​​​​​

Diese Seite enthält Informationen über die in die SM-PKI integrierte SEN.CA.

Der eindeutige Name ("Distinguished Name") der SEN.CA lautet

 "C=DE, O=SM-PKI, CN=COMET-SEN.CA"

Im Rahmen des Einsatzes von intelligenten Messsystemen (Smart Metering Systems), die dem Letztverbraucher eine höhere Transparenz über den eigenen Energieverbrauch bieten, sowie diesen an die Verfügbarkeit von Energie anzupassen, betreiben die Stadtwerke Saarbrücken für die co.met GmbH einen PKI Dienst. Die zentrale Kommunikationseinheit des intelligenten Messsystems stellt das Smart Meter Gateway (SMGW oder Gateway) in den Haushalten der Letztverbraucher dar. Diese Einheit trennt das Weitverkehrsnetz (WAN), d.h. das Netz zu den Backendsystemen von Smart Meter Gateway Administratoren (GWA) und externen Marktteilnehmern (EMT), von dem im Haushalt befindlichen Heimnetz (HAN) und den lokal angebundenen Zählern im metrologischen Netz (LMN). Die Hauptaufgaben des SMGW bestehen dabei in der technischen Separierung der angeschlossenen Netze, der sicheren Kommunikation in diese Netze, der Erfassung, Verarbeitung und Speicherung empfangener Messwerte verschiedener Zähler, der sicheren Weiterleitung der Messwerte an die Backendsysteme externer autorisierter Marktteilnehmer im WAN sowie der Verarbeitung von Administrationstätigkeiten durch den jeweiligen GWA.

Zur Absicherung der Kommunikation im WAN ist eine gegenseitige Authentisierung der Kommunikationspartner erforderlich. Die Kommunikation erfolgt dabei stets über einen verschlüsselten und integritätsgesicherten Kanal. Zudem werden Daten vom SMGW vor der Übertragung zur Integritätssicherung signiert und zur Gewährleistung des Datenschutzes für den Endempfänger verschlüsselt.

Um die Authentizität und die Vertraulichkeit bei der Kommunikation der einzelnen Marktteilnehmer untereinander zu schützen, wird eine Smart Metering Public Key Infrastruktur eingesetzt, im Nachfolgenden SM-PKI genannt. Technisch wird der Authentizitätsnachweis, der Schlüssel, dabei über digitale X.509-Zertifikate realisiert. Die Stadtwerke Saarbrücken GmbH betreibt hierbei für die co.met GmbH die im Folgenden als

SEN.CA

bezeichnete Sub-CA unter dem hoheitlichen Vertrauensanker der Root-CA des BSI, welche Zertifikate für alle berechtigten Marktrollen in der Smart-Metering-Infrastruktur bereitstellt.

Die Systemarchitektur der SM-PKI ist in der [TR-03109-4] spezifiziert. Sie wird in die folgenden drei Hierarchiestufen unterteilt:

  • Die Root-CA, welche den hoheitlichen Vertrauensanker der SEN.CA darstellt und sich außerhalb der Verwaltungshoheit der Stadtwerke Saarbrücken und dieser CP befindet.
  • Die Sub-CAs, die zur Zertifizierung von Endnutzerschlüsseln dienen.
  • Die Endnutzer, d.h. die SMGW, GWA, GWH und EMT. Diese Teilnehmer bilden die untere Ebene der SWS-SEN-PKI und nutzen ihre Zertifikate zur Kommunikation miteinander und insbesondere zum Aufbau gesicherter Verbindungen zu den SMGW.

Teilnahme am Testsystem der SEN.CA

Die TEST-SEN.CA (SWS-SEN-Test.CA) dient nicht zur Durchführung von Massen- und Lasttests. Zudem ist die Einbindung der TEST-SEN.CA in Infrastrukturen mit wirkbetriebsähnlichem Charakter (z.B. Feldtests oder Pilotinstallationen) nicht vorgesehen.

Zur Teilnahme am Testsystem der TEST-SEN.CA wenden Sie sich bitte an einen der oben angegebenen Ansprechpartner.

