Wir stellen Ihnen auf dieser Seite
nützliche Informationen über die verwendeten Schnittstellen und
Formate bereit.
1. Verzeichnisdienst
1.1 Schnittstellen
Im Rahmen eines Common-PKI konformen Zertifizierungsdiensteanbieters bietet T-TeleSec die Schnittstellen LDAP und OCSP entsprechend Common-PKI für den Verzeichnisdienstzugriff an.
1.1.1 Webserver
Der T-TeleSec PKS Webserver ist unter http://www.telesec.de/pks mittels HTTP oder HTTPS erreichbar. Der Server ist mit einem T-TeleSec ServerPass Zertifikat für die SSL Verbindung (Verschlüsselungsstärke 128 Bit) gesichert.
Auf diesem Webserver werden allgemeine Informationen zum Public Key Service bereitgestellt. Die Beauftragung von Karten erfolgt mittels der dort abrufbaren Formulare. Des Weiteren gibt es ein Interface zum Verzeichnisdienst für die Suche nach abrufbaren Zertifikaten sowie den download der Sperrliste (Pks-Sperrlistenprofil.pdf).
1.1.2 LDAP
Das LDAP Protokoll bietet eine allgemein anerkannte Möglichkeit zur Verteilung von Zertifikaten und Sperrlisten. T-TeleSec nutzt dieses zur Verteilung von abrufbaren Signatur- und Verschlüsselungszertifikaten sowie Sperrlisten. Der T-TeleSec LDAP Server unterstützt die LDAP Version 3. Er ist unter der URL ldap://pks-ldap.telesec.de über den Port 389 erreichbar.
Im Rahmen der PKS-Dienstleistung werden unterschiedliche Zertifikatstypen ausgegeben. In der folgenden Tabelle finden Sie eine Auflistung der Abbildung im LDAP-Server:
Die verwendete Spezifikation der Struktur des LDAP Servers finden Sie hier: PKS-LDAP-Schnittstelle.pdf
1.1.3 OCSP
Das OCSP-Protokoll ermöglicht die Prüfung und das Herunterladen von qualifizierten Zertifikaten. Der Transport der OCSP-Requests erfolgt mittels des HTTP Protokolls. In der folgenden Tabelle finden Sie eine Auflistung der URL zur Prüfung der unterschiedlichen Zertifikatypen mittels OCSP:
Die verwendete Spezifikation der Schnittstelle des OCSP-Responders und der verwendeten Datenstrukturen finden Sie hier:
PKS-OCSP-Responder.pdf
2 Formate
2.1 Zertifikatsprofil
Im Rahmen der PKS-Dienstleistung werden unterschiedliche Typen von Zertifikaten ausgegeben. Deren Profilbeschreibung finden Sie in der folgenden Tabelle:
2.2 Sperrliste
Das Profil der Sperrliste finden Sie hier: Pks-Sperrlistenprofil Common-PKI.pdf
2.3 Zertifikatsversand
Der Zertifikatsversand im Rahmen der Nachpersonalisierung von NetKey Karten erfolgt mittels verschlüsselter Dateien im PKCS#7 Format. Die Profilierung des verwendeten PKCS#7 Formates finden Sie hier: PKS_Pkcs7Profil.pdf
3 Chipkarte
Die von T-Systems im Rahmen der PKS Dienstleistung eingesetzten Chipkarten basieren auf dem Betriebssytem TCOS V3.0. Sofern Sie Details über den Aufbau und die Struktur der Chipkarte benötigen, kontaktieren Sie bitte unseren Chipkarten-Support.
1. Verzeichnisdienst
1.1 Schnittstellen
Im Rahmen eines Common-PKI konformen Zertifizierungsdiensteanbieters bietet T-TeleSec die Schnittstellen LDAP und OCSP entsprechend Common-PKI für den Verzeichnisdienstzugriff an.
1.1.1 Webserver
Der T-TeleSec PKS Webserver ist unter http://www.telesec.de/pks mittels HTTP oder HTTPS erreichbar. Der Server ist mit einem T-TeleSec ServerPass Zertifikat für die SSL Verbindung (Verschlüsselungsstärke 128 Bit) gesichert.
Auf diesem Webserver werden allgemeine Informationen zum Public Key Service bereitgestellt. Die Beauftragung von Karten erfolgt mittels der dort abrufbaren Formulare. Des Weiteren gibt es ein Interface zum Verzeichnisdienst für die Suche nach abrufbaren Zertifikaten sowie den download der Sperrliste (Pks-Sperrlistenprofil.pdf).
