Festlegungen zu den X.509- Zertifikaten der SMC Typ B - Gematik

Einführung der GesundheitskarteFestlegungen zu den X.509-Zertifikaten der SMC Typ BVersion: 1.4.0Revision: main/rel_main/15Stand: 27.06.2008Status:freigegebengematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 1 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BVersion Stand Kap./SeiteGrund der Änderung, besondere HinweiseBearbeitung0.3.3 12.07.06 Deutliche Kennzeichnung von Optional und Pflicht gematik, AG30.3.4 14.08.06 Einarbeitung Kommentare gematik, AG30.9.0 29.08.06 Einarbeitung KommentareEinführung von SHA-256gematik, AG30.9.1 08.09.06 Editorische Überarbeitung gematik, AG31.0.0 02.11.06 Freigabe gematik1.1.0 09.05.07 Präzisierung des SubjectDN, Rollen der LE-Organisationen (Interimsversion)gematik, AG81.1.1 10.07.07 3 Finale Aktualisierung der OIDs gematik, AG81.1.2 25.07.07 3 Präzisierung der serialNumber im Subject gematik, AG81.1.3 24.10.07 5-7 Aufnahme von „BasicConstraints“ als optionale Zertifikatserweiterung.Beschreibung für den Umgang mitüberlangen Feldern im SubjectDN.Konkrete Verweise auf [gemSpec_Krypt]Hinweis auf offene Punkte1.1.4 02.11.07 Einarbeitung der Zertifikatserweiterungen Admissionund AdditionalInformationgematik, AG8SPE/ZD1.1.5 05.11.07 Editorische Überarbeitung SPE/ZD1.1.6 05.12.07 Einarbeitung Review-Ergebnisse SPE/ZD1.1.7 13.12.20073 Entfernung der zwischenzeitlich festgelegten OID-Übersichten, da diese noch final über DIMDI konsentiertwerden.Präzisierung bzgl. Folgekarten-KennzeichnungSPE/ZD1.2.0 18.12.07 freigegeben gematik1.2.1 14.02.08 3 Einarbeitung externe Review-Ergebnisse (Klarstellungenzur Organisations-ID, Zusammenführung derbisherigen Abschnitte 3.5 und 3.6)Verweis auf separates OID-Dokument1.2.2 28.02.08 Einführung einheitliche Schreibweise für OSIG undTabellenbeschriftungen.SPE/ZDSPE/ZD1.3.0 18.03.08 freigegeben gematik23.05.08 Präzisierungen und Korrekturen bzgl. Inhalten vonSubjectDN und ExtensionsUmbenennung der „Organisations-ID“ in „Telematik-ID“ und weitere Präzisierungen dazuCodierung von Zertifikatstyp in „CertificatePolicies“anstelle von „AdditionalInformation“Neuer Abschnitt über BetriebsumgebungenSPE/ZD09.06.08 3.6, 4, Einarbeitung Reviewergebnisse: SPE/ZDgematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 3 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BVersion Stand Kap./SeiteGrund der Änderung, besondere HinweiseBearbeitung7 Anpassung der Algorithmen für C.HCI.AUT1.4.0 27.06.08 freigegeben gematikgematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 4 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BInhaltsverzeichnisDokumentinformationen.....................................................................................2Inhaltsverzeichnis................................................................................................51 Zusammenfassung .......................................................................................72 Einführung.....................................................................................................82.1 Zielsetzung und Einordnung des Dokumentes..............................................82.2 Zielgruppe.........................................................................................................82.3 Geltungsbereich...............................................................................................82.4 Arbeitsgrundlagen............................................................................................82.5 Abgrenzung des Dokumentes.........................................................................82.6 Methodik............................................................................................................92.6.1 Verwendung von Schüsselworten..................................................................92.6.2 Hinweis auf offene Punkte...........................................................................103 Fachlicher Teil.............................................................................................113.1 Zielbeschreibung hinsichtlich der Zertifikatsdefinitionen...........................113.2 Attribute im SubjectDN..................................................................................113.3 OIDs für die LE-Organisationen.....................................................................123.4 Festlegungen zur Definition der Organisation .............................................123.5 Notwendige Zertifikatsfelder..........................................................................143.6 Admission Extension Kennzeichnung von Institutionstyp und einzelnerInstitution in der Extension Admission...................................................................163.6.1 ASN.1-Struktur nach [COMMON-PKI]:........................................................163.6.2 Organisationsidentität („Telematik-ID für die SMC-B“) in der