SDK-Root-CA Registrierungsrichtlinie

Dies sind die aktuellen Richtlinien für die Registrierung neuer Zertifikate.

Allgemeines

Die SDK-Root-CA ist ein Service von Seeser Datentechnik, Inh. Peter Seeser, der für Kunden und Interessierte als "internes" Dienstleistungsangebot bereitgestellt wird. Die Zertifikate sind ausschließlich für die Nutzung zu Test- und Entwicklungszwecken sowie für interne Anwendungen bei Seeser Datentechnik vorgesehen.

Zertifikatseigenschaften

Es werden Zertifikatsanträge für die Clientauthentisierung, für die Serverauthentisierung und für die digitale Signatur bereitgestellt. Mit der Bereitstellung dieser Zertifikatstypen geht keinerlei Zusicherung einher. Es werden ausschließlich Zertifikate für End-Entitäten ausgestellt.

Zertifikate können mit einer maximalen Schlüssellänge von 2048 Byte angefordert werden; es werden die Hashverfahren SHA1 und SHA256 unterstützt. Die Gültigkeitsdauer der ausgestellten Zertifikate darf zwei Jahre nicht überschreiten. Zertifikatsanträge mit zu langer Laufzeit werden automatisch auf die zulässige Laufzeit berichtigt.

Als Zertifikatserweiterung sind sogenannte Subject-Alternate-Names in Form von DNS-Namen (FQDN) zulässig; diese müssen genauso wie die Common Name-Attribut zum Zeitpunkt der Antragstellung nachprüfbar (auflösbar) sein, dasselbe gilt für E-Mail-Adressen. Kurznamen oder IP-Adressen sind als SAN-Erweiterung nicht zugelassen. Für andere Erweiterungen ist die Objektbezeichnernummer anzugeben.

Es besteht grundsätzlich kein Anspruch auf Eintrag von beliebigen erweiterten Attributen.

Einreichung

Zertifikatsanträge sind als Base64 oder DER-codierte Signaturanträge einzureichen. Die Einreichung erfolgt entweder über eine Web-Schnittstelle oder per E-Mail. Gleichzeitig mit der Einreichung sind Unterlagen zur Bestätigung der Identität des Antragstellers vorzulegen. Diese Unterlagen unterscheiden sich je nach Antragsteller und beantragtem Zertifikatstyp. Bei der Antragstellung ist anzugeben, in welcher Form das ausgestellte Zertifikat benötigt wird. Hier stehen Base64 oder DER-codierte Container gem. PKCS#7 mit oder ohne vollständige Zertifikatskette zur Auswahl.

Die ausgestellten Zertifikate enthalten in jedem Fall einen Verweis auf den Sperrlistenverteilpunkt (Web-Only) und eine Aussteller-Erklärung.

Ausstellung und Auslieferung von Zertifikaten

Nach der Ausstellung der Zertifikats wird der Antragsteller benachrichtigt und kann das Zertifikat entweder per Download abrufen oder per E-Mail anfordern.