Inhalt

1. Einleitung
2. Zertifizierungsinstanz der HSH GmbH
3. Inhalt der HSH GmbH-Zertifikate
4. Registrierungsinstanzen der HSH GmbH
5. Zertifikatnehmer der HSH GmbH
6. Zertifizierungsvorgang
7. Sperrung von Zertifikaten
8. Management von Zertifikaten
9. Regeln für die Namensgebung
10. Dokumentation und Datenschutz

1. ---

   Einleitung

   CPS - (Certification Practice Statement), Germany, HSH Soft- und Hardware Vertriebs GmbH - http://www.hsh-berlin.com/certification . Das Ziel der Zertifizierungsinstanz der HSH GmbH für elektronische Zertifikate (HSH-CA) liegt in der Schaffung der technischen Voraussetzungen für eine gesicherte elektronische Kommunikation. Die HSH GmbH sowie die Betreiber der HSH-CA übernehmen keinerlei Gewährleistung. Insbesondere wird keine Haftung für eventuelle Schäden, die durch die Inanspruchnahme der Dienste der HSH-CA entstanden sind, übernommen. Alle Aufgaben werden von den Mitarbeitern der HSH-CA nach bestem Wissen und Gewissen durchgeführt. Eine Zertifizierung durch die HSH-CA zieht keinerlei rechtliche Bedeutung nach sich, da die HSH GmbH ist kein Zertifizierungsdienstanbieter ist. In Anlehnung an allgemeine Richtlinien für Zertifizierungen und Empfehlungen des BSI, stellt die HSH-CA Zertifikate nach einer Richtlinie Zertifikate für Benutzer, Systeme und untergeordneten CA's in Teststellungen aus, nach dieser es Kommunikationspartnern und Benutzern möglich ist, Qualität und Güte selbst einzuschätzen.

   Der ASN.1 Object Identifier (OID) für diese Zertifizierungsrichtlinie ist: 1.3.6.1.4.1.26436.53.2.1.1
   top

2. ---

   Zertifizierungsinstanz der HSH Soft- und Hardware Vertriebs GmbH

   Die Zertifizierungsinstanz der HSH Soft- und Hardware Vertriebs GmbH (HSH-CA) hat folgende Adresse:

   HSH  Soft- und Hardware Vertriebs GmbH Abteilung Technik, HSH-CA Rudolf-Diesel-Str. 2 D-16356 Ahrensfelde Tel: +49 30 94 004 151 Fax: +49 30 94 004 110 eMail: zertifizierungsinstanz@hsh-berlin.com eHome: http://www.hsh-berlin.com/certification DN (X.509): CN=HSH Soft- und Hardware Vertriebs GmbH, Class 1 CA - RootCA O=HSH Soft- und Hardware Vertriebs GmbH C=DE

   Die HSH-CA zertifiziert nur Mitarbeiter/ -innen oder serverbasierte Dienste der HSH GmbH.

   Die HSH-CA ist eine Offline-CA und arbeitet

   • sowohl als Zertifizierungsstelle,
     indem sie den Zertifizierungsrequest des Zertifikatnehmers übermittelt bekommt oder im Auftrag des Antragstellers nach Absprache selbst erzeugt, diesen zertifiziert und die Zertifizierungsantwort dem Zertifikatnehmer übermittelt.
   • als auch als Trust-Center,
     indem sie für die Zertifikatnehmer das asymmetrische Schlüsselpaar erzeugt und den öffentlichen Teil des Schlüsselpaares zertifiziert,

   Die HSH-CA stellt im Sinne des Signaturgesetzes (anlehnend) nur Zertifikate für fortgeschrittene elektronische Signaturen und keine qualifizierten elektronische Zertifikate aus; die rechtliche Relevanz dieser Zertifikate wird im Einzelfall festzustellen sein.

   Die Zertifikate für fortgeschrittene elektronische Signaturen werden als

   • low-level Zertifikate
     Software-Zertifikate (PKCS#10, PKCS#12, ...)
   • medium-level Zertifikate
     Hardware-Zertifikate (Chip-Karte mit PSE, ...)

   ausgegeben. Die Inhalte dieser Zertifikate unterscheiden sich "nur" im Kommentar, der auf die jeweilige Zertifizierungsstufe hinweist.

