Personenzertifikate

Die Baseline Requirements sind Vorgaben die sicherstellen sollen, dass ein dort festgelegter Sicherheitsstandard für die Ausgabe von vertrauenswürdigen Zertifikaten eingehalten wird.

Als Operator muss man sicherstellen, dass vor Zertifikatsproduktion eine Domain-Validierung erfolgreich durchgeführt worden ist. Weiteres, muss vor dem Bezug von Personenzertifikaten auch die Operatorenschulung (ExtIdent-Schulung) absolviert werden.

Nein, Sie können diese bis zum regulären Enddatum uneingeschränkt nutzen.

Nein, bereits ausgestellte Zertifikate behalten ihre Gültigkeit und müssen nicht vorzeitig gesperrt werden.

Nein, sollten Sie aktuell keine Personenzertifikate beziehen und dies auch in Zukunft planen, besteht für Sie kein Handlungsbedarf.

Wir empfehlen Ihnen das Folgezertifikat entsprechend über Reseller zu beziehen. Hier eine Liste unserer Reseller: ((ausklappbar))

• PSW-Group GmbH & Co. KG
  Flemingstraße 20-22
  36041 Fulda
  E-Mail: support@psw.net
  Tel.: +49 (0) 661 480 276 10
  Website: https://www.psw-group.de/
  https://www.psw-group.de/ssl-zertifikate/list/all/all/d-trust/all/deutschland/all/all/0/0/ascending/page-1/?cHash=483c0eab6076c60bb0521dae2a342a20

• WVV iT solutions
  Würzburger Versorgungs- und Verkehrs-GmbH
  Haugerring 5
  97070 Würzburg
  E-Mail: it.solutions@wvv.de
  Website: https://it-solutions.wvv.de
  https://it-solutions.wvv.de/it-solutions/sicherheitszertifikat/

• SSLplus ist ein Vertriebsweg der
  icertificate GmbH
  Poppelsdorfer Allee 114
  53113 Bonn
  E-Mail: support@sslplus.de
  Tel.: +49 (0) 228 387 583 00
  Website: https://www.sslplus.de/
  https://www.sslplus.de/marken/dtrust/d-trust-advanced-ssl-wildcard-id.html

• performio GmbH
  An den Werften 11
  68782 Brühl
  E-Mail: Zertifikate@perfomio.de
  Tel.: +49 (0) 620 212 710 0
  Website: https://www.performio.de/
  https://www.performio.de/zertifikate/

Hinweis: Sollten Sie bisher ein Personenzertifikat mit einem Organisationseintrag verwenden, können wir ihnen dieses zukünftig nicht mehr zur Verfügung stellen. 

Ja, in allen Fällen, auch wenn Dienstleister als technische Ansprechpartner fungieren, müssen die im Zertifikat genannten Personen von einem CSM-Operator der Organisation des zu identifizierenden angehört, identifiziert werden. Für diesen Fall muss ein ExtIdent-Vertrag der Organisation mit D-Trust abgeschlossen werden, und der Identifizierungs- und Nachweisprozess dokumentiert sein.

Die Identität eines Mitarbeiters muss zweifelsfrei sichergestellt werden. Eine Identifizierung durch die Operatoren muss vor Beantragung eines Zertifikats sichergestellt und der Prozess im Unternehmen dokumentiert werden.

Hier gibt es die Möglichkeit, die Identifizierung aus dem HR-Onboarding-Prozess zu nutzen, sofern die Identifizierung nicht länger 824 Tage in der Vergangenheit stattgefunden hat.

Die Prozesse werden in einem jährlichen Audit nachgewiesen. Dieses wird in der Regel in Form eines Self-Audits durchgeführt, bei dem die Organisation einen Fragenkatalog, der von D-Trust zur Verfügung gestellt wird, beantwortet. Die beantworteten Fragen werden der D-Trust zugesandt. Davon unberührt bleibt die Möglichkeit der Durchführung von Vor-Ort oder Dokumenten-Audits durch die D-Trust oder einen externen von der D-Trust benannten Auditor.  

Zu diesem Zweck stellen wir Ihnen die jährliche Operatorenschulung zur Verfügung. In dieser Operatorenschulung finden Sie Antworten auf diese und weitere Fragen.

Wir helfen gerne weiter. Melden Sie sich bei csm@d-trust.net um mehr über die zulässigen Identifizierungsverfahren zu erfahren.

Sämtliche Informationen zu den Identifizierungsprozessen müssen von der Organisation gespeichert und in auditierbarer Form vorgehalten werden.

Die Daten müssen durch Kunden und Kundinnen erfasst und aufbewahrt werden. Eine Übermittlung an D-Trust oder Speicherung im CSM ist nicht notwendig. Die Daten müssen für Auditzwecke während des Aufbewahrungszeitraums jederzeit für D-Trust zugänglich gemacht werden können.

Ja.

Ab den 01.09.2023 ist der Nachweis einer Domainkontrolle verpflichtend. Das gilt auch für bereits existierende Domains und nur für Personenzertifikate mit Organisationseintrag.

Nein, die Kontrolle wird für die Domain nachgewiesen und ist produktunabhängig.
Zusatzinfo: Ein Folgezertifikat kann bezogen werden, solange die Domain nachgewiesen wird.

Bei der erweiterten Domänenprüfung weisen Sie als Kunde nach, dass Sie die Kontrolle über die im Zertifikatsantrag verwendete Internet-Domäne haben. Dieser Nachweis erfolgt mit technischer Unterstützung über dafür zugelassene Methoden – z.B. über Validierungsmails auf autorisierte Mailadressen oder Änderungen im DNS-Eintrag der jeweiligen Domäne.Der Nachweis der Domänenkontrolle muss jährlich wiederholt werden und ist automatisierbar.