 

Zertifikate zu den öffentlichen Schlüsseln der SEN.CA

Die SEN.CA benutzt zwei Arten von Schlüsselpaaren: ein Hauptschlüsselpaar und eine Anzahl von Backup-Schlüsselpaaren. Das Hauptschlüsselpaar wird benutzt, um Document Signer Zertifikate herauszugeben. Backup-Schlüsselpaare werden nur für die Wiederherstellung im Notfall verwendet, im unwahrscheinlichen Fall, dass das Hauptschlüsselpaar unbrauchbar wird, wird das erste Backup-Schlüsselpaar zum neuen Hauptschlüsselpaar usw.

DER codierte Zertifikate für die öffentlichen Schlüssel der SEN.CA finden Sie weiter unten. Die Informationen, die Sie benötigen, um die nachstehenden Zertifikate zu überprüfen, können Sie auf Nachfrage auch in authentisch gedruckter Form erhalten.

 

Certificate Policy (CP) der SEN.CA

Die Certificate Policy der SEN.CA , OID 1.3.6.1.4.1.35262.1.5.3.41.1 in der aktuellen Fassung kann hier abgerufen werden.

Anstehende Änderungen der Certificate Policy (CP) der SEN.CA

CP SEN.CA v2.1 vom 15.05.2017 - Anpassungen an CP der SM PKI Version 1.1

CP SEN.CA v2.8 vom 23.08.2017 - Anpassungen an CP der SM PKI Version 1.1.1

CP SEN.CA v3.2 vom 13.09.2017 - Freigegebene Version der SEN.CA CP

Derzeit stehen keine Änderungen der Certificate Policy (CP) der SEN.CA zur Verfügung.

 

LDAP Verzeichnisdienst

Die SEN.CA pflegt ein eigenständiges LDAP-Verzeichnis mit allen von der jeweiligen CA ausgestellten und noch gültigen Zertifikaten. Das LDAP-Verzeichnis ist über folgende Adresse erreichbar:

LDAPS://ldap.sen-pki.de

Der lesende Zugriff auf die LDAP-Verzeichnisdienste wird auf die an der SM-PKI teilnehmenden Organisationen wie die Sub-CA, die GWA, die GWH, sowie EMTs beschränkt. Dies wird über eine zertifikatsbasierte Authentisierung am jeweiligen Verzeichnisdienst mittels der TLS-Zertifikate der Zertifikatsnehmer sichergestellt. Der Zugriff erfolgt über LDAPS (Port 636).

Die folgenden Pfadbeschränkungen gelten auf dem LDAP Dienst der SEN.CA:

PfadBeschränkung
dc=SM-PKI-DE,dc=cara,dc=COMET-SEN,dc=de

Lesezugriff über zertifikatsbasierte Authentisierung mittels eines der folgenden Zertifikatstypen:

CTLS(EMT)

CTLS(GWA)

CTLS(GWH)

CTLS(SMGW)

c=DE,dc=cara,dc=COMET-SEN,dc=deUnbeschränkter Lesezugriff

Aktuelles CA Zertifikat der SEN.CA

Das aktuelle CA Zertifikat der SEN.CA können Sie hier herunterladen.

Der Fingerprint des Zertifikates lautet: "ffe25daf858e84a53b0f6aa80a8ad72860559d3a"


Abruf der Zertifikate über die WSDL Schnittstelle 

Über die Links können die Zertifikate der jeweiligen Umgebung über die Schnittstelle abgerufen werden.

https://wsdl.dev.sen-pki.de/metering-ca/services/SmartMeterService

https://wsdl.test.sen-pki.de/metering-ca/services/SmartMeterService

https://wsdl.sen-pki.de/metering-ca/services/SmartMeterService

ldap://ldap.dev.sen-pki.de/serialNumber=3,cn=DEV-SWS-SEN.CA,o=SM-Test-PKI-DE,c=de,dc=cara,dc=TEST-SWS-SEN,dc=de?certificateRevocationList

ldap://ldap.test.sen-pki.de/serialNumber=6,cn=TEST-SWS-SEN.CA,o=SM-Test-PKI-DE,c=DE,dc=cara,dc=TEST-SWS-SEN,dc=de?certificateRevocationList

ldap://ldap.sen-pki.de/serialNumber=2,cn=COMET-SEN.CA,o=SM-PKI-DE,c=DE,dc=cara,dc=COMET-SEN,dc=de?certificateRevocationList