ExtensionAdmission................................................................................................................173.6.3 Sektorale Merkmale in der Extension Admission.........................................183.7 Kennzeichnung von Angaben zum Zertifikatstyp in der ExtensionCertificatePolicies.....................................................................................................193.8 Aufbau Anschriftzone nach [DIN5008]..........................................................203.9 Aufbau des SubjectDN...................................................................................213.10 Umgang mit überlangen Attributen im SubjectDN..................................214 Authentisierungszertifikat der SMC Typ B (C.HCI.AUT)..........................225 Verschlüsselungszertifikat der SMC Typ B (C.HCI.ENC).........................24gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 5 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B6 Organisationszertifkat der SMC Typ B (C.HCI.OSIG)...............................257 Produktiv- / Test- TSP.................................................................................26Anhang...............................................................................................................27A1 – Abkürzungen.....................................................................................................27A2 – Glossar..............................................................................................................27A3 – Abbildungsverzeichnis.....................................................................................27A4 – Tabellenverzeichnis..........................................................................................28A5 – Referenzierte Dokumente.................................................................................28A6 - Klärungsbedarf..................................................................................................30gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 6 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B1 ZusammenfassungIm Rahmen der Einführung der elektronischen Gesundheitskarte (eGK) wurde festgestellt,dass X.509-Zertifikate zur Authentisierung, Verschlüsselung und zur Erstellung elektronischerSignaturen (im Sinne einer Willenserklärung) als Bestandteil der eGK-Spezifikationstandardisiert festgelegt werden müssen, um die Interoperabilität sicherstellen zu können.Im Projekt [COMMON-PKI] wurde eine auf internationalen Standards beruhende Spezifikationfür PKI-gestützte Anwendungen und ein Testbed für den Nachweis der Interoperabilitätvon Produkten und Lösungen für elektronische Signaturen, Authentisierung undVerschlüsselung erarbeitet.Alle erforderlichen Komponenten für E-Mail-, Daten- und XML-Signaturen bzw. Verschlüsselungund für Zertifikats- und Schlüsselmanagement, Sperrlisten, Verzeichnisdiensteund PC-Schnittstellen sind dort detailliert beschrieben (siehe www.commonpki.org).Die SMC Typ B definiert im Gegensatz zu eGK oder HBA nicht die Identität einer Person,sondern einer Einheit oder Organisation des Gesundheitswesens (z. B. Praxis, Apotheke)und wird deshalb auch „Institutionenkarte“ genannt.Die vorliegende Spezifikation definiert die Zertifikatsprofile für die auf der SMC-B gespeichertenZertifikate. Insbesondere werden dabei Festlegungen zur Identifikation der individuellenOrganisation getroffen.gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 7 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B2 Einführung2.1 Zielsetzung und Einordnung des DokumentesIn dem Dokument wird ein detailliertes Zertifikatsprofil zur Festlegung der Organisations-Identität im Umfeld von X.509-basierenden Public-Key-Infrastrukturen der Gesundheitstelematikbeschrieben. Hierbei ist eine detaillierte Festlegung für das Feld „Subject“ getroffenworden, welches die Organisation ein(ein)deutig bestimmt und welches den Anforderungendes Datenschutzes nach „Datensparsamkeit“ genügen soll. Darüber hinaus wurdenin der Erweiterung „Admission“ eine Kennzeichnung zum Institutionstyp und (analogdem HBA) eine Telematik-ID zur eindeutigen Organisationsidentität aufgenommen. Darauswerden die entsprechenden Vorgaben für das Verschlüsselungs- (ENC), Authentisierungs-(AUT) und Organisationszertifikat (OSIG) abgeleitet.2.2 ZielgruppeDas Dokument wendet sich an die technischen Spezialisten der Betreiber von Kartenmanagementsystemenund die Administratoren der Trust Service Provider (TSP).2.3 GeltungsbereichDie Festlegungen zu den X.509-Identitäten sind für alle Betreiber von Kartenmanagementsystemenund Trust Service Provider, die innerhalb der Gesundheitstelematik tätigsind, verbindlich.2.4 ArbeitsgrundlagenDie getroffenen Festlegungen basieren auf Vereinbarungen aus regelmäßigen Gesprächenund Workshops der gematik mit den betreffenden Leistungserbringerorganisationen.2.5 Abgrenzung des DokumentesDie langfristige Bestimmung der Hash-Algorithmen, der Schlüssellängen und der Signaturalgorithmenist