat von der Zertifizierungsstelle (100 ) zu empfangen und an die Datenbank (50 ) zum Speichern in Relation mit der zugrunde liegenden Zertifizierungsanforderung zu übermitteln, und in einem vierten Prozessschritt (S40) zu veranlassen, dass das Zertifikat auf der Basis des zugeordneten Profils auf dem Anwendungssystem (20 ) entsprechend den Installationsanweisungen, die in der Installationsinformation enthalten sind, installiert wird. - Installationssystem gemäß Anspruch 7, wobei die Profildaten umfassen: Zertifikatseinstellungen, Schlüsseleinstellungen und Informationen hinsichtlich der Zertifizierungsstelle (
100 ), wobei die Profildaten insbesondere umfassen: – eine ID, die für das Profil kennzeichnend ist, – Typinformation, die für den Typ des Zertifikats kennzeichnend ist, – Laufzeitinformation, die angibt, wann das Zertifikat seine Gültigkeit verliert, – Information, welche für die Gültigkeitsdauer bezeichnend ist, – Parameter zur Kommunikation mit der Zertifizierungsstelle (100 ), – Schlüsseleinstellungen, die für den Zertifikatsschlüssel kennzeichnend sind. - Installationssystem gemäß Anspruch 7 oder 8, weiter aufweisend: ein Beantragungsmodul (
13 ), welches auf dem Installationssystem (10 ) ausführbar ist und derart ausgestaltet ist, dass es den ersten, den zweiten und den dritten Prozessschritt ausführt, und einen ersten Agenten (15 ), welcher auf dem Installationssystem (10 ) ausführbar ist und derart ausgestaltet ist, dass er den vierten Prozessschritt ausführt. - Installationssystem gemäß einem der Ansprüche 7 bis 9, wobei ein Überwachungsmodul (
12 ) vorgesehen ist, welches auf dem Installationssystem (10 ) ausführbar ist und derart ausgestaltet ist, dass die in der Datenbank (50 ) gespeicherten Profildaten jedes Zertifikats auf die Erfüllung vorbestimmter Ereignisse überwacht werden und bei Eintritt eines Ereignisses die Ausführung zumindest eines gemäß dem Profil dem Ereignis zugeordneten Prozessschrittes veranlasst wird. - Installationssystem gemäß einem der Ansprüche 7 bis 10, wobei der erste Agent (
15 ) weiter ausgestaltet ist, dass sowohl das erzeugte Schlüsselpaar als auch das generierte und signierte Zertifikat vom Installationssystem (10 ) auf das Anwendungssystem (20 ) verschlüsselt übertragen wird. - Installationssystem gemäß einem der Ansprüche 7 bis 11, wobei das Überwachungsmodul (
12 ) weiter ausgestaltet ist, bei Eintreten des Erneuerungsereignisses ein neues Zertifikat anzufordern und von der Zertifizierungsstelle (100 ) zu empfangen und zu veranlassen, das Zertifikat entsprechend der Steuerungsinformation auf dem Anwendungssystem (20 ) installiert wird. - Installationssystem gemäß einem der Ansprüche 7 bis 12, wobei der erste Agent (
15 ) einen zweiten Agenten (25 ) steuert, welcher auf dem Anwendungssystem ausgeführt wird, derart, dass der zweite Agent (25 ) das generierte und signierte Zertifikat auf der Basis des zugeordneten Profils auf dem Anwendungssystem (20 ) installiert. - Datenträger oder Signal mit Programmcode, welcher, wenn in eine Datenverarbeitungsanlage geladen, die Datenverarbeitungsanlage so steuert, dass sie das Verfahren gemäß einem der Ansprüche 1 bis 6 auszuführt.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016113110.5A DE102016113110A1 (de) | 2016-07-15 | 2016-07-15 | Verfahren und System zum Installieren von Zertifikaten |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016113110.5A DE102016113110A1 (de) | 2016-07-15 | 2016-07-15 | Verfahren und System zum Installieren von Zertifikaten |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102016113110A1 true DE102016113110A1 (de) | 2018-01-18 |
Family
ID=60782916
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016113110.5A Pending DE102016113110A1 (de) | 2016-07-15 | 2016-07-15 | Verfahren und System zum Installieren von Zertifikaten |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102016113110A1 (de) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050069136A1 (en) * | 2003-08-15 | 2005-03-31 | Imcentric, Inc. | Automated digital certificate renewer |
-
2016
- 2016-07-15 DE DE102016113110.5A patent/DE102016113110A1/de active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050069136A1 (en) * | 2003-08-15 | 2005-03-31 | Imcentric, Inc. | Automated digital certificate renewer |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3402152B1 (de) | Anlagenspezifisches, automatisiertes zertifikatsmanagement | |
EP3605253B1 (de) | Automatisierte public key infrastructure initialisierung | |
EP2936259B1 (de) | Aktualisieren eines digitalen geräte-zertifikats eines automatisierungsgeräts | |
WO2019034509A1 (de) | Verfahren zum sicheren ersetzen eines bereits in ein gerät eingebrachten ersten herstellerzertifikats | |
EP3226464B1 (de) | Datenstruktur zur verwendung als positivliste in einem gerät, verfahren zur aktualisierung einer positivliste und gerät | |
DE102011108003A1 (de) | Prozessleitsystem | |
EP3562089A1 (de) | Automatisiertes zertifikatsmanagement | |
WO2010026152A1 (de) | Verfahren zur einräumung einer zugriffsberechtigung auf ein rechnerbasiertes objekt in einem automatisierungssystem, computerprogramm und automatisierungssystem | |
EP3323076A1 (de) | Verfahren und anordnung zum sicheren austausch von konfigurationsdaten einer vorrichtung | |
EP3851924A1 (de) | Leitsystem für technische anlagen mit zertifikatsmanagement | |
EP3080950B1 (de) | Verfahren und system zur deterministischen autokonfiguration eines gerätes | |
EP3641216A1 (de) | Verfahren zum sicheren betreiben eines industriellen automatisierungsgeräts in einem automatisierungssystem und ein automatisierungsgerät, ein inbetriebnahmegerät sowie eine registrierungsstelle | |
EP3985532B1 (de) | Zertifikatsmanagement für technische anlagen | |
DE102014201234A1 (de) | Verfahren, Verwaltungsvorrichtung und Gerät zur Zertifikat-basierten Authentifizierung von Kommunikationspartnern in einem Gerät | |
DE102016113110A1 (de) | Verfahren und System zum Installieren von Zertifikaten | |
DE102009031143B3 (de) | Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats | |
DE102016220566A1 (de) | Verfahren zum Starten einer Steuerungskomponente eines Automatisierungssystems, Steuerungskomponente und Automatisierungssystem | |
EP3762845B1 (de) | Projektbezogenes zertifikatsmanagement | |
WO2018114102A1 (de) | Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung | |
EP1403749A1 (de) | Automatisierungssystem sowie Verfahren zu dessen Betrieb | |
EP3881486B1 (de) | Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar | |
EP3906653B1 (de) | Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer | |
EP4030321A1 (de) | Authentifizierung von mindestens einem ersten gerät bei mindestens einem zweiten gerät | |
EP4235324A1 (de) | Verfahren zur steuerung einer industriellen anlage | |
DE102016207635A1 (de) | Verfahren und Vorrichtung zur Absicherung von Gerätezugriffen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0009445000 Ipc: G06F0021450000 |
|
R016 | Response to examination communication |