Sperrung von Zertifikaten und Rückrufliste für Zertifikate (Certificate Revocation List, CRL)

Sperrungen werden nach Durchführung durch eine Veröffentlichung in der jeweiligen Sperrliste in der SEN.CA als solche wirksam. Eine Aufnahme in die Sperrliste sowie deren Veröffentlichung erfolgt alle 7 Tage sowie anlassbezogen innerhalb von 14 Stunden.

Die aktuelle Sperrliste kann über LDAP heruntergeladen werden:
ldap://ldap.sen-pki.de/serialNumber=1,cn=COMET-SEN.CA,o=SM-PKI-DE,c=de,dc=cara,dc=COMET-SEN,dc=de?certificateRevocationList  

Bei Problemen mit dem Download der CRL, wenden Sie sich bitte an einen der unter Kontaktdaten angegebenen Ansprechpartner.

 

Sperrprozess für Zertifikate

Der Antrag zum Sperren eines Zertifikats der SEN.CA.pdf kann hier heruntergeladen werden.

Die Sperrung eines Zertifikates kann von den beiden folgenden Beteiligten initiiert werden:
  • ​dem Zertifikatsinhaber oder
  • dem Betreiber der ausstellenden CA.
Bei einer Sperrung müssen dafür folgende Informationen über das SEN-Supportportal übermittelt werden:
  • ​Zertifikatstyp
  • Ausstellende Sub-CA
  • Zertifikatsnummer (Der Wert des Felds “SerialNumber“ des Zertifikats, siehe [TR-03109-4])
  • Sperrgrund (für Sub-CA, GWA, GWH, EMT zwingend, für SMGW optional)


Sperrgrund für Zertifikate

 

Auf Initiative des Zertifikatsinhabers:
Der Zertifikatsinhaber stellt im Rahmen des Betriebs einen Grund zur Sperrung des Zertifikats fest. Diese Gründe sind insbesondere
  • eine Änderung der Zertifikatsdaten
  • nicht konform zur CP
  • eine Schlüsselkompromittierung oder
  • die Einstellung des Betriebs.
Zur Einstellung von Sperranträgen stehen dem Zertifikatsinhaber zwei Wege zur Verfügung:
  1. ​​Hochladen des Sperrformulars im SEN.CA Support Portal. Hierbei wird der Antrag direkt in einem Supportticket erfasst und über die RA eindeutig dem Antragsteller zugeordnet.
  2. Der Zertifikatsinhaber / benannte Ansprechpartner sendet eine mittels S/MIME (ASP) signierte E-Mail an den Betreiber der CA.
Der Betreiber (CA-Operator Rolle) prüft die Authentizität der Information und sperrt das Zertifikat über das Metering Portal. Hierfür ist die Eingabe des vergebenen Sperrpassworts erforderlich.
Die Sperrung des jeweiligen Zertifikats wird über die Sperrliste der zuständigen CA veröffentlicht und der Zertifikatsinhaber muss über den abgeschlossenen Sperrprozess per signierter E-Mail informiert werden.
Bei den SMGWs wird die Berechtigung zur Sperrung der Zertifikate von dem zuständigen GWH (nur Gütesiegelzertifkate) bzw. GWA (Gütesiegel- und Wirkzertifikate) wahrgenommen. Der GWH darf den Besitz der Gütesiegel-Zertifikate an den GWA übertragen. Die Übergabe muss rechtssicher dokumentiert werden. Damit ein GWA ein Gütesiegel-Zertifikat sperren kann, muss dieser den Besitzübergang gegenüber der Sub-CA über diese Dokumentation nachweisen.

