Elektronischer Datenaustausch mit der Deutschen Rentenversicherung

Jüngst habe ich zusammen mit der B-I-T GmbH Informationen und Prozesse aus Hannover daran gearbeitet, den elektronischen Datenaustausch mit den gesetzlichen Krankenkassen und der Rentenversicherung aus einer Anwendung heraus zu realisieren.

Hierbei wird eine Kombination aus authentifizierter Datenübertragung von sowohl signierten als auch verschlüsselten Nachrichten verwendet. In all diesen Fällen kommen PKI-Technologien zum Einsatz.

Das verwendete Nachrichtenformat ist hier dokumentiert.

„Elektronischer Datenaustausch mit der Deutschen Rentenversicherung“ weiterlesen

Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"

Folgendes Szenario angenommen:

  • Es ist ein Onlineresponder (OCSP) im Netzwerk eingerichtet.
  • Die Zertifizierungsstellen melden in unregelmäßigen Abständen, dass Zertifikatanforderungen für die OCSP-Antwortsignaturzertifikate mit folgender Fehlermeldung fehlschlagen:
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).
„Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"“ weiterlesen

Grundlagen: Enroll on Behalf of (EOBO)

Nachfolgend eine Beschreibung der Enroll on Behalf Of Funktion sowie Abgrenzung zu anderen Methoden, Zertifikate zu beantragen.

„Grundlagen: Enroll on Behalf of (EOBO)“ weiterlesen

SSCEP: Subject of our request does not match that of the returned Certificate!

Folgendes Szenario angenommen:

sscep: Subject of our request does not match that of the returned Certificate!
„SSCEP: Subject of our request does not match that of the returned Certificate!“ weiterlesen

SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen

Möchte man eine große Menge an Systemen mit Zertifikaten ausrüsten, ist eine manuelle Beantragung und Erneuerung der Zertifikate keine Option. Der einzige gangbare Weg ist Automatisierung.

Für Systeme, die nicht Mitglied der Active Directory Gesamtstruktur sind, ist eine automatische Zertifikatbeantragung über RPC/DCOM keine Option.

Für bestimmte Anwendungsfälle ist das Simple Certificate Enrollment Protocol (SCEP) eine interessante Alternative. Für dieses Protokoll gibt es nicht nur Clients für Windows, sondern mit SSCEP auch für Linux. SSCEP wird unter Anderem von Thin Clients mit dem eLux Betriebssystem verwendet.

Nachfolgend wird beschrieben, wie der SSCEP Client auf einem Debian Buster Linux System eingerichtet wird – entweder, um damit Server zu verwalten, oder das clientseitige Verhalten testen zu können.

„SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen“ weiterlesen

Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)

Das Simple Certificate Enrollment Protocol (SCEP) wurde in den frühen 2000er Jahren von Verisign für Cisco entwickelt, um eine vereinfachte Methode zum Beantragen von Zertifikaten verwenden zu können. Zuvor musste für Netzwerkgeräte manuell eine Zertifikatanforderung auf jedem Gerät erzeugt, zu einer Zertifizierungsstelle übermittelt und anschließend das ausgestellte Zertifikat wieder manuell auf dem entsprechenden Gerät installiert werden.

„Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)“ weiterlesen

Beschreibung der verschiedenen Zertifikat-Formate

X.509 Zertifikate sind grundsätzlich im Distinguished Encoding Rules (DER) Format kodiert. Hierbei handelt es sich um ein binäres, maschinenlesbares Format.

DER-kodierte Zertifikate können jedoch mit dem BASE64 Verfahren auch in ein textbasiertes Format überführt werden, sodass sie beispielsweise in einem E-Mail Body übertragen werden können. BASE64 umschließt hierbei das DER-kodierte Format, d.h. das Zertifikat ist und bleibt in jedem Fall DER-kodiert.

„Beschreibung der verschiedenen Zertifikat-Formate“ weiterlesen

Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?

Beim Registrierungsdienst für Netzwerkgeräte (NDES) handelt es sich um die Microsoft-Implementierung des in den frühen 2000ern von der Firma Cisco entwickelten Simple Certificate Enrollment Protocol (SCEP). Die erste Implementierung wurde mit Windows Server 2003 veröffentlicht.

Es mag verwundern, dass NDES in der Standardeinstellung bis heute kein Secure Socket Layer (SSL) für die HTTP-Verbindungen verwendet. Dieser Sachverhalt wird nachfolgend näher erläutert und bewertet.

„Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?“ weiterlesen
de_DEDeutsch