nicht Gegenstand der Betrachtung. Hierfür werden jeweils aktuell dieEmpfehlungen der international relevanten Gremien und die Anforderungen vonSigG/SigV [ALGCAT] berücksichtigt. Die Festlegungen zum „Aktivieren qualifizierter Zerti-gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 8 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ Bfikate“ [gemQES] und die Vorgaben für die Vereinheitlichung der Public-Key-Infrastrukturen, insbesondere hinsichtlich der „Policy-Aspekte“ [gemTSL_SP_CP], werdenin gesonderten Dokumenten getroffen.Im vorliegenden Dokument werden ebenfalls keine Aussagen zum Management der kryptographischenSchlüssel getroffen. Diesbezüglich wird auf das übergreifende Sicherheitskonzeptder gematik [gemSiKo] verwiesen, insbesondere auf Abschnitt F5 [gemSi-Ko#AnhF5].Die verbindlichen Vorgaben und Zulassungsvoraussetzungen für die Herausgabe vonSMC-B-Zertifikaten durch Trust Service Provider werden in der gemeinsamen Zertifizierungsrichtliniefür Teilnehmer der gematik-TSL zur Herausgabe von X.509-ENC/AUTH/OSIG-Zertifikaten [gemTSL_SP_CP] getroffen.Die für die Verwendung in der TI zulässigen Algorithmen, Schlüssellängen und maximalenGültigkeitsdauern von Schlüsseln und Zertifikaten werden in [gemSiKo] sowie entsprechendder Technischen Richtlinie für eCard-Projekte der Bundesregierung [BSI-TR03116]normativ vorgegeben. Die freie Auswahl aus den hier zugelassenen Algorithmen durchdie Hersteller könnte zu Interoperabilitätsproblemen führen, während die Implementierungaller zulässigen Algorithmen erheblichen Aufwand verursacht. Dieser Konflikt wird durch[gemSpec_Krypt] adressiert. Ziel des Dokumentes „Verwendung kryptographischer Algorithmenin der Telematikinfrastruktur“ [gemSpec_Krypt] ist es, das Spektrum der zulässigenkryptographischen Algorithmen, sofern sie betreiberübergreifend verwendet werden,einzuschränken, um so mit einer minimalen Anzahl von Algorithmen kryptographischeInteroperabilität herzustellen.Deshalb wird als Basis zur Referenzierung der kryptographischen Algorithmen auf o. g.Dokument, Abschnitt 5.1.1 [gemSpec_Krypt#5.1.1] bzw. relevante Unterabschnitte verwiesen.2.6 Methodik2.6.1 Verwendung von SchüsselwortenFür die genauere Unterscheidung zwischen normativen und informativen Inhalten werdendie dem RFC 2119 [RFC2119] entsprechenden in Großbuchstaben geschriebenen, deutschenSchlüsselworte verwendet:• MUSS bedeutet, dass es sich um eine absolutgültige und normative Festlegungbzw. Anforderung handelt.• DARF NICHT bezeichnet den absolutgültigen und normativen Ausschluss einerEigenschaft.• SOLL beschreibt eine dringende Empfehlung. Abweichungen zu diesen Festlegungensind in begründeten Fällen möglich. Wird die Anforderung nicht umgesetzt,müssen die Folgen analysiert und abgewogen werden.• SOLL NICHT kennzeichnet die dringende Empfehlung, eine Eigenschaft auszuschließen.Abweichungen sind in begründeten Fällen möglich. Wird die An-gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 9 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ Bforderung nicht umgesetzt, müssen die Folgen analysiert und abgewogen werden.• KANN bedeutet, dass die Eigenschaften fakultativ oder optional sind. DieseFestlegungen haben keinen Normierungs- und keinen allgemeingültigen Empfehlungscharakter.2.6.2 Hinweis auf offene PunkteOffene Punkte, die bis zur nächsten Dokumentversion bearbeitet werden, sind vorläufigmit den folgenden Konventionen gekennzeichnetOffene Punkte, die arbeitsgruppenübergreifend abgestimmt werden müssen, sind Magenta eingerahmt.Durch die Abteilung Zentrale Dienste/Infrastruktur aufgrund bereits erfolgter Abstimmungen noch zu erweiterndePunkte sind violett markiert.Formale noch offene Inhalte sind blau markiert.gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 10 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B3 Fachlicher Teil3.1 Zielbeschreibung hinsichtlich der ZertifikatsdefinitionenAuf Basis eines X.509-Zertifikatsprofils mit eindeutiger und datenschutzkonformer Beschreibungder Organisation kann ein verlässlicher Zugriff auf die Dienste zur Bereitstellungder relevanten Daten der Organisation realisiert werden. Dieses erfolgt ereignisbezogenzum Zwecke der Client-Server-basierten Authentifizierung der beteiligten Institutionund zur adressierten Vertraulichkeit.3.2 Attribute im SubjectDNTabelle 1: Attribute im SubjectDNAttribut OID Kodierung max. String-Länge ArtcommonName {id-at 3} UTF8 64 Pflichttitle {id-at 12} UTF8 64 OptiongivenName {id-at 42} UTF8 64 Osurname {id-at 4} UTF8 64 OserialNumber {id-at 5} PrintableString 64 OstreetAddress {id-at 9} UTF8 128 OpostalCode {id-at 17} UTF8 40 OlocalityName {id-at 7} UTF8 128 OstateOrProvinceName {id-at 8} UTF8 128 OorganizationName {id-at 10} UTF8 64 PcountryName {id-at 6} PrintableString 2 (ISO 3166 Code) PBei Ersatz-/Folgekarten unterscheiden sich die Zertifikate der Karten zumindest durch denunterschiedlichen Aufbau der Organisations-ID in der Admission.Die Nutzung der optionalen Felder