Vorgaben zu GLOBALTRUST® Zertifizierungsdiensten

Beschränkungen und sonstige zwingend erforderliche Vorgaben bei der Ausgabe oder Verwendung von Zertifikaten, soweit sie nicht ausdrücklich in der Certificate Policy oder dem Certificate Practice Statement (https://www.globaltrust.eu/certificate-policy.html) genannt werden

Serverzertifikate inklusive qualifizierte Serverzertifkate

Administrative Vorgaben
- maximale Laufzeit: 825 Tage (unser Standardangebot: 1 oder 2 Jahre)

Vorgaben an Kryptographie und Schlüssel
- unterstütztes Schlüsselverfahren und Schlüssellänge: RSA mindestens 2048 bit. Sofern das Zertifikat eine Laufzeit über Ende 2022 hinaus haben soll, ist ein längerer Schlüssel zu verwenden (derzeit unterstützt 3072 und 4096 bit)
- Hashalgorithmus: mindestens SHA-256
- Kunde muss Schlüssel selbst erstellen und im Zertifizierungsantrag CSR schicken
- Mindestqualität des CSR: Exponent muss 3,5,17,257 oder 65537 sein

Vorgaben Zertifikatsinhalt
- Domainnamen, Servernamen und Mailadressen im Zertifikat müssen in der Verfügungsgewalt des Antragstellers stehen
- es können keine Zertifikate zu reservierten IP-Adressen oder internen Servernamen ausgestellt werden
- gewünschte OID-Einträge müssen offizielle OID-Nummern sein oder die Berechtigung der Verwendung muss nachgewiesen werden


Zertifikate zur qualifizierten Signatur

Administrative Vorgaben
- maximale Laufzeit: 5 Jahre (unser Standardangebot: 1, 3 oder 5 Jahre)

Vorgaben an Kryptographie und Schlüssel
- unterstütztes Schlüsselverfahren: ECC NIST P-256
- Kunde kann Schlüssel NICHT selbst erstellen
- Hashalgorithmus: mindestens SHA-256
- der Schlüssel wird auf einer qualfizierten Signaturerstellungseinheit erzeugt

Vorgaben Zertifikatsinhalt
- Mailadressen im Zertifikat müssen in der Verfügungsgewalt des Antragstellers stehen
- das Zertifikat muss im /CN den Namen des Signators enthalten
- gewünschte OID-Einträge müssen offizielle OID-Nummern sein oder die Berechtigung der Verwendung muss nachgewiesen werden

Sicherheitstechnische Beschränkungen (2017/06/09)
- Signaturen die mit RSA Schlüsseln von Smartcards erstellt wurden, deren Zertifikate vor dem 9. Juni 2017 ausgestellt können nicht sicher sein.
- betroffen sind Smartcards mit folgenden Seriennummern: 02-03-4B-73-00-01-32-**, 02-03-4B-73-00-01-33-**, 02-03-4B-73-00-01-34
- die Seriennummer ist Teil des Subjects und kann direkt im Zertifikat festgestellt werden
- Empfänger von Dokumenten mit Signaturen deren Zertifikat diese Seriennummern enthalten, wird empfohlen die Gültigkeit des Dokuments über einen zweiten Informationsweg zu validieren
- die Gültigkeit der eigenhändigen Unterschrift bleibt bestehen, sofern es keinen Zweifel gibt, dass die Signatur von der im Zertifikat genannten Person stammt


SubCA-Zertifikate in Verfügungsgewalt einer Organisation

Administrative Vorgaben
- maximale Laufzeit: 25 Jahre (unser Angebot: maximal 18.9.2036)

Vorgaben an Kryptographie und Schlüssel
- unterstütztes Schlüsselverfahren und Schlüssellänge: RSA 4096 bit
- Hashalgorithmus: mindestens SHA-256
- Kunde muss Schlüssel selbst erstellen und im Zertifizierungsantrag CSR schicken

Vorgaben Zertifikatsinhalt
- das SubCA-Zertifikat ist technisch beschränkt, zB auf bestimmte Mailadressen, Domainnamen, Organisationseinträge usw
- das SubCA-Zertifikat muss zumindest einen Eintrag im Feld extendedKeyUsage haben, der die zulässigen Werte in den Enduserzertifikaten definiert
- es ist nur eine weitere Zertifikatsebene zulässig
- es können einschließende und ausschließende Beschränkungen definiert werden
- einschließende Beschränkungen beschreiben, welche User-Zertifikate ausgestellt werden dürfen, ausschließende Beschränkungen beschreiben, welche User-Zertifikate NICHT ausgestellt werden dürfen
- alle einschließenden Beschränkungen im Zertifikat müssen in der Verfügungsgewalt des Antragstellers stehen
- gewünschte OID-Einträge müssen offizielle OID-Nummern sein oder die Berechtigung der Verwendung muss nachgewiesen werden
- es muss die GLOBALTRUST-Policy eingetragen sein, zusätzlich muss ein eigener Policy-Eintrag vorhanden sein (erforderlich, wenn die Ausstellung der User-Zertifikate nach eigenen Regeln erfolgt)