Ableiten JWKs aus V-PKI im SSP / JavaScript

Warum?

Viele Anwender haben Probleme mit der Nutzung der Python-Skripte. Speziell Non-IT-Mitarbeiter mit eingeschränkten Berechtigungen auf den Clients können selbst die Python-Skripte nicht ausführen. Aus Ergonomie-Gesichtspunkten wäre eine direkte Ableitung im SSP optimal.

Relevante Links und Bemerkungen

Akzeptanzkriterien

1. Ableitungsskript ist in JavaScript-SDKs implementiert
2. Skript und Auswahl des V-PKI-Zertifikats aus dem Client-PC kann aus Stage & Prod SSP gestartet werden
3. Nach Ausführung der Konvertierung können konvertierten Private-Keys in einem vom Anwender wählbaren Verzeichnis gespeichert werden.
4. Die konvertierten Public-Keys werden der Destination gespeichert
5. Ableitungsskript kann im Testsystem NICHT gestartet werden (siehe #1160)
6. Weder V-PKI noch Private-Keys gelangen außerhalb des Skriptes (nur auf dem Client)
7. Jegliches Cache und ähnliches werden sauber gelöscht
8. Im SSP ist für den User sauber dokumentiert, dass die V-PKI Zertifikate und private Keys den Rechner des Users nicht verlassen (inkl. Verweis auf GitLab wo das Skript einsehbar ist)
9. Lösung ist über einen P12-Container umgesetzt (zu prüfen ob technisch möglich)
   1. Übergabe des Keystores als ByteArray möglich
   2. Übergabe des Keystores als Pfad (Path oder Pfadstring) möglich
10. Ausgabe der generierten JWKs in einen mit Passwort geschützten PKCS#12 Container (Java KeyStore Interface)
11. Unterstützung von PEM/DER-Zertifikaten sicherstellen

Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)

• Bewertung der Lösung zur Generierung der Test-JWKS #1160
• Abstimmung Architektur und Zielzustand mit den POs (Speziell Security - Upload VPKI-Zertifikate im Browser (JS)) #1170
• ...
• ...
• Definition of Done wurde geprüft