   Als ein mittelständiges Unternehmen mit weniger als 150 Mitarbeitern (incl. Aussendienstmitarbeitern/-innen), einem geograpisch zentralen Standort und der somit gegebenen Überschaubarkeit übernimmt die HSH-CA auch die Funktion der HSH-RA (Registrierungsauthorität) zur Prüfung der Zertifikatsnehmer.

   Die HSH-CA erfüllt folgende Bedingungen:

   • Als Zertifizierungseinheit der HSH-CA ist derzeit kein dedizierter Rechner eingesetzt, jedoch ist der Zugriff auf diesen besonders geschützt
   • Die HSH-CA verwendet unterschiedliche asymmetrische Schlüsselpaare zur Zertifizierung und zur Kommunikation.
   • Mit dem Zertifizierungsschlüssel werden ausschließlich Zertifikate für Zertifikatnehmer bzw. Sperrlisten (CRLs) unterschrieben.
   • Der geheime Schlüssel der HSH-CA zum Erzeugen elektronischer Signaturen wird ausreichend vor Mißbrauch durch Unbefugte geschützt.
   • Der Zertifizierungsschlüssel der HSH-CA hat Mindestlänge von 2048 Bits und kann damit aus heutiger Sicht bis Ende 2009 gültig sein. (vgl. Empfehlungen des BSI zu den Kryptoalgorithmen)
   • Der Kommunikationssschlüssel der HSH-CA dient ausschließlich zur Kommunikation mit der HSH-CA; er unterscheidet sich nicht von Zertifikaten der übrigen Zertifikatnehmer.
   • Die HSH-CA zertifiziert entsprechend den Empfehlungen des BSI zu den Kryptoalgorithmen Schlüssel
     • mit einer Mindestlänge von 1024 Bits, welche aus heutiger Sicht bis Ende 2008 gültig sein können,
     • mit einer Länge von 2048 Bits, welche aus heutiger Sicht bis Ende 2009 gültig sein können.
     • und behält sich vor, unternehmensinterne Server/Dienste/Anwendungen/Benutzer, mit öffentlicher Unrelevanz entgegen den Empfehlungen des BSI, mit abweichenden Schlüssellängen und einer ggf. abweichenden Gültigkeitsdauer der Zertifikate selbst, zu zertifizieren.
   top

3. ---

   Inhalt der HSH-CA Zertifikate

   Die von der HSH-CA ausgestellten Zertifikate enthalten:

    

   für Benutzerzertifikate	für Server-Zertifikate	Name der Zertifizierungsinstanz
   E=Benutzer-E-Mail, i.d.R. <vorname.nachname@hsh-berlin.com> CN=<Vorname Nachname> OU=Optional, i.d.R. User OU=Optional O=HSH Soft- und Hardware Vertriebs GmbH L=Optional, i.d.R. Brandenburg / Lindenberg S=Optional, i.d.R. Germany C=DE	E=Optional CN=<Systemname> FQDN OU=Optional, i.d.R. Services OU=Optional O=HSH Soft- und Hardware Vertriebs GmbH L=Optional, i.d.R. Brandenburg / Lindenberg S=Optional, i.d.R. Germany C=DE	CN=HSH Soft- und Hardware Vertriebs GmbH, Class 1 CA - RootCA O=HSH Soft- und Hardware Vertriebs GmbH C=DE

    

   • Seriennummer des Zertifikats
   • Gültigkeitszeitraum
   • Name des Signatur Algorithmus
   • Öffentlicher Schlüssel
   • folgende Erweiterungen:
     • Alternativer Name des Zertifikatinhabers
       RFC822-Name; E-Mail-Adresse: vorname.nachname@hsh-berlin.com
     • Alternative Namen der Zertifizierungsinstanz
       RFC822-Name; E-Mail-Adresse: zertifizierungsinstanz@hsh-berlin.com
       URL:   http://www.hsh-berlin.com/certification
     • Key Usage
     • Extended Key Usage
     • Basic Constraints
     • URI auf diese Policy der HSH-CA
     • URI auf die Sperrliste (CRL) der HSH-CA
   • Kommentar
     • [-= HSH GmbH - Benutzer Zertifikat =-] Software Zertifikat der Zertifizierunginstanz (CA) der HSH Soft- und Hardware Vertriebs GmbH,
       Lindenberg/Germany; RootZertifikat über http://www.hsh-berlin.com/certification
     • [-= HSH GmbH - Server Zertifikat =-] Software Zertifikat der Zertifizierunginstanz (CA) der HSH Soft- und Hardware Vertriebs GmbH,
       Lindenberg/Germany; RootZertifikat über http://www.hsh-berlin.com/certification
     • [-= HSH GmbH - ROOT Certification Authority =-] RootZertifikat der Zertifizierunginstanz (CA) der HSH Soft- und Hardware Vertriebs GmbH,
       Lindenberg/Germany; RootZertifikat über http://www.hsh-berlin.com/certification
   top

