Zertifikate
Externe Marktteilnehmer und Gateway Administratoren können Smart Meter Zertifikate und Kommunikationszertifikate im Sinne der Technischen Richtlinie TR03109 aus der SEC (Smart Energy Cloud) Sub-CA des VVS-Trustcenters beziehen.
Die SEC Sub-CA der VVS stellt hierfür einen nach BSI definierten Web Service zur Verfügung (WSDL Schnittstelle).
Die Authentifizierung am Web Service der SEC Sub-CA erfolgt über TLS mit beidseitigen Kommunikationszertifikaten.
Die Erstbeantragung von Zertifikaten über die Registration Authority, kurz RA des VVS-Trustcenters, erfolgt über einen anderen Weg, z. B. S/MIME – hierzu werden weitere Details in der Zertifikatsrichtlinie der SEC Sub-CA definiert.
ZERTIFIKATSVERZEICHNIS (LDAP’S)
Externe Marktteilnehmer und Gateway Administratoren die im Smart Meter Verbund registriert sind d. h. über ein gültiges Kommunikationszertifikat, im Sinne der TR03109-4 einer vertrauten Sub-CA verfügen, dürfen die von der SEC Sub-CA des VVS-Trustcenters ausgestellten Zertifikate in einem in der SEC bereitgestellten Verzeichnis abrufen. Die Kommunikation zum Dienst erfolgt über LDAPS mit zertifikatsbasierter Clientauthentifizierung.
SPERRLISTENBEZUGSPUNKT
Die SEC Sub-CA des VVS-Trustcenters, stellt einen allgemein zugänglichen HTTP-Dienst zur Verfügung um Sperrlisten zu beziehen.
CLS ZERTIFIKATE IM HAN FÜR SCHALTWARTEN
Die SEC Sub-CA des VVS-Trustcenters, stellt auf Wunsch interne Zertifikate zur Absicherung der CLS-Devices an der HAN-Schnittstelle zur Verfügung.
ZERTIFIKATSMANAGEMENT FÜR GWA‘S
Die Smart Energy Cloud bietet für Gateway Administratoren das notwendige Zertifikatsmanagement um Gatewayadministrations- und Konfigurationsaufgaben wahrzunehmen.
Für jeden Gateway Administrator (Client) bietet das Zertifikatsmanagement einen isolierten Kontext. In diesem Kontext werden alle SMGW-Zertifikate verwaltet, welche vom GWA installiert oder hinterlegt wurden. Die Wichtigsten, dem GWA zur Verfügung stehenden Funktionalitäten sind:
- Abruf aller im eigenen Kontext hinterlegten Zertifikate.
- Auskunft über Zuordnung von Zertifikat/Gateway.
- Fremdzertifikate im LDAP Verzeichnissen abrufen und im eigenen Kontext hinterlegen.
- Weiterleitung von Zertifikatsanfragen für administrierte Gateways an die eigenen Sub-CA und Entgegennahme der bereitgestellten Zertifikate.
- Zertifikate im Kontext importieren.
- Zertifikate im Kontext ersetzten.
- Zertifikate aus dem Kontext löschen.
- Konfiguration von Vertrauenswürdigen CA‘s (für nicht Smart Meter Zertifikate, z. B. HAN Zertifikate oder Zertifikate für CLS-Devices).
- Konfiguration der anzusprechenden Smart Meter Sub-CA.
- Konfiguration regelmäßiger Zertifikatsvalidierungen (Gültigkeitsprüfung inklusive Sperrprüfung).
- Push-Benachrichtigungsdienst für abgelaufene und gesperrte Zertifikate
- Explizites Triggern von Zertifikatsvalidierungen.
- Back-up und Restore des Kontexts (Zertifikatsbestand).
- Protokollierung aller Aktionen im eigenen Kontext und Abruf der Protokolle.
- Einrichtung einer Prüfer-Rolle (Leseberechtigung auf Protokolle und Zertifikatsbestand = Revisor).
Die vom Zertifikatsmanagement durchgeführten Zertifikatsvalidierungen erfüllen die Anforderungen der TR03109-4, ins besondere auch hinsichtlich der Aktualität der für die Sperrprüfung zugrunde liegenden Sperrlisten.
Das Zertifikatsmanagement wird als Dienst zur Verfügung gestellt. Es exponiert eine Web Service Schnittstelle mit einer WSDL-Beschreibung (wird derzeit in einem Proof of Concept definiert).
Ein GWA wird am Zertifikatsmanagement authentifiziert und identifiziert anhand eines gültigen SAML Tokens (Security Assertions Markup Language). Der SAML Token muss von einem von der SEC Sub-CA des VVS-Trustcenters vertrauten Identity Providers ausgestellt werden (Details werden derzeit in einem POC definiert).
Die Kommunikation zwischen Zertifikatsmanagement und den weiteren GWA-Systemen erfolgt über einen TLS-Kanal mit beidseitiger zertifikatsbasierter Authentifizierung – hierfür werden Kommunikationszertifikate im Sinne der TR03109-4 eingesetzt.