im SubjectDN wird durch den Sektor getroffen. Folglichmuss der Aufbau des SubjectDN für alle Zertifikate dieses Sektors einheitlich sein ("sektoraleGleichheit“). Die Festlegung der Felder im SubjectDN muss für alle Zertifikate einerSMC Typ B gleich sein. Zusatzinformationen zur Institution werden nur im LDAP als optionaleFelder geführt.gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 11 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B3.3 OIDs für die LE-OrganisationenBereits getroffene OID-Festlegungen für die Kennzeichnung des Typs und der Policy-OIDder LE-Organisation wurden entfernt, da diese Festlegungen nun im Dokument[gemSpec_OID] verbindlich vorgegeben werden.3.4 Festlegungen zur Definition der OrganisationEine eindeutige Definition der Organisation wird durch folgende Felder getroffen:• countryName• organizationName• commonNameDie serialNumber kann weiterhin als technisches Unterscheidungsmerkmal (falls mittelscommonName und organizationName bei einem Issuer keine Eindeutigkeit des Subjectserreicht werden kann) im SubjectDN dienen.Die eindeutige Kennzeichnung der individuellen Organisation MUSS mittels der Telematik-IDfür die SMC-B in der Zertifikatserweiterung „Admission“ erfolgen, s. Abschnitt 3.6.Der commonName der Organisation setzt sich aus folgenden Attributen zusammen:• die ersten zwei Zeilen der Anschriftzone ([DIN5008]) der InstitutioncommonNameDatenfeld: InstitutionFeld Länge Kardinalität Datentyp FormatErste zwei Zeilen der Anschriftzone, s.a.Abschnitt 3.8titleDatenfeld: Titel des Verantwortlichen/Inhabers1-64 1..1 AN UTF-8Feld Länge Kardinalität Datentyp FormatTitel des Inhabers(mehrere Titel sind durch Bindestrichoder Blank getrennt)1-64 0..1 AN UTF-8gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 12 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BgivenNameDatenfeld: Vorname des Verantwortlichen/InhabersFeld Länge Kardinalität Datentyp FormatVorname des Verantwortlichen/Inhabers(mehrere Vornamen sind durch Blankoder Bindestrich getrennt)surnameDatenfeld: Familienname des Verantwortlichen/Inhabers1-64 0..1 AN UTF-8Feld Länge Kardinalität Datentyp FormatFamilienname des Verantwortlichen/InhabersserialNumber1-64 0..1 AN UTF-8Datenfeld: Eindeutige Nummer zur Identifikation der Organisation Weiteres, optionalesKennzeichen der OrganisationFeld Länge Kardinalität Datentyp FormatserialNumber 1-64 0..1 AN Printable-StringstreetAddressDatenfeld: Strassenanschrift der InstitutionFeld Länge Kardinalität Datentyp FormatStrasse Hausnummer(mehrere Wörter sind durch Blank getrennt)postalCodeDatenfeld: Postleitzahl der Institution1-128 0..1 AN UTF-8Feld Länge Kardinalität Datentyp FormatPostleitzahlDeutsche Postleitzahlen werden in einerLänge von 5 Byte abgebildetlocalityNameDatenfeld: Stadt des Institutionsstandorts40 0..1 AN UTF-8Feld Länge Kardinalität Datentyp FormatStadt 1-64 0..1 AN UTF-8gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 13 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BstateOrProvinceNameDatenfeld: Bundesland der InstitutionFeld Länge Kardinalität Datentyp FormatBundesland 1-128 0..1 AN UTF-8organizationNameDatenfeld: Name der InstitutionFeld Länge Kardinalität Datentyp FormatName der Institution(Sollte der Name größer als die maximaleLänge sein, muss dieser zusätzlich in dieX.509-Extension SubjectAltNames (GeneralDN)eingetragen werden, s.a. Abschnitt3.10.)1-64 1..1 AN UTF-8countryNameDatenfeld: LandFeld Länge Kardinalität Datentyp FormatcountryName 2 1..1 AN PrintableString3.5 Notwendige ZertifikatsfelderDie folgende Tabelle gibt einen Überblick über die möglichen Extensions, die in einemZertifikat enthalten sein müssen (P) bzw. enthalten sein können (O):Tabelle 2: Mögliche Extensions in den ZertifikatenOrganisationszertifikatCA-ZertifikatOCSP-ResponderZertifikatSubjectKeyIdentifier O O OBasicConstraints O P PKeyUsage P P PSubjectAltNames O O OCertificatePolicies P P PCRLDistributionPoint O O OAuthorityInfoAccess P P Pgematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 14 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BOrganisationszertifikatCA-ZertifikatAuthorityKeyIdentifier P P 1 PAdmission P O OExtendedKeyUsage P / O 2 O POCSP-ResponderZertifikatDie Extension BasicConstraints MUSS für das CA-Zertifikat den Wert CA:true enthaltenund für das Zertifikat des OCSP-Responders den Wert CA:false. Wird es bei den Organisationszertifikateneingesetzt, MUSS der Wert ebenfalls CA:false sein.Die Extension KeyUsage MUSS für das Organisationszertifikat je nach tatsächlichem Verwendungszweckden Wert „digitalSignature“ enthalten (AUT), für die ENC-Zertifikate dieWerte „keyEncipherment“ und „dataEncipherment“, für die OSIG-Zertifikate den Wert„nonRepudiation“, für das CA-Zertifikat die Werte „keyCertSign“ und „crlSign“, sowie fürdas Zertifikat des OCSP-Responders den Wert „nonRepudiation“. Normativ für die Umsetzungder KeyUsage sind die jeweiligen Zertifikatsprofile in den nachfolgenden Kapiteln.In der Extension