Skip to main content

EMT.API-Zertifikate

Beantragung

Bevor der Betrieb den Lieferantenwechsel 24h starten kann, müssen Zertifikate im API-Server hinterlegt werden. Diese Zertifikate werden von der SM-PKI des BSI ausgestellt und müssen vorher beantragt werden.

Die Beantragung erfolgt im Namen durch die SIV im Namen des Inhabers der jeweiligen Marktpartner-ID. Die SIV beantragt die Zertifikate beim Dienstleister DARZ, der eine Sub-CA der SM-PKI betreibt.

Voraussetzungen für die Beantragung

Benötigt

Zuständig

Kommentar

Erledigt

Zuteilungsurkunde




Aktueller Handelsregisterauszug




Vollmacht für die SIV.AG zur Beantragung des Zertifikatstripels bei der DARZ


Download: https://confluence.siv.de/download/attachments/372792915/Vollmacht%20SIV.AG%20-%20DARZ.CA%20Formular.pdf?version=2&modificationDate=1747219503962&api=v2


CRMF-Datei

IT

Wird über Schlüsselzeremonie erstellt


Schlüsselzeremonie

Unter EMT.API-Zertifikate - Wissensdatenbank - Confluence wird beschrieben, was hier zu tun ist. Vorher muss allerdings bestimmt werden, die die Hostnamen (und Portnummern) der öffentlich verfügbaren API-Endpunkte lauten.

Marktpartner-ID

Bereich

URL


Netz

netz.webapi.stadtwerke-ilmenau.de


Vertrieb

vertrieb.webapi.stadtwerke-ilmenau.de

Einrichtung

Reverse-Proxy (eingehend)

Die Einrichtung des Transportweges in eingehende Richtung wird auf Empfehung der SIV mit haproxy realisiert. Wichtig hierbei sind folgende Kriterien:

  • Lenkung des Traffics zum richtigen Backend-Server anhand des SNI
  • Übergabe des Traffics nicht wie ein üblicher Reverse-Proxy auf dem HTTP-Level, sondern auf TCP-Level, damit mTLS auch weiterhin funktioniert. Das bedeutet, dass der Reverse-Proxy selbst keine Zertifikate und Schlüssel für den Betrieb benötigt, da die TLS-Verbindungen erst am Ziel (hier: API-Server) terminieren.
  • Nutzung einer gemeinsamen externen IP-Adresse für die in der Schlüsselzeremonie ermittelten Hostnames

In der Tabelle sind die aktuellen Konfigurationen im haproxy dargestelt.

  • Hostname: Name, über den der Datenverkehr von außen initiiert wird
  • externe IP-Adresse: zu dieser Adresse wird der Hostname aufgelöst. Alle Hostnames teilen sich die gleiche Adresse
  • DNAT-Ziel: In der Firewall wird dieser DNAT-Regel konfiguriert. Hiermit wird jede Anfrage, die auf der externen IP-Adresse landet, zum Reverse-Proxy durchgereicht
  • Der Reverse-Proxy gibt die Anfragen basierend auf dem SNI an das jeweilige Backend weiter.

Hostname

externe IP-Adresse

DNAT-Ziel FWL (Reverse-Proxy)

Backend-Ziel

netz.webapi.stadtwerke-ilmenau.de

1.2.3.4

10.5.3.101:5443

5.6.7.8:5124

vertrieb.webapi.stadtwerke-ilmenau.de

1.2.3.4

10.5.3.101:5443

5.6.7.9:5124

Quelle: EMT.API-Zertifikate - Wissensdatenbank - Confluence

Back to top