Dokumentation: Beschaffung V-PKI-Zertifikate

Warum?

FIT-Connect Dokumentation beim Thema "Zertifikate" soll einfacher verständlich für Anbindende werden. Zudem sollen bisher nicht beschriebene Prozessabschnitte dargestellt werden.

Relevante Links und Bemerkungen

• FIT-Connect Doku: https://docs.fitko.de/fit-connect/docs/organisation-tasks/certificates/
• IT.N Doku: https://git.fitko.de/fitko/architekturmanagement-standards/fit-connect/projektmanagement/uploads/c29e800ebae4a8f6873b26be0585717f/20230119_Anleitung-ZertAntragstellung_EGVP-beBPo-Digitalpakt_weitereFV_ITN_WEB.pdf --> in der neusten Version sind die FIT-Connect Elemente teilweise entfernt worden: file:///C:/Users/Laura%20Elges/Downloads/20180724_Anleitung-ZertAntragstellung_EGVP-beBPo-weitereFV_ITN_WEB%20(13).pdf (Bso. S.5 Schritt 7)
• Nextcloud: https://nextcloud.fitko.net/index.php/apps/onlyoffice/93925?filePath=%2FFIT-Connect%20(2)%2F01_ORGANISATORISCHES%2F01_02_Dokumentation%2F01_02_01_Zertifikatsinformationen%2FVergleich%20mit%20IT.N%20Doku%20(4).docx
• Management/Zertifikatsinformationen/Vergleich%20mit%20IT.N%20Doku.docx
• Bekannte Registrierungsstellen mit gewünschtem Prozess unter https://wiki.fit-connect.fitko.dev/de/Arbeitshilfen/V-PKI

Akzeptanzkriterien

1. Sind die neuen Informationen einfach und präzise formuliert ?
2. Verstehen auch nicht Techniker den Prozess ?
3. Sind alle Informationen von den verschiedenen Bundesländern vorhanden?
4. Geben die vorhandenen Informationen eine Anleitung für den weiteren Prozess der Zertifikatsbeantragung?
5. Neue Informationen zum Zertifikat: "Es sind die V-PKI Vorgaben zu beachten. Als vereinfachte Interpretation der BSI-Empfehlung sollten Zertifikate nicht zwischen verschiedenen Betriebsdienstleistern geteilt werden, d.h. es sollte 1 Zertifikat pro Dienstleister benutzt werden. Falls jedoch mehrere Verfahren direkt in der Kommune / Behörde betrieben werden, vorausgesetzt, dass die Zertifikate nicht an Dritte weitergegeben werden und in der Behörde verbleiben, dann wäre auch die Nutzung eines Zertifikats in bis zu 30 verschiedenen Verfahren von unterschiedlichen Dienstleistern denkbar, vorausgesetzt einer positiven Restrisikoeinschätzung. (Quelle: BSI (S. 16 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/VerwaltungsPKI/pca_polv3_2_pdf.pdf?__blob=publicationFile&v=1; Deutsche Telekom Security GmbH (S. 25 https://www.telesec.de/assets/downloads/PKI-Repository/Telekom-Security-CPS-V-PKI-CAs-01.00.pdf))"

Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)

• Übernahme von Informationen zur Registrierungsstelle, Infobox und neue Information zum Zertifikat

• Auswahl von IT.N Doku Informationen für FIT-Connect Doku

• Überarbeitung der Doku

• Absprache mit Hauke

• Bei Abschluss des Ticket Marco bescheid geben, damit er es mit dem BSI nochmal abklären kann

• Definition of Done wurde geprüft