Schritt 4: Key-Management-Dienst konfigurieren
Um das Senden und Empfangen von AS4-Nachrichten in NoSpamProxy einzurichten, müssen Sie zuerst die Dienstadresse des Key-Management-Dienstes hinterlegen sowie optional ein Hardware-Sicherheitsmodul (HSM) in NoSpamProxy hinzufügen.
HINWEIS: Der Key-Management-Dienst dient zur sicheren Speicherung von privaten Schlüsseln. Für maximale Sicherheit empfehlen wir trotzdem die Verwendung eines HSM. Siehe unten, Wer muss ein HSM verwenden?
Dienstadresse hinterlegen
- Die Dienstadresse ist die Adresse, unter der sich die Intranetrolle mit dem Key-Management-Dienst verbindet.
- Gehen Sie im NoSpamProxy Command Center zu NoSpamProxy-Komponenten > Key-Management-Dienst und klicken Sie Bearbeiten.
- Geben Sie unter Verbindung die Dienstadresse an.
HINWEIS: Die Standardadresse lautet https://localhost:6064. Stellen Sie in jedem Fall sicher, dass der HTTPS-Verkehr auf Port 6064 erlaubt ist.
- Geben Sie unter Benutzerinformationen die administrativen Benutzerinformationen für den Dienst an.
- Klicken Sie Fertigstellen.
(Optional) HSM hinzufügen
Wenn Sie zum Speichern Ihrer privaten Schlüssel zusätzlich ein HSM verwenden wollen, fügen Sie es hier hinzu.
- Gehen Sie im NoSpamProxy Command Center zu Konfiguration > NoSpamProxy-Komponenten > Key-Management-Dienst.
- Klicken Sie unter Speicherung von Schlüsseln auf Bearbeiten.
- Setzen Sie das Häkchen bei Nutze zusätzlich ein Hardware-Sicherheitsmodul (HSM) [...].
- Geben Sie den Pfad zur DLL-Datei des HSM in das Eingabefeld ein.
- Klicken Sie Speichern und schließen.
Unter Key-Management-Dienst erscheint nun der Bereich Konfigurierte Token.
Die folgenden Voraussetzungen müssen erfüllt sein, damit Sie ein HSM zum Speichern Ihrer privaten Schlüssel verwenden können:
- Das HSM muss den PKCS-#11-Standard unterstützen.
- Das HSM muss für die Schlüsselgenerierung (CKM_EC_KEY_PAIR_GEN) den Standard Elliptic Curve Brainpool P256r1 einsetzen.
- Das HSM muss für die Schlüsselableitung (CKM_ECDH1_DERIVE) die Schlüsselableitungsfunktion SP-800 (CKD_SHA256_KDF_SP800) einsetzen.
(Optional) Token konfigurieren
Wenn Sie ein HSM verwenden und dieses hinzugefügt haben, können Sie auf die Token des HSM zugreifen und den gewünschten Token konfigurieren.
- Klicken Sie unter Konfigurierte Token auf Bearbeiten.
- Wählen Sie unter Token den gewünschten Token aus dem Drop-Down-Menü aus.
- Geben Sie unter Benutzer-PIN die entsprechende PIN ein.
- Klicken Sie Speichern und schließen.
Das HSM ist nun angebunden.
Häufige Fragen
Bezüglich der Verwendung eines HSM wird in der Fassung der Certificate Policy der Smart Metering PKI vom 25.01.2023 (Version 1.1.2) gesagt, dass "[...] passive EMT Kryptografiemodule einsetzen [müssen], die mindestens konform zu den Key Lifecycle Security Requirements – Security Level 1 sind. [...] Die konkreten Anforderungen an die Kryptografiemodule muss jeder Marktteilnehmer gemäß des von ihm zu erstellendem Sicherheitskonzept für sich ableiten."
Siehe Regelungen zum Übertragungsweg für AS4, BDEW AS4-Profil
Passive externe Marktteilnehmer (EMT) werden in der Certificate Policy der Smart Metering PKI 1.3.3.4 als Marktteilnehmer definiert, die Daten von den Smart Metering Gateways (SMGWs) empfangen oder austauschen, jedoch keine Steuerung dieser Geräte vornehmen.
Ein EMT, welcher ein SMGW nutzt, um darüber nachgelagerte Geräte (Controllable Local Systems, CLS) anzusprechen, wird als aktiver EMT bezeichnet.
Kryptographische Module der Sicherheitsstufe 1 können als Software oder Server mit Zwei-Faktor-Authentifizierung und physisch eingeschränktem Zugang betrieben werden. Zur Erzeugung von Zufallszahlen für die Schlüsselgenerierung sowie für Signatur und Verschlüsselung muss ein Zufallszahlengenerator der Klassen NTG.1, DRG.4 oder PTG.3 gemäß AIS 20/31 verwendet werden.