EMT.API-Zertifikate
Beantragung
Bevor der Betrieb den Lieferantenwechsel 24h starten kann, müssen Zertifikate im API-Server hinterlegt werden. Diese Zertifikate werden von der SM-PKI des BSI ausgestellt und müssen vorher beantragt werden.
Die Beantragung erfolgt im Namen durch die SIV im Namen des Inhabers der jeweiligen Marktpartner-ID. Die SIV beantragt die Zertifikate beim Dienstleister DARZ, der eine Sub-CA der SM-PKI betreibt.
Voraussetzungen für die Beantragung
Benötigt | Zuständig | Kommentar | Erledigt |
Zuteilungsurkunde | |||
Aktueller Handelsregisterauszug | |||
Vollmacht für die SIV.AG zur Beantragung des Zertifikatstripels bei der DARZ | |||
CRMF-Datei | IT | Wird über Schlüsselzeremonie erstellt |
Schlüsselzeremonie
Unter EMT.API-Zertifikate - Wissensdatenbank - Confluence wird beschrieben, was hier zu tun ist. Vorher muss allerdings bestimmt werden, die die Hostnamen (und Portnummern) der öffentlich verfügbaren API-Endpunkte lauten.
Marktpartner-ID | Bereich | URL |
Netz | netz.webapi.stadtwerke-ilmenau.de | |
Vertrieb | vertrieb.webapi.stadtwerke-ilmenau.de |
Einrichtung
Reverse-Proxy (eingehend)
Die Einrichtung des Transportweges in eingehende Richtung wird auf Empfehung der SIV mit haproxy realisiert. Wichtig hierbei sind folgende Kriterien:
- Lenkung des Traffics zum richtigen Backend-Server anhand des SNI
- Übergabe des Traffics nicht wie ein üblicher Reverse-Proxy auf dem HTTP-Level, sondern auf TCP-Level, damit mTLS auch weiterhin funktioniert. Das bedeutet, dass der Reverse-Proxy selbst keine Zertifikate und Schlüssel für den Betrieb benötigt, da die TLS-Verbindungen erst am Ziel (hier: API-Server) terminieren.
- Nutzung einer gemeinsamen externen IP-Adresse für die in der Schlüsselzeremonie ermittelten Hostnames
Hostname | externe IP-Adresse | DNAT-Ziel FWL (Reverse-Proxy) | |
netz.webapi.stadtwerke-ilmenau.de | 1.2.3.4 | 10.5.3.101:5443 | |
vertrieb.webapi.stadtwerke-ilmenau.de | 1.2.3.4 | 10.5.3.101:5443 |