AuthorityInfoAccess MUSS die Adresse des OCSP-Services des TSPenthalten sein. Der Eintrag an dieser Stelle erfolgt aus Gründen der Kompatibilität. DieFeststellung der Ermittlung der OCSP-Adresse in der TI ist in [gemVerw_Zert_TI#9.7]beschrieben.Die Extension ExtendedKeyUsage MUSS für ein Organisationszertifikat für AUT den Wert„clientAuth“ enthalten. Bei dem Zertifikat des OCSP-Responders MUSS diese Extensionden Wert „OCSPSigning“ enthalten.Siehe [COMMON-PKI] für die OIDs der anzugebenden Werte.In allen Organisationszertifikaten MUSS wird in der Extension Admission die Art der Institutionsowie eine ID zur Identifikation der einzelnen Organisation angegeben werden, weitereDetails sind in Abschnitt 3.6 zu finden.Zur Unterscheidung von Endnutzerzertifikaten MUSS wird neben den Referenzen auf diePolicies auch der jeweilige Zertifikatstyp (OID) in der Extension CertificatePolicies gespeichertwerden. Die genaue Festlegung der OID erfolgt verbindlich im Dokument[gemSpec_OID]. Nähere Vorgaben dazu finden sich im folgenden Abschnitt 3.7.Bis auf die Extensions „KeyUsage“ und „BasicConstraints“ werden alle Extensions auf„nicht kritisch“ gesetzt. Dieses ermöglicht den Einsatz der Zertifikate auch außerhalb derTI und innerhalb von ggf. zum Einsatz kommender Standardsoftware. Falls der Wert einerExtension für die Ablaufsteuerung einer Komponente der TI benötigt wird, MUSS dieseKomponente der TI jedoch die Extension korrekt auswerten. Dieses MUSS durch die Ablaufsteuerungdieser Komponenten sichergestellt werden.1 Im Falle eines Root- bzw. self-signed CA-Zertifikats KANN diese Extension entfallen.2 Pflicht nur für das AUT-Zertifikat, nicht für ENC- und OSIG-Zertifikategematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 15 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B3.6 Admission Extension Kennzeichnung von Institutionstyp und einzelnerInstitution in der Extension AdmissionDie Admission-Extension beinhaltet die Art der Institution sowohl als Text als auch inForm einer maschinenlesbaren OID. Zudem beinhaltet sie Angaben zur individuellen Organisationin Form einer Organisations-ID der Telematik-ID (s. Abschnitt 3.6.2). Das Formatund in welchem Feld diese Angaben gespeichert werden, findet sich am Ende desAbschnitts im Bereich „Gültige Werte“. Die genaue Festlegung der Inhalte erfolgt nun verbindlichim Dokument [gemSpec_OID].Es wird genau eine Admission-Struktur aufgenommen, die genau ein ProfessionInfo enthält.Die Admission-Extension MUSS in allen drei Zertifikaten identisch enthalten sein.3.6.1 ASN.1-Struktur nach [COMMON-PKI]:id-isismtt-at-admission OBJECT IDENTIFIER ::= { isismtt-at 3 }id-isismtt-at-namingAuthorities OBJECT IDENTIFIER ::= { isismtt-at11 }AdmissionSyntax ::= SEQUENCE {admissionAuthority GeneralName OPTIONAL,contentsOfAdmissions SEQUENCE OF Admissions}Admissions ::= SEQUENCE {admissionAuthority [0] EXPLICIT GeneralName OPTIONAL,namingAuthority [1] EXPLICIT NamingAuthority OPTIONAL,professionInfos SEQUENCE OF ProfessionInfo}NamingAuthority ::= SEQUENCE {namingAuthorityId OBJECT IDENTIFIER OPTIONAL,namingAuthorityUrl IA5String OPTIONAL,namingAuthorityText DirectoryString (SIZE(1..128)) OPTIONAL }ProfessionInfo ::= SEQUENCE {namingAuthority [0] EXPLICIT NamingAuthority OPTIONAL,professionItems SEQUENCE OF DirectoryString (SIZE(1..128)),professionOIDS SEQUENCE OF OBJECT IDENTIFIER OPTIONAL,registrationNumber PrintableString (SIZE(1..128)) OPTIONAL,gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 16 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BaddProfessionInfo OCTET STRING OPTIONAL }Tabelle 3: Gültige Werte der KennzeichnungArt der KennzeichnungOrt Bezeichnung Beispiel Inhalt FormatArt der Institution Admission ProfessionItem Betriebsstätte Arzt TextInstitutionstypProfessionOID 1.2.276.0.76.4.101.1 OIDoid_praxis_arzt gemäß[gemSpec_OID]Einzelne Institution Admission RegistrationNumber Organisations-ID Telematik-ID ANEntgegen der Optionalität aus [COMMON-PKI] MÜSSEN die Felder „ProfessionOID“ und„RegistrationNumber“ gefüllt werden.3.6.2 Organisationsidentität („Telematik-ID für die SMC-B“) in der ExtensionAdmissionDie eindeutige Organisationsidentität, im Weiteren „Telematik-ID für die SMC-B“ genannt,wird in dem Feld registrationNumber der Extension Admission gespeichert (siehe 3.6.1).An die Organisations-ID Telematik-ID für die SMC-B sind folgende Anforderungen gestellt:• Lebenslange, globale, Zeit- und d.h. sektorübergreifend eindeutige unveränderlicheNummer zur individuellen Kennzeichnung einer bestimmten Institution.Diese Organisations-ID der SMC-B Telematik-ID für die SMC-B einer Institution entsprichtals stabiles eindeutiges Merkmal im Sinne eines Identity Management Konzepts somitsinngemäß der geplanten sog. „Telematik-ID“ eines Leistungserbringer-Ausweises (HBA)Arztausweises. Dabei gilt für die Telematik-ID der Institution dieselbe Regel wie für dieTelematik-ID des Leistungserbringers: sie muss über alle Sektoren hinweg eindeutig sein.Sie kann aber von Karte zu Karte unterschiedlich sein. Um diese Anforderungen realisierenzu können wird folgende Notation für die Organisations-ID Telematik-ID SMC-B festgelegt:• Die Sektoren verwenden ihre eigenen (zum Teil schon bestehenden) Nummerierungssysteme.Diese werden als Grundlage für die Organisations-ID Telematik-IDSMC-B betrachtet und müssen die oben genannten Anforderungenerfüllen.Für Ersatz-/Folgekarten muss die Organisations-ID nicht gleich sein. Es wird deshalb einSuffix zum Hochzählen bei Ersatz-/Folgekarten, gemeinsam mit einer „Betriebsstätten-Nr.