Doku zur Ableitung von JWKs aus Zertifikaten [2]

Um den Entwicklern und Betreibern von empfangenden Systemen aufzuzeigen, wie sehr einfach aus V-PKI Zertifikaten die notwendigen JWK für Verschlüsselung und Signatur generiert werden, soll alle Schritt technisch dokumentiert werden.

Wünschenswert:

• Das die genutzten OSCI Zertifikate für Verschlüsselung und Signatur ausgestellt werden, soll im Beispiel gezeigt werden, wie aus einem Zertifikat in einem einzigen Ablauf beide JWKs generiert werden können
• Um die Hürde möglichst niedrig zu halten, soll die Umwandlung mit Hilfe eines frei nutzbaren Tools, wie bspw. step (https://smallstep.com/docs/step-cli/basic-crypto-operations) dargestellt werden

Weitere Informationen/Hinweise:

Es wird ein OSCI Testzertifikat aus der DOI-CA für das Beispiel genutzt. @Marco_Holz kann das Testzertifikat bereitstellen.

Akzeptanzkriterien:

• Ableitung von JWKs aus Zertifikaten auf Seiten der Fachanwendungen ist in der Dokumentation beschrieben
• Es wird die Nutzung eines bestehenden Tools dokumentiert oder ein eigenes kleines Tool geschrieben, dass unserer Anforderungen erfüllt.
  • In: Zertifikat, Schlüsselart (verify/wrap_key)
  • Out: JWK mit x5c
• Die Schlüssel aus dem Testzertifikat können zur Verschlüsselung und Signierung verwendet werden können (key_usages in X509)
• Es müssen 2 Schlüssel generiert werden:
  • Verschlüsselungsschlüssel (key_ops = wrap_key)
  • Signatur Schlüssel (key_ops=verify), um Security Event Token zu signieren
• Es wird auf einen Artikel für die Beantragung von DOI-CA / V-PKI Zertifikaten verwiesen

Testcert: https://codecentric.slack.com/archives/C01TW631805/p1623157166006200