Verwaltung der Root-Zertifikaten der V-PKI
Warum?
Wenn neue Root-Zertifikate vom BSI veröffentlicht werden, sollen diese zeitnah für FIT-Connect nutzbar sein. Daher müssen wir davon erfahren, bevor Kunden mit Fehlermeldungen sich melden.
Zusätzlich sollte der Prozess der Hinterlegung neuer Zertifikate so einfach und fehlerunanfällig wie möglich sein.
Relevante Links und Bemerkungen
- Root-Zertifikate auf dem Homepage des BSI: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Moderner-Staat/Verwaltungs-PKI/Wurzelzertifizierungsstelle/FingerprintsderWurzelzertifikate/fingerprintsderwurzelzertifikate_node.html
- Root-Zertifikate auf x500.bund.de: http://x500.bund.de/directory/f_nav_cert.html und nach "PCA-1-Verwaltung-" suchen
- Follow-Up zu #1480
Wo wir die V-PKI Root Zertifikate haben
- fit-connect-tools/trusted-root-certificates/v-pki-prod
- sdk-dotnet/FitConnect/TrustedRootCertificates
- Geplant: Analoges Verzeichnis in sdk-java
- infrastruktur/config/envs/refz/service.json
- infrastruktur/config/envs/prod/service.json
- ... weitere?
Akzeptanzkriterien
-
Es ist sichergestellt, dass das FIT-Connect Team innerhalb einer Woche (besser eines Tages) von neuen Root-Zertifikaten erfährt -
Alle Stellen, wo das neue Zertifikat abgelegt werden muss sind dokumentiert -
Die Schritte zum Hinzufügen oder Entfernen von Zertifikaten sind dokumentiert -
Alle Stellen, wo die Zertifikate hinterlegt sind, werden automatisch abgeglichen (entweder automatisch aktualisiert oder bei Unterschieden benachrichtigt)
Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)
-
Die Anzahl der Stellen, wo Zertifikate hinzugefügt oder entfernt werden müssen minimieren -
Die Schritte zum Hinzufügen oder Entfernen von Zertifikaten soweit möglich automatisieren -
... -
... -
Definition of Done wurde geprüft
Edited by Maik Böttner