“ verwendet. Der Stamm der Organisations-ID, bestehend aus dem Präfix und der eigentlichenBetriebsstätten-Nr., muss jedoch gleich bleiben.Für Ersatz-/Folgekarten muss die Telematik-ID für die SMC-B nicht gleich sein. Die einzelneInstitution kann eine neue Telematik-ID beantragen oder auch die bisherige in dergematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 17 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BFolgekarte wieder verwenden. Es wird KEIN Suffix zum Hochzählen bei Ersatz-/Folgekarten verwendet.Folgende Struktur wird dazu festgelegt und MUSS verwendet werden:--Präfix kennzeichnet dabei den jeweiligen Nummernkreis, z. B. kann der Sektor „ABC“ mitdem Präfix „ABC“ seine interne Nummerierung verwenden, die Folgenummer wird zurUnterscheidung von Folgekarten verwendet.Als Trennzeichen zwischen diesen drei Bestandteilen MUSS das Minuszeichen „-„ (ASCII-Code 0x2D) verwendet werden.Weitere Vorgaben zur Definition der Telematik-ID für die SMC-B, insbesondere hinsichtlichNummernraums und Vergabe des Präfixes werden in [gemSpec_TID] getroffen. Somitkann das vorliegende Dokument auch bei Vergabe weiterer Präfixe stabil bleiben.Tabelle 4: Aufbau der Organisationsnummern gemäß [gemSpec_TID]Bestandteil Inhalt Länge FormatPräfixNummernkreis der jeweiligen Organisation(Unterscheidung der Sektoren)3beliebig, Trennzeichen„-„ANNummerFolgenummerBetriebsstätten-Nr. (teilweise schon vorhanden),sektorspezifischFolgenummer zum Hochzählen bei Ersatz-/FolgekartenNicht festegelegt AN2 numerischDie hier genannten Festlegungen zur Organisations-ID geben den derzeitigen Diskussionsstand wieder.Offen ist jedoch nur noch die eindeutige Gestaltung der Organisations-ID hinsichtlich eindeutiger Festlegungendes Präfix. Die Speicherung erfolgt entsprechend Abschnitt 3.5.3.6.3 Sektorale Merkmale in der Extension AdmissionWeitere sektorale Merkmale wie bspw. Kammernummern etc. können in die entsprechendenFelder der Extension Admission wie namingAuthority oder admissionAuthority hinterlegtwerden, analog des Prinzips der BÄK der bestätigenden Stelle [BÄK_ZPX.509B#4.9.6].gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 18 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B3.7 Kennzeichnung von Angaben zum Zertifikatstyp in der ExtensionCertificatePoliciesDie Extension MUSS neben den Referenzen auf die zugrunde liegenden Policies für dieZertifikate auch die Angaben zum Zertifikatstyp enthalten. Die Extension ist „non-critical“.Zur Unterscheidung von Zertifikaten wird das jeweilige Kennzeichen in die Extension additionalInformationgespeichert. Die genaue Festlegung der OID erfolgt im Prozessder Strukturierung der OIDs durch die gematik und das DIMDI.ASN.1-Struktur nach [COMMON-PKI] (nur relevanter Teil):id-isismtt-at-additionalInformation OBJECT IDENTIFIER ::=AdditionalInformationSyntax ::=DirectoryString (SIZE(1..2048)){id-isismtt-at 15}CertificatePolicies ::= SEQUENCE SIZE (1..MAX) OF PolicyInformationPolicyInformation ::= SEQUENCE{policyIdentifier CertPolicyId,policyQualifiers SEQUENCE SIZE(1..MAX) OF PolicyQualifierInfo OPTIONAL}CertPolicyId ::= OBJECT IDENTIFIEREs ist möglich mehrere Zertifikats-Policies aufzunehmen. Wenn Anforderungen (z. B. Sicherheitsanforderungen)einer aufgeführten Policy durch eine andere aufgeführte Policyim selben Zertifikat vermindert werden, dann gelten stets die jeweiligen schärferen Anforderungen.Für die Angabe des Zertifikatstyps MUSS ein Element PolicyInformation eingefügtwerdem, das die OID für den Zertifikatstyp als Wert des Unterelements policyIdentifierenthält. Dieses Element PolicyInformation enthält kein Unterelement policy-Qualifier.Tabelle 5: Gültige Werte der ZertifikatskennzeichnerZertifikat Ort Bezeichnung Format InhaltOSIG C.HCI.OSIG OID oid_smc_b_osig gemäßAdditional Information[gemSpec_OID]AUTC.HCI.AUT OID oid_smc_b_aut gemäß[gemSpec_OID]ENC CertificatePolicies C.HCI.ENC OID oid_smc_b_enc gemäß[gemSpec_OID]gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 19 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B3.8 Aufbau Anschriftzone nach [DIN5008]Die ersten zwei Zeilen der Anschriftzone werden für den Inhalt des commonName verwendet.Der commonName beinhaltet somit den „Kurzname“ der Institution, so wie sie sich selbstauf dem Anschriftenfeld findet. Da dieses Feld von der Institution frei gestaltet werdenkann, ist im Folgenden nur eine exemplarische Variante