Nein. Die VS-NfD Enterprise ID unterliegt nicht den Anforderungen der S/MIME Baseline Requirements. Hier ändert sich nichts an der bisherigen Prüfpraxis.

Ja. Die Domain-Prüfung muss für jede Organisation durchgeführt und sichergestellt werden, auch wenn nur eine Domain für alle Organisationen genutzt wird, muss eine erweiterte Prüfung für alle Organisationen durchgeführt werden. Diese Prüfung wird immer durch die D-Trust durchgeführt.

Für die Domain-Prüfung gibt es folgende 6 Verfahren:

1. Bestätigung durch den Domain Kontakt (3.2.2.4.2)

Wir schicken das Geheimnis an den Domain Kontakt der sich aus den Who is Daten ergibt. Hierbei sind wir oftmals auf die Mithilfe des Kunden angewiesen, da diese Daten wie zum Beispiel bei der Denic in Deutschland, nicht mehr offen einsehbar sind. Das Geheimnis muss dann an die in der E-Mail genannte Adresse zurückgeschickt werden.

2. Bestätigung durch angenommene Adressen des Domain Contacts (3.2.2.4.4)

Wir schicken eine E-Mail mit Geheimnis an 5 angenommene Mailadressen: hostmaster@domain, postmaster@domain, webmaster@, admin@ und administrator@. Sobald das Geheimnis an die in der E-Mail hinterlegten Adresse zurückkommt, gilt die Domain als validiert. Dabei spielt es keine Rolle von welcher E-Mailadresse das Geheimnis zurück kommt.

3. Änderung des DNS Eintrags (3.2.2.4.7)

Wir schicken eine E-Mail mit Geheimnis an eine beliebige – vom Ihnen genannte – E-Mailadresse. Dieses Geheimnis muss dann, genau in dem von uns gesendeten Format in den DNS der Domain eingetragen werden. Hinweis: Es kann etwas dauern, bis unser System den neuen DNS Eintrag auslesen kann, da die Aktualisierungszeit vom Server abhängig ist.

4. Prüfung von „DNS CAA E-Mail Kontakt“ Kontrolle über die Domain ausübt (3.2.2.4.13)

Unser System prüft, ob im Feld „DNS CAA E-Mail-Kontakt“ eine E-Mailadresse hinterlegt ist. Ist dies der Fall, können wir das Geheimnis an diese Adresse versenden. Das Geheimnis muss dann an die in der E-Mail genannte Adresse zurückgeschickt werden.

5. Prüfung ob „DNS TXT Kontakt“ Kontrolle über die Domain ausübt (3.2.2.4.14)

Unser System prüft, ob im Feld „DNS CAA E-Mail-Kontakt“ eine E-Mailadresse hinterlegt ist. Ist dies der Fall, können wir das Geheimnis an diese Adresse versenden. Das Geheimnis muss dann an die in der E-Mail genannte Adresse zurückgeschickt werden.

6. Vereinbarte Änderung der Webseite (3.2.2.4.18)

(Methode war vorher unter der 3.2.2.4.6 bekannt, wurde dann aber technisch überarbeitet.) Wir schicken das Geheimnis an eine beliebige – von Ihnen genannte – E-Mailadresse. Die E-Mail beinhaltet einen Pfad, auf dem das Geheimnis anschließend auf der Webseite hinterlegt werden muss. Wichtig: Mit dieser Methode kann nur die eingetragene Domain validiert werden und keine Subdomains.

Sie erhalten innerhalb von 30 Tagen zwei weitere Schulungserinnerungen per E-Mail. Sollten Sie diese nicht wahrnehmen, dann wenden Sie sich bitte umgehend an csm-extident.elearning@d-trust.net.
Hinweis: Nach Ablauf der 30-Tage-Frist ohne Schulung, darf die Ident- und Operatorentätigkeit nicht mehr ausgeübt werden.

Bei allen Produkten, die Personennamen im Zertifikat haben, ist eine ExtIdent-Schulung notwendig.

Der SAN RFC822-Name (Mail) bleibt erhalten. Zusätzlich kann die Subject E-Mail optional befüllt werden.

Nein. Ein OU-Feld für Standardprodukte gibt es nicht mehr. 
 

Ja, das ist korrekt. Es können nur prüfbare Unterorganisation eingetragen werden.

Subject E-Mail und RFC822-Name müssen übereinstimmen und werden abgeglichen. Sie dürfen also nicht voneinander abweichen.

Nicht mehr benötigte Felder werden an der Schnittstelle ignoriert und nur die relevanten Felder geprüft. Der Principal Name muss in der Anfrage enthalten sein. 

Es muss immer ein Operator der Organisation, die in den Zertifikaten genannt wird, benannt, geschult und durch D-Trust identifiziert werden.  Für jede Person, die in einem Zertifikat genannt wird, ist eine entsprechende Identifikation durchzuführen.

Als Voraussetzung für die Ausstellung von Zertifikaten mit Organisationseintrag ist ein Org-Identifier verpflichtend. Dieser wird seitens der D-Trust eingetragen. Hierbei handelt es sich um eine eindeutige Kennung einer Organisation, die an internationale Standards angelehnt ist.

Die vorgegebenen Anforderungen müssen immer erfüllt werden, unabhängig vom Bestellweg.