4. ---

   Registrierungsinstanzen der HSH Soft- und Hardware Vertriebs GmbH

Die Registrierungsinstanz bildet in der Regel die Schnittstelle der Benutzer bzw. Zertifikatnehmer zur Zertifizierungsinstanz.
Da die HSH GmbH zentral ansässig ist und keine weiteren Institutionen zur Gesellschaft zählen, ist es nicht notwendig eine gesonderte, zuständige Registrierungsinstanz (HSH-RA) zu benennen.

Diese Aufgabe übernimmt die HSH-CA vor Ort und selbst, indessen Zuge die Identitätsüberprüfung der Zertifikatnehmer und der Zertifikatanforderungen sowie die Übermittelung/Bearbeitung der Zertifikatanforderungen an die HSH-CA erfolgt.

Die HSH-CA/RA erfüllt folgende Bedingungen:

• Das ggf. zur Registrierung erforderliche Passwort ist ausreichend vor Missbrauch durch Unbefugte zu schützen und darf nicht weitergegeben werden.
• Die elektronische Kommunikation mit der HSH-CA geschieht ggf. über signierte und ggf. verschlüsselte E-Mails.

Die HSH-CA/RA führt folgende Aufgaben durch:

1. Überprüfung der Identität der HSH-Mitarbeiter/-innen.
2. ggf. die Überprüfung des Fingerprints der Zertifikatanforderung mit dem auf dem Ausdruck der Schlüsselgenerierung.
3. ggf. die Überprüfung des Namens in dem öffentlichen Schlüssel, ggf. nach Rücksprache mit der HSH-CA, entsprechend den Regeln für die Namensgebung
4. ggf. werden Zertifikatnehmer darauf hingewiesen, dass nur Zertifikate mit einer Schlüssellänge von mindestens 1024 Bit zertifiziert werden.
5. ggf. signierte und verschlüsselte Übermittelung der Zertifikatsanforderung an die HSH-CA.
6. Festlegung des Gültigkeitszeitraums für das Zertifikat.
top

5. ---

   Zertifikatnehmer der HSH Soft- und Hardware Vertriebs GmbH

   Folgende Anforderungen werden an die Zertifikatnehmer der HSH GmbH gestellt:

   • Zertifikatnehmer können sowohl Mitarbeiter/-innen als auch "Server" der HSH GmbH sein.
   • Der geheime Schlüssel des Zertifikatnehmers muß ausreichend vor Mißbrauch durch Unbefugte geschützt sein (zB. Passwort, PIN).
   • Der geheime Schlüssel des Zertifikatnehmers darf grundsätzlich nicht an ZWEITE, auch nicht an die HSH-CA, weitergegeben werden. Hierfür ist jeder Zertifikatnehmer selbst verantwortlich.
   • Generieren sich Zertifikatnehmer das asymmetrische Schlüsselpaar selbst, so muß es eine Schlüssellänge von mindestens 1024 Bit haben; denn dadurch kann es aus heutiger Sicht bis Ende 2008 gültig sein. Bei einer Schlüssellänge von 2048 Bit kann das Zertifikat bis Ende 2009 gültig sein.
   • Zertifikatnehmer erzeugen einen Zertfizierungsrequest (z.B PKCS#10), der den Namen des Zertifikatnehmers entsprechend den Regeln für die Namensgebung enthalten muß. Dieser Name identifiziert eindeutig den Zertifikatnehmer der HSH GmbH. Die HSH-CA kann im Auftrag des Zertifikatnehmers unterstützend die entsprechende Zertfizierungsrequest erzeugen.
   • Die Zertifikatnehmer der HSH-CA erklären sich mit der Veröffentlichung ihres Zertifikats einverstanden.
   • Zertifikatnehmer sind verpflichtet, unverzüglich das eigene Zertifikat sperren zu lassen, falls ihnen eine missbräuche Nutzung des eigenen geheimen Schlüssels bekannt geworden ist.
   • Zertifikatnehmer müssen dieser Zertifizierungsrichtlinie der HSH-CA zustimmen.
   top