abgebildet. Die Art der Institutionist eindeutig in der Admission Extension hinterlegt.1.2. Zusatz-undVermerkzone3.1.2.3. Anschriftzone4.5.6.elektronischeFreimachungsvermerke,Vorausverfügungen,ProdukteAnschriftBeispiel1.2.3.1. Kinderarzt2. Dr.med. KarlMustermann3.4.5.6.Abbildung 1: Das Anschriftenfeld nach DIN5008Hinweis:Für den Sonderfall der „Berufsausübungsgemeinschaften“ (ehemals „Gemeinschaftspraxen“)gilt die Ausnahme, dass die Zeile 2 der Anschriftzone (DIN5008) OPTIONAL ist.Somit ist Zeile 1 Pflichtfeld, die Zeilen 3 und/oder 4 sind wie Zeile 2 optional, um darüberdie Praxisbezeichnung (Bsp. „Praxis Bülowbogen“) mit aufzunehmen.gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 20 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B3.9 Aufbau des SubjectDNDer SubjectDN der Organisation setzt sich wie folgt zusammen (Optionale Daten sindgrau hinterlegt):CN = [Erste zwei Zeilen der Anschriftzone], title = [Titel des Verantwortlichen], given-Name = [Vorname des Verantw.], surname = [Nachname des Verantw.], SN = [eindeutigeNummer], STREET = [Straße und Hausnummer] PostalCode = [Postleitzahl], L = [Stadt]ST=[Bundesland], O = [Name der Institution], C = DEAbbildung 2: Struktur des SubjectDN3.10 Umgang mit überlangen Attributen im SubjectDNDiese Spezifikation sieht vor, dass überlange Attribute des SubjectDN in der Extension„SubjectAltNames“ beinhaltet sind. In diesem Abschnitt wird das genaue Format spezifiziert.Attribute, die in die Extension „SubjectAltNames“ übertragen werden, müssen vollständigübertragen werden.Felder des „SubjectAltNames“ werden im Format GeneralName gespeichert, welcheseine Vielzahl von Ausprägungen hat. Für die Verwendung von überlangen Namen wirdder Typ OtherName benutzt. Der Aufbau ist wie folgt:OtherName ::= SEQUENCE {type-id OBJECT IDENTIFIER,value [0] EXPLICIT ANY DEFINED BY type-id }}Die type-id entspricht der OID des zu verlängernden Feldes (Für weitere Informationen,siehe ITU-T Rec. X.501 | ISO/IEC 9594-2). Das Format des value wird entsprechend desAttributes festgelegt.Beispiel:SubjectDN:organizationName: „Gematik Institution“SubjectAltNames:OtherName: type-id: ‚2.5.4.10’value: „Gematik Institution in 10117 Berlin, Inhaber: Prof. Dr. Getein Gematik“gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 21 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B4 Authentisierungszertifikat der SMC Typ B (C.HCI.AUT)ElementBemerkungencertificateAuthentisierungszertifikat für eine OrganisationtbsCertificateZertifikatsdatenversion Version der Spezifikation: Version 3serialNumberEindeutige Nummer des Zertifikats im Rahmen der ausstellendenCA (ganze Zahl, 1

Festlegungen zu den X.509-Zertifikatender SMC Typ BsignatureDie konkrete Festlegung erfolgt gemäß [gemSpec_Krypt#5.1.1.4][gemSpec_Krypt#5.1.1.8]Wert der Signaturgematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 23 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B5 Verschlüsselungszertifikat der SMC Typ B (C.HCI.ENC)ElementBemerkungencertificateVerschlüsselungszertifikat für eine OrganisationtbsCertificateZertifikatsdatenversion Version der Spezifikation: Version 3serialNumberEindeutige Nummer des Zertifikats im Rahmen der ausstellendenCA (ganze Zahl, 1

Festlegungen zu den X.509-Zertifikatender SMC Typ B6 Organisationszertifkat der SMC Typ B (C.HCI.OSIG)ElementBemerkungencertificateOrganisationszertifikat für eine OrganisationtbsCertificateZertifikatsdatenversion Version der Spezifikation: Version 3serialNumberEindeutige Nummer des Zertifikats im Rahmen der ausstellendenCA (ganze Zahl, 1

Festlegungen zu den X.509-Zertifikatender SMC Typ B7 Produktiv- / Test- TSPBei X.509 Zertifikaten in der TI wird unterschieden, in welchen Einsatzumgebungen dieseverwendet werden. Eine grundsätzliche Trennung erfolgt nach Produktiv- und Testumgebung,wobei die produktive Umgebung selbst wiederum aus drei Umgebungen besteht,wie im Folgenden näher erläutert wird. Somit MUSS der TSP für jede Umgebung eineeigene CA betreiben. Diese Systeme MÜSSEN technisch und organisatorisch getrenntwerden.Die Produktivumgebung wird gemäß [gem_Betr_BK_R2FT] in die verschiedenen UmgebungenProduktionsumgebung (PU), Produktionsreferenzumgebung (PRU) und eine Produktionstestumgebung(PTU) unterschieden. Um den Betrieb dieser Umgebungen saubertrennen zu können, MÜSSEN die dabei in einer PU, PRU bzw. PTU zum Einsatz kommendenZertifikate aus unterschiedlichen Vertrauensräumen kommen. Entsprechend wirdauch bei der TSL zwischen PU-TSL, PRU-TSL und PTU-TSL unterschieden. Die zertifikatsprüfendenKomponenten MÜSSEN daher mit der jeweils für sie anhand der Betriebsumgebungrelevanten TSL ausgestattet sein. Für die Produktiv-CA(s) des TSP ergibt sichdaraus, dass für diese ebenfalls getrennt eine PU, eine PRU und eine PTU betriebenwerden MÜSSEN.Das CA-Zertifikat der CA der Produktionsumgebung wird durch die gematik in die PU-TSLeingetragen.Das CA-Zertifikat der CA der Produktionsreferenzumgebung wird durch die gematik in diePRU-TSL