Verwaltung der Root-Zertifikaten der V-PKI

Warum?

Wenn neue Root-Zertifikate vom BSI veröffentlicht werden, sollen diese zeitnah für FIT-Connect nutzbar sein. Daher müssen wir davon erfahren, bevor Kunden mit Fehlermeldungen sich melden.

Zusätzlich sollte der Prozess der Hinterlegung neuer Zertifikate so einfach und fehlerunanfällig wie möglich sein.

Relevante Links und Bemerkungen

• Root-Zertifikate auf dem Homepage des BSI: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Moderner-Staat/Verwaltungs-PKI/Wurzelzertifizierungsstelle/FingerprintsderWurzelzertifikate/fingerprintsderwurzelzertifikate_node.html
• Root-Zertifikate auf x500.bund.de: http://x500.bund.de/directory/f_nav_cert.html und nach "PCA-1-Verwaltung-" suchen
• Follow-Up zu #1480 (closed)

Wo wir die V-PKI Root Zertifikate haben

• fit-connect-tools/trusted-root-certificates/v-pki-prod
• sdk-dotnet/FitConnect/TrustedRootCertificates
• Geplant: Analoges Verzeichnis in sdk-java
• infrastruktur/config/envs/refz/service.json
• infrastruktur/config/envs/prod/service.json
• ... weitere?

Akzeptanzkriterien

1. Es ist sichergestellt, dass das FIT-Connect Team innerhalb einer Woche (besser eines Tages) von 2Wochen von neuen Root-Zertifikaten erfährt
2. Alle Stellen, wo das neue Zertifikat abgelegt werden muss sind dokumentiert
3. Die Schritte zum Hinzufügen oder Entfernen von Zertifikaten sind dokumentiert
4. Alle Stellen, wo die Zertifikate hinterlegt sind, werden automatisch abgeglichen (entweder automatisch aktualisiert oder bei Unterschieden benachrichtigt) Es gibt nur noch eine Quelle wo die Zertifikate hinterlegt sind und gepflegt werden müssen. Stellen, wo diese Zertifikate benötigt werden ziehen das von dieser Quelle. Die Quelle wird jeweils am 1. und 15. des Monats auf ein Update überprüft. Bei einem Update muss die Handlungsrichtlinie ausgeführt werden, um alle Stellen zu aktuallisieren.

Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)

• Die Anzahl der Stellen, wo Zertifikate hinzugefügt oder entfernt werden müssen minimieren
• Die Schritte zum Hinzufügen oder Entfernen von Zertifikaten soweit möglich automatisieren soweit dokumentiert
• Seiten Hash ermitteln und auf Änderungen prüfen (Curl und footer ignorieren)
• Einbinden in Dotnet-SDK
• Einbinden in Java-SDK
• Einbinden in fit-connect tools
• Einbinden in Infrastruktur-Templates für ZSD (Done but waiting for ZSD)
• Alerts fürs erste ins Monitoring um zu prüfen wie häufig false Alerts
• Repos für jeweils v-pki-prod und v-pki-test anlegen
• Definition of Done wurde geprüfta