1.1.2 LDAP
Das LDAP Protokoll bietet eine allgemein anerkannte Möglichkeit zur Verteilung von Zertifikaten und Sperrlisten. T-TeleSec nutzt dieses zur Verteilung von abrufbaren Signatur- und Verschlüsselungszertifikaten sowie Sperrlisten. Der T-TeleSec LDAP Server unterstützt die LDAP Version 3. Er ist unter der URL ldap://pks-ldap.telesec.de über den Port 389 erreichbar.
Im Rahmen der PKS-Dienstleistung werden unterschiedliche Zertifikatstypen ausgegeben. In der folgenden Tabelle finden Sie eine Auflistung der Abbildung im LDAP-Server:
| Zertifikatstyp | Veröffentlichung der Zertifikate und Sperrliste im Subtree |
| qualifizierte Signaturzertifikate und Verschlüsselungszertifikate
mit 1024Bit Schlüssel |
o=Deutsche Telekom AG,c=de |
| qualifizierte Signaturzertifikate
mit 2048Bit Schlüssel |
o=Deutsche Telekom AG,c=de |
| Attributzertifikate zu Signaturzertifikaten
mit 2048Bit Schlüssel |
o=Deutsche Telekom AG,c=de |
| Zertifikate für Verschlüsselung, Authentisierung und fortgeschrittene Signatur mit 2048Bit Schlüssel | o=T-Systems International GmbH,c=de |
Die verwendete Spezifikation der Struktur des LDAP Servers finden Sie hier: PKS-LDAP-Schnittstelle.pdf
1.1.3 OCSP
Das OCSP-Protokoll ermöglicht die Prüfung und das Herunterladen von qualifizierten Zertifikaten. Der Transport der OCSP-Requests erfolgt mittels des HTTP Protokolls. In der folgenden Tabelle finden Sie eine Auflistung der URL zur Prüfung der unterschiedlichen Zertifikatypen mittels OCSP:
| Zertifikatstyp | URL des OCSP-Responders |
| qualifizierte Signaturzertifikate und Verschlüsselungszertifikate
mit 1024Bit Schlüssel |
http://pks.telesec.de/ocspr |
| qualifizierte Signaturzertifikate
mit 2048Bit Schlüssel |
http://pks.telesec.de/ocspr |
| Attributzertifikate zu Signaturzertifikaten
mit 2048Bit Schlüssel |
http://pks.telesec.de/ocspr |
| Zertifikate für Verschlüsselung, Authentisierung und fortgeschrittene Signatur mit 2048Bit Schlüssel | nicht vorhanden |
Die verwendete Spezifikation der Schnittstelle des OCSP-Responders und der verwendeten Datenstrukturen finden Sie hier:
PKS-OCSP-Responder.pdf
2 Formate
2.1 Zertifikatsprofil
Im Rahmen der PKS-Dienstleistung werden unterschiedliche Typen von Zertifikaten ausgegeben. Deren Profilbeschreibung finden Sie in der folgenden Tabelle:
| Zertifikatstyp | Beschreibung |
| qualifizierte Signaturzertifikate
mit 1024Bit Schlüssel und Attributzertifikate |
Pks-Zertifikatsprofil Common-PKI.pdf |
| qualifizierte Signaturzertifikate
mit ECC oder 2048Bit RSA Schlüssel |
PKS Zertifikatsprofil ECC und RSA2048 qual Sign.pdf |
| Attributzertifikate zu Signaturzertifikaten
mit ECC oder 2048Bit RSA Schlüssel |
PKS Zertifikatsprofil 2048 qual Attr.pdf |
| Zertifikate für Verschlüsselung, Authentisierung und
fortgeschrittene Signatur mit ECC oder 2048Bit RSA Schlüssel |
PKS Zertifikatsprofil ECC und RSA2048 non-qual.pdf |
2.2 Sperrliste
Das Profil der Sperrliste finden Sie hier: Pks-Sperrlistenprofil Common-PKI.pdf
2.3 Zertifikatsversand
Der Zertifikatsversand im Rahmen der Nachpersonalisierung von NetKey Karten erfolgt mittels verschlüsselter Dateien im PKCS#7 Format. Die Profilierung des verwendeten PKCS#7 Formates finden Sie hier: PKS_Pkcs7Profil.pdf
3 Chipkarte
Die von T-Systems im Rahmen der PKS Dienstleistung eingesetzten Chipkarten basieren auf dem Betriebssytem TCOS V3.0. Sofern Sie Details über den Aufbau und die Struktur der Chipkarte benötigen, kontaktieren Sie bitte unseren Chipkarten-Support.