Archiv für den Monat: Februar 2021

Umstellung notwendig: Änderungen am SOAP-API

Einige Anwender der DFN-PKI nutzen die SOAP-API (https://blog.pki.dfn.de/tag/soapclient-releases/) zur Entwicklung von eigenen Systemen. An diesen Eigenentwicklungen müssen nun bis spätestens November 2021 Anpassungen vorgenommen werden, um die folgenden Änderungen umzusetzen.

Nicht betroffen sind Anwender, die ausschließlich die Java RA-Oberfläche und die Web-Antragsseiten nutzen.

Änderungen bei newRequest()

Der Subject-DN im PKCS#10-Request, der bei newRequest() übergeben wird, muss für Nutzer-und Pseudonymzertifikat anders aufgebaut werden.

Für Nutzerzertifikate: Es müssen zusätzliche DN-Attributen SN (surname, Nachname) und GN (givenName, Vorname) übergeben werden. Beispiel:

CN=Martha Musterfrau,GN=Martha,SN=Musterfrau,O=Musterorganisation,L=Musterstadt,ST=Musterbundesland,C=DE

Anträge für Nutzerzertifikate ohne CN, GN und SN werden an November 2021 nicht mehr angenommen.

Für Pseudonymzertifikate: Es muss ein zusätzliches DN-Attribut pseudonym übergeben werden. Der Wert soll wie der CN sein, aber ohne das führende „PN:“ oder „PN – „. Beispiel:

CN=PN: Mein Pseudonym,pseudonym=Mein Pseudoynm,O=Musterorganisation,L=Musterstadt,ST=Musterbundesland,C=DE

Anträge ohne CN und pseudonym, wenn der CN mit „PN:“ oder „PN – “ beginnt, werden ab November 2021 nicht mehr angenommen.

Für Gruppenzertifikate (Kennzeichnung „GRP:“ bzw. „GRP – „) und Serverzertifikate ändert sich nichts.

Selbstverständlich müssen die neuen Regeln auch bei der Verwendung von setRequestParameters() bzw. setExtendedRequestParameters() beachtet werden.

Optionale Übergabe des Subject-DN als separatem Parameter

Als weitere Änderung kann newRequest() optional auch zusätzlich der Subject-DN übergeben
werden. Dieser Wert überschreibt dann den Subject-DN aus dem übergebenen PKCS#10-Request.

Änderungen bei newRevocationRequest()

Der Parameter Reason in newRevocationRequest() darf in Zukunft nur noch die Werte
1, 3, 4 oder 5 annehmen. Die Bedeutung:

1, keyCompromise: Dieser Sperrgrund signalisiert, dass der zum Zertifikat
gehörende geheime Schlüssel kompromittiert (offengelegt) wurde oder
andere Aspekte der durch den Zertifikatnamen (SubjectDN) beschriebenen
Entität kompromittiert wurden.

3, affiliationChanged: Dieser Sperrgrund signalisiert, dass der Zertifikatname
(SubjectDN) oder andere Informationen im Zertifikat nicht mehr den
aktuellen Tatsachen entsprechen, etwa weil sich Namen,
E-Mail-Adressen, Funktionsrollen oder Zugehörigkeiten geändert haben,
dass aber gleichzeitig kein Grund für einen Verdacht besteht, dass der
zum Zertifikat gehörende geheime Schlüssel kompromittiert wurde.

4, superseded: Dieser Sperrgrund signalisiert, dass das Zertifikat von
einem neueren Zertifikat abgelöst wurde, dass aber gleichzeitig kein
Grund für einen Verdacht besteht, dass der zum zu sperrenden
Zertifikat gehörende geheime Schlüssel kompromittiert wurde.

5, cessationOfOperation: Dieser Sperrgrund signalisiert, dass das Zertifikat
nicht länger für die Zwecke eingesetzt wird, für die es ausgestellt
wurde, dass aber gleichzeitig kein Grund für einen Verdacht besteht,
dass der zum Zertifikat gehörende geheime Schlüssel kompromittiert
wurde.

Im soapclient gibt es hierfür die folgende neue Methode:

DFNCERTPublic.newRevocationRequest(int RaID,
BigInteger Serial, de.dfncert.enums.RevocationReason Reason, String Pin)

bzw.

DFNCERTRegistration.newRevocationRequest(BigInteger Serial, de.dfncert.enums.RevocationReason Reason)

Die Sperrgründe werden als de.dfncert.enums.RevocationReason übergeben:

RevocationReason.KEY_COMPROMISE
RevocationReason.AFFILIATION_CHANGED
RevocationReason.SUPERSEDED
RevocationReason.CESSATION_OF_OPERATION

Diese eingeschränkten Sperrgründe müssen auch bei einem Aufruf von setRevocationInfo() berücksichtigt werden.