 
Auf Initiative des Betreibers der Certificate Authority:
Der Betreiber der CA hat die Aufgabe bei erkannten Schwachstellen alle Tätigkeiten durchzuführen, welche die Integrität und Sicherheit der PKI sicherstellen. Die Schwachstellen sind direkt nach Bekanntwerden der Root zu melden. Die Einleitung weiterer Schritte ist ggf. in Absprache mit der Root vorzunehmen. Mögliche Gründe sind beispielsweise
  • ​ein erkannter Verstoß gegen Betriebsauflagen 
  • erkannte Schwächen in der eingesetzten Kryptographie
  • Änderungen in den zentralen Vorgaben (z.B. der [TR-03109-4])
  • Änderung der Zertifikatsdaten (z.B. des Organisationsnamens)
  • eine erkannte Schlüsselkompromittierung oder
  • die Einstellung des Betriebs bzw. die Außerbetriebnahme der betroffenen Komponente.
Sperrungen von Zertifikaten mit systemrelevanter Bedeutung (Sub-CA und GWA) MÜSSEN in Abstimmung mit der Root erfolgen.
Die Zertifikate eines SMGW, GWH oder eines EMT können in der eigenen Verantwortung durch den Betreiber der Sub-CA gesperrt werden. Sollten nach Ansicht des Betreibers der Sub-CA Sperrungen dieser Zertifikate systemrelevante Auswirkungen haben, so muss die Sub-CA die Root vorab informieren.

 
Eine Sperrung des jeweiligen Zertifikats muss über die Sperrliste der CA veröffentlicht werden. Der Zertifikatsinhaber sowie die Root (nur bei Sub-CA und GWA) müssen über den abgeschlossenen Sperrprozess informiert werden.
 

Kommunikation mit der SEN.CA

Der primäre Kommunikations-Kanal zur SEN.CA ist per eMail im S/MIME Format. Die Kontaktinformationen finden Sie rechts oben auf dieser Seite.

Beantragung von Zertifikaten und initialer Zertifikatsantrag

Der initiale Zertifikatsantrag wird in den Räumlichkeiten des Betreibers und Beisein zwei vertretungsberechtigten Personen des Teilnehmers auf den dem Teilnehmer zugewiesenen Cloud Systemen erzeugt. Die Erzeugung des Schlüsselpaars erfolgt über die dem Dienst zugewiesenen Hardware Security Module (HSM). 

Innerhalb der SEN.CA dürfen der EMT, GWA, GWH und SMGW Zertifikatsanträge stellen.

Für die Bearbeitung eines Zertifikatsantrages ist das Metering Portal (RA) verantwortlich.

Antrag zur Teilnahme an der SEN.CA.pdf

 

Namensform

Die DNs aller Zertifikatnehmer entsprechen grundsätzlich folgendem Schema

  • ​Land (C)
  • Common Name (CN)
  • Organisation (O)
  • Organisationseinheit (OU)
  • Staße (Street)
  • PLZ (PostalCode)
  • Stadt (L)
  • Bundesland (S)

 

Veröffentlichung von Zertifikaten

Alle Zertifikate innerhalb der SEN-PKI werden unmittelbar nach der Ausstellung im jeweiligen LDAP-Verzeichnis veröffentlicht.

 

Änderung und Sperren von Ansprechpartnern der SEN-PKI

Zur Änderung und Sperrung von Ansprechpartnern der SEN.CA sind die nachstehenden Formulare zu verwenden.

Änderung der Daten, Ernennung oder Löschung eines ASP.pdf

​Erlaubte Verwendung von Zertifikaten

Das Schlüsselmaterial der SEN.CA-Teilnehmer kann zur Authentisierung, zur Verschlüsselung und zur Erstellung von elektronischen Signaturen eingesetzt werden. Die Anwendungsfälle für den Einsatz der Schlüssel und Zertifikate beim SMGW sind in der [TR-03109] beschrieben.

In den nachfolgenden Tabellen werden alle Zertifikate den unterschiedlichen PKI-Teilnehmern zugeordnet und der entsprechende Verwendungszweck erläutert.

 

Sub-CA:

Zertifikat einer Sub-CASigniert durchVerwendungszweck
C(Sub-CA)

Privater Schlüssel zu

C(Root)

Der öffentliche Schlüssel aus dem Zertifikat wird zur Überprüfung der Signatur von nachgeordneten Zertifikaten benötigt, welche mit dem zum Zertifikat passenden privaten Schlüssel signiert wurden.