6. ---

   Zertifizierungsvorgang

   Für die Funktion der HSH-CA als Zertifizierungsinstanz, die "nur" Zertifizierungsanforderungen von Zertifikatnehmern zertifiziert, sind folgende Schritte vorzunehmen:

   1. Die HSH-CA/RA erhält von dem Zertifikatnehmer den Zertifizierungsrequest (PKCS#10, SPKC) im DER- und auch im TXT-Format (ASCII).
   2. Die HSH-CA/RA überprüft, ob der Name in der Zertifizierungsanforderung mit den Daten für die Regeln der Namensgebung der HSH GmbH übereinstimmt.
   3. Die HSH-CA/RA überzeugt sich von der Identität des Zertifikatnehmers.
   4. Der Zertifikatnehmer hat vor der Zertifizierung seines öffentlichen Schlüssels durch die HSH-CA der Teilnehmererklärung der HSH-CA, in der der Zertifizierungsrichtlinie der HSH-CA, zugestimmt und ggf. diese zu unterzeichnen. Dabei erhält er den öffentlichen Zertifizierungsschlüssel der HSH-CA (Zertifikat Fingerprint).
   5. Die HSH-CA/RA überprüft, ob der Zertifizierungsrequest über eine Schlüssellänge von mindestens 1024 Bits verfügt.
   6. Die HSH-CA zertifiziert die Zertifizierungsanforderung und übermittelt die Zertifizierungsantwort (PKCS#7) an den Zertifikatnehmer.

   Für die Funktion der HSH-CA als Trust-Center, welche das asymmetrische Schlüsselpaar zentral für den Zertifikatnehmer erstellt, sind folgende Schritte vorzunehmen:

   1. Der Zertifikatnehmer meldet sich mit dem Zertifizierungswunsch bei der HSH-CA/RA .
   2. Die HSH-CA erzeugt für diese Daten das Personal Security Environment (PSE), indem sie ein asymetrisches Schlüsselpaar generiert und den öffentlichen Teil des Schlüsselpaares zertifiziert.
   3. Die HSH-CA übermittelt die PSE als PKCS#12-Datei auf  gesichertem Wege bzw. persönlichen Übergabe durch die HSH-CA/RA an den Zertifikatnehmer
   4. ...und überzeugt sich dabei von der Identität des Zertifikatnehmers.
   5. Der Zertifikatnehmer hat handschriftlich die Teilnehmererklärung der HSH-CA, in der der Empfang der PSE bestätigt und der Zertifizierungsrichtlinie der HSH-CA zustimmt wird, zu unterzeichnen. Dabei erhalten Sie den öffentlichen Zertifizierungsschlüssel der HSH-CA (Zertifikat Fingerprint).
   6. Die HSH-CA vernichtet bei sich die PSE des Zertifikatnehmers nachhaltig.

   Die von der HSH-CA ausgestellten Zertifikate sind bei einer Schlüssellänge von 1024 Bit nur bis Ende 2008 und bei einer Schlüssellänge von 2048 Bit zunächst bis Ende 2009 gültig. Die HSH-CA/RA kann ggf. auch einen kürzeren Zeitraum festlegen.

   Die Zertifikate werden nicht automatisch durch die HSH-CA erneuert. Die Zertifikatnehmer/-innen müssen sich rechtzeitig um die Re-Zertifizierung durch die HSH-CA selbst kümmern.
   

   top

7. ---

   Sperrung von Zertifikaten

   Die HSH-CA behält sich vor, von ihr erteilte Zertifikate jederzeit vor Ablauf der Gültigkeitsdauer mit expliziter Angabe von Gründe zu sperren. Ursachen für die Sperrung eines Zertifikats können beispielsweise sein:

   • Bekanntwerden missbräuchlicher Handlungen eines Zertifikatnehmers
   • Nichtbefolgen auch einzelner Punkte dieser Policy
   • Ausscheiden eines Mitarbeiters aus der HSH Soft- und Hardware Vertriebs GmbH
   • Änderung des Namens des Zertifikatnehmers
   • Änderung der E-Mail-Adresse