Zeitplanung

Die aktuelle Schnittstelle (Stand Februar 2021) ist noch voll abwärts-kompatibel. Ab November 2021 wird allerdings die Verwendung der neuen DN-Parameter in newRequest(), setRequestParamaters() und setExtendedRequestParameters() und der neuen Sperrgründe in newRevocationRequest() und setRevocationInfo() verpflichtend.

 

(Jürgen Brauckmann, 18.2.2021)

SOAP-Client Version 4.3

Das Bundle mit der Dokumentation und der Java-Client-Bibliothek der SOAP-Schnittstelle der DFN-PKI steht nun in einer neuen Version für JDK >= 11 bereit: https://info.pca.dfn.de/doc/soapclient-bundle-4.3.tar.gz

Änderungen der Version 4.3 gegenüber 4.0.2:

Neue Funktionen in der öffentlichen Schnittstelle:

  newRequest(int RaID, String PKCS10, String[] AltNames,
            String Role, String Pin, String AddName, String AddEMail,
            String AddOrgUnit, boolean Publish,String Subject)

Erstellt einen neuen Zertifikatantrag, wobei der Subject-DN separat übergeben wird. Dieser Subject-DN überschreibt den Wert aus dem übergebenen PKCS#10-Request.

  newRevocationRequest(int RaID, BigInteger Serial, RevocationReason Reason, String Pin)

Erstellt einen Sperrantrag, wobei der Sperrgrund als Typ RevocationReason übergeben wird.

Die bisherige Funktion newRevocationRequest(int RaID, BigInteger Serial, String Reason, String Pin) (Übergabe des Sperrgrunds als String) ist veraltet, steht bis voraussichtlich 11/2021 aber noch zur Verfügung.

Neue Funktion der Registrierungsstelle:

  newRevocationRequest(BigInteger Serial, RevocationReason Reason)

Erstellt einen Sperrantrag, wobei der Sperrgrund als Typ RevocationReason übergeben wird.

Die bisherige Funktion newRevocationRequest(BigInteger Serial, String Reason) (Übergabe des Sperrgrunds als String) ist veraltet, steht aber bis voraussichtlich 11/2021 noch zur Verfügung.

Für Entwicklungsarbeiten empfehlen wir dringend, dass Sie unsere Test-PKI verwenden. Sprechen Sie uns bitte an, um einen Zugang zu erhalten. Kontakt: mailto:dfnpca@dfn-cert.de

Bitte beachten Sie, dass Sie bei der Implementierung von eigenen Systemen unbedingt die Vorgaben der Zertifizierungsrichtlinie und des Dokumentes Pflichten der Teilnehmer einhalten müssen. Bitte besprechen Sie Ihr Projekt vorab mit uns. Kontakt: mailto:dfnpca@dfn-cert.de

(Jürgen Brauckmann, 18.02.2021)

Java RA-Oberfläche Version 3.5.1

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.5.1 hier herunterladen:

guira-3.5.1.zip

guira-3.5.1.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.5 umfasst die Version 3.5.1 (16.02.2021) folgende Änderungen:

  • Fehler beim Sperren von Zertifikaten über das Kontext-Menü behoben

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 16.02.2021)

Java RA-Oberfläche Version 3.5

Die Java RA-Oberfläche für den Teilnehmerservice der DFN-PKI können Sie in der Version 3.5 hier herunterladen:

guira-3.5.zip

guira-3.5.zip.SHA256sum

Entpacken Sie das ZIP-Archiv. In den Dateien README.txt und Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Änderungen

Gegenüber der Version 3.3 umfasst die Version 3.5 (02.02.2021) folgende Änderungen:

  • Unterstützung der DN-Attribute givenName (GN), surname (SN) und pseudonym
  • Beim Sperren von Zertifikaten können nur noch standardisierte Sperrgründe ausgewählt werden.
  • Behebung kleinerer Fehler
  • Ergänzung der internen Mechanismen von Assistenten

Systemvoraussetzungen

  • OpenJDK ab Version 11
  • Andere aktuelle Java Umgebungen können auch verwendet werden. Bitte beachten Sie hierzu: In unseren Abnahmetests verwenden wir ausschließlich OpenJDK.

Die enthaltenen Startskripte erwarten eine gesetzte Umgebungsvariable JAVA_HOME. Hinweise hierfür finden Sie in den Dateien README.txt und Anleitung_Windows.pdf.

Hinweise zum Bezug von Java finden Sie unter: https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche

Konfiguration

Die RA-Oberfläche speichert die Einstellungen in Ihrem Home-Verzeichnis im Verzeichnis .dfn-pki. Sie können das entpackte ZIP-Archiv mit den ausführbaren Dateien beliebig verschieben, löschen oder neu herunterladen, ohne dass Sie die Einstellungen verlieren.

(Jürgen Brauckmann, 15.02.2021)