Der zugehörige private Schlüssel wird für die Signatur von GWA, GWH, EMT, SMGW- sowie CTLS(Sub-CA)-Zertifikaten verwendet.

CTLS,Root(Sub-CA)

Privater Schlüssel zu

CTLS-S(Root)

Diese Zertifikate werden beim Aufbau des TLS-Kommunikationskanals zwischen Sub-CA und der Root für das Zertifikatsmanagement eingesetzt.
CTLS(Sub-CA)

Privater Schlüssel zu

C(Sub-CA)

Diese Zertifikate werden beim Aufbau des TLS-Kommunikationskanals zwischen Sub-CA und anderen Systemen eingesetzt.

 

Zertifikate der Zertifikatsnehmer (außer Root-CA und Sub-CA):

Zertifikat eines ZertifikatsnehmersSigniert durchVerwendungszweck

CTLS(EMT)

CTLS(GWA)

CTLS(GWH)

CTLS(SMGW)

Privater Schlüssel zu

C(Sub-CA)

Zertifikat des entsprechenden Endnutzers zur Authentisierung beim Kommunikationspartner und zum Aufbau eines TLS-Kanals.

Das Zertifikat CTLS(GWA) wird zudem auch für die Authentifikation am Sicherheitsmodul des SMGW verwendet.

CEnc(EMT)

CEnc(GWA)

CEnc(GWH)

CEnc(SMGW)

Privater Schlüssel zu

C(Sub-CA)

Zertifikat zur Verschlüsselung von Inhaltsdaten für den entsprechenden Endnutzer.

CSig(EMT)

CSig(GWA)

CSig(GWH)

CSig(SMGW)

Privater Schlüssel zu

C(Sub-CA)

Zertifikat zur Verifikation von Inhaltsdatensignaturen des entsprechenden Endnutzers.

 

 

Eingehende Information

Die SEN.CA kann unter anderem SEN.CA Link-Zertifikate, CRLs und Zertifikats-Requests empfangen. Jegliche empfangene Information wird bestätigt.

 

Ausgehende Information

Die Informationen, die die SEN.CA versendet, beinhalten u.a. DS-Zertifikate, CRLs und Benachrichtigungen bei der Aktivierung von Backup-Schlüsseln.

Auch wenn ein Kommunikationskanal mit einer vertrauenswürdigen Partei schon besteht (die eMail-Adresse ist bekannt vom SubjectAlternativeName Extension im SEN.CA-Zertifikat), ist eine Registrierung bei der SEN.CA notwendig, um solche Informationen zu erhalten. Die Registrierung muss mindest eine eMail-Adresse und einen Herkunftsnachweis beinhalten.

                                      


 Zertifikate der SEN.CA (Prod)

 

COMET-SEN.CA(SN4).cer.zip​​

Aktuelles Signaturzertifikat (SN2)
Aktuelles TLS Zertifikat

Signaturzertifikat (SN1)

Zertifikate der Test SEN.CA

TEST-SWS-SEN.CA(SN7).cer.zip

Aktuelles Signaturzertifikat (SN6)
Aktuelles TLS Zertifikat (SN5)


Signaturzertifikat (SN5)

Signaturzertifikat (​SN2)
Signaturzertifikat (SN1)

TEST-SWS-SEN.CA.TLS(SN6).cer.zip

TLS Zertifikat (SN3)

TLS Zertifikat (SN2)
TLS Zertifikat (SN1)

Zertifikate der Dev SEN.CA

Aktuelles Signaturzertifikat (SN3)

TLS Zertifikat (SN8)

TLS Zertifikat (SN6)

DEV-SWS-SEN.CA.TLS(SN9).cer.zip

Kontaktdaten                  

​Name​Dr.-Ing. Thomas Klein
​Bereich​VID - Informationstechnik PKI-Trustcenter
​Funktion​Fachbereichsleiter
​E-Mailtrustcenter@sen-pki.de
​Telefon​+49 681 587 2017
​Mobil​+49 160 369 4211
​Fax​+49 681 587 297 2017