   Jeder Zertifikatnehmer kann von der HSH-CA/RA auch ohne Angabe von Gründen verlangen, dass diese sein Zertifikat sperrt. Gründe könnten sein:

   • Der private Schlüssel des Zertifikatnehmers ist missbräuchlich benutzt worden.
   • Der Zertifikatnehmer hat die PIN-Nummer auf den privaten Schlüssel vergessen und kann ihn nicht mehr benutzen.
   • Der private Schlüssel ist verloren oder unwiederbringlich zerstört.

   Die HSH-CA/RA hat diesem Verlangen nachzukommen, sobald sie sich durch geeignete Schritte davon überzeugt hat, dass der Antrag vom Zertifikatnehmer selbst stammt bzw. von ihm autorisiert ist. Eine rückwirkende Sperrung ist nicht möglich. Einmal gesperrte Zertifikate können nicht erneuert werden. Jedoch hat jeder Teilnehmer der HSH-CA die Möglichkeit, ein neues Zertifikat anzufordern.

   Die gesperrten Zertifikate werden unverzüglich von der HSH-CA auf der Sperrliste, der sog. Certificate Revocation List (CRL), veröffentlicht, damit die entsprechenden Schlüssel nicht irrtümlicherweise benutzt werden. Gesperrte Zertifikate bleiben solange auf der CRL, bis die ursprüngliche Gültigkeitsdauer überschritten wurde.
   top

8. ---

   Management von Zertifikaten

   Die Zertifikate der HSH-CA werden zunächst in einer lokalen Datenbank auf dem dedizierten, explizit geschütztem System der HSH-CA, der zur Zertifizierung eingesetzt ist, gespeichert.

   Die Zertifikate und Certificate-Revocation-Lists (CRLs) der HSH-CA werden auf den WEB-Seiten der HSH-CA veröffentlicht.
   top

9. ---

   Regeln für die Namensgebung

   Zur Identifizierung der Zertifikate wird den Zertifikatnehmern der HSH-CA ein eindeutiger Name, ein "Distinguished Name" (DN), wie er in den X.509 bzw. X.500 definiert ist, zugeordnet. Da die HSH-CA nur Zertifikatnehmer des Unternehmens zertifiziert, sind "Distinguished Name" und ggf. E-Mail Adresse für den Zertifikatnehmer vorgegeben. Der "Distinguished Name" ist hierarchisch strukturiert und wird durch eine geordnete Folge von eindeutig kennzeichnenden Namensattributen definiert.

    

   • "Distinguished Name" und E-Mail-Adresse der HSH-CA sind:
     CN=HSH Soft- und Hardware Vertriebs GmbH, Class 1 CA - RootCA
     O=HSH Soft- und Hardware Vertriebs GmbH
     C=DE
     E=zertifizierungsinstanz@hsh-berlin.com
     
   • "Distinguished Names" und E-Mail-Adressen für Mitarbeiter/-innen der HSH GmbH sind grundsätzlich
     CN=Vorname Nachname
     O=HSH Soft- und Hardware Vertriebs GmbH
     C=DE
     E=vorname.nachname@hsh-berlin.com (Konventionen über Mail-Benutzernamen in der HSH GmbH)
     
     Für Vorname und Nachname wird grundsätzlich die ASCII-Form der Namen genommen.
     
   • "Distinguished Names" für Services der HSH GmbH sind grundsätzlich
     CN= rechnername.domainname.topleveldomain (alle gültigen, auf die HSH GmbH registrierten Domains im FQDN Format)
     O=HSH Soft- und Hardware Vertriebs GmbH
     C=DE

   "DN - Distinguished Name" und E-Mail-Adresse eines Zertifikatnehmers werden als "Subject Name" bzw. "Subject alternative Name" in den Zertifikaten verwendet. 

   top

10. ---

    Dokumentation und Datenschutz

    Alle Arbeiten im Rahmen dieser Policy werden, soweit technisch durchführbar, dokumentiert. Die bei der Zertifizierung anfallenden Daten werden vertraulich behandelt und die für sie geltenden Datenschutzrichtlinien einhalten.
    top

Verantwortlich für diese Seite: HSH GmbH - HSH-CA