eingetragen.Das CA-Zertifikat der CA der Produktionstestumgebung wird durch die gematik in diePTU-TSL eingetragen.Die folgende Abbildung verdeutlicht die Unterscheidung dieser Betriebsumgebungen:Abbildung 3: Unterscheidung der Betriebsumgebungengematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 26 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BA1 – AbkürzungenAnhangKürzelAUTCACPeGKENCETSIHBALEOOCSPOIDOSIGPKIPRUPTUPUSigGSMCTIErläuterungAuthenticationcertification authorityCertificate PolicyElektronische GesundheitskarteEncryptionEuropäisches Institut für TelekommunikationsnormenHeilberufsausweisLeistungserbringer-OrganisationOnline Certificate Status ProtocolObject IdentifierOrganizational SignaturePublic Key InfrastructureProduktionsreferenzumgebungProduktionstestumgebungProduktionsumgebungSignaturgesetzSecurity Module CardTelematikinfrastrukturTSL Trust-service Status List nach ETSI TS 102 231 V2.1.1 (2006-03)TSP Trust Service ProviderXML Extensible Markup LanguageA2 – GlossarDas Projektglossar wird von der gematik als eigenständiges Dokument zur Verfügunggestellt.A3 – AbbildungsverzeichnisAbbildung 1: Das Anschriftenfeld nach DIN5008.............................................................20Abbildung 2: Struktur des SubjectDN..........................................................................21gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 27 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ BAbbildung 3: Unterscheidung der Betriebsumgebungen..................................................26A4 – TabellenverzeichnisTabelle 1: Attribute im SubjectDN....................................................................................11Tabelle 2: Mögliche Extensions in den Zertifikaten..........................................................14Tabelle 3: Gültige Werte der Kennzeichnung...................................................................17Tabelle 4: Aufbau der Organisationsnummern gemäß [gemSpec_TID]...........................18Tabelle 5: Gültige Werte der Zertifikatskennzeichner.......................................................19A5 – Referenzierte DokumenteDie nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokumentreferenzierten Dokumente der gematik. Der mit dem vorliegenden Dokument korrelierendeEntwicklungsstand dieser Konzepte und Spezifikationen, die im Rahmen des Vorhabenszur Einführung der Gesundheitskarte veröffentlicht werden, wird pro Release in einerDokumentenlandkarte definiert. Version und Stand der referenzierten Dokumente sinddaher in der nachfolgenden Tabelle nicht aufgeführt. Die jeweils gültige Version und dasFreigabedatum der aufgeführten gematik-Dokumente entnehmen Sie bitte der von dergematik veröffentlichten Dokumentenlandkarte (aktuell [gemDokLK_2.3.4]), wobei jeweilsder aktuellste Releasestand maßgeblich ist, in dem die vorliegende Version aufgeführtwird. Zur Unterstützung der Zuordnung wird in der Dokumentenlandkarte im Kapitel 4 eineÜbersicht über die Dokumentenversionen und deren Zuordnung zu den verschiedenenReleases bereitgestellt.[Quelle][gem_Betr_BK_R2FT]Herausgeber (Erscheinungsdatum): Titelgematik: Einführung der Gesundheitskarte –Betriebskonzept Leitstand GesundheitstelematikGültig für Release: 2, Teststufe: 03_Feldtest[gemDokLK_2.3.4] gematik: Einführung der Gesundheitskarte –Dokumentenlandkarte Releasestand 2.3.4 – Online Feldtest10.000Festlegung der Versionsstände[gemQES] gematik: Einführung der Gesundheitskarte -Aktivierung der qualifizierten elektronischen Signatur[gemSiKo] gematik: Einführung der Gesundheitskarte –Übergreifendes Sicherheitskonzept der Telematikinfrastruktur[gemSpec_Krypt] gematik: Einführung der Gesundheitskarte -Verwendung kryptographischer Algorithmen in derTelematikinfrastruktur,[gemSpec_OID] gematik: Einführung der Gesundheitskarte -Spezifikation: Festlegung von OIDs[gemSpec_TID] gematik: Einführung der Gesundheitskarte -Spezifikation der Telematik-ÍD für HBA und SMCgematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 28 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B[Quelle][gemTSL_SP_CP]Herausgeber (Erscheinungsdatum): Titelgematik: Gemeinsame Zertifizierungsrichtlinie für Teilnehmer dergematik-TSL zur Herausgabe von X.509-ENC/AUTH/OSIG-Zertifikaten[gemVerw_Zert_TI] gematik: Einführung der Gesundheitskarte -Verwendung von Zertifikaten in der TelematikinfrastrukturWeitere Referenzierungen:[Quelle]Herausgeber (Erscheinungsdatum): Titel[ALGCAT] Geeignete Algorithmen zur Erfüllung der Anforderungen nach §17Abs. 1 bis 3 SigG vom 22. Mai 2001 in Verbindung mit Anlage 1Abschnitt I Nr. 2 SigV vom 22. November 2001,Veröffentlicht am 12. April 2007 im Bundesanzeiger Nr. 69, S.3759Aktuelle Quelle: www.bundesnetzagentur.de[BÄK_ZPX.509B] Bundesärztekammer (19.04.2007):Zertifikatsprofile für X.509 Basiszertifikate V 0.89; Zertifikatsaufbauund –hierarchie, Gültigkeitsmodell für Zertifikatstypen: ENC,AUT, QES, ATT sowie die Root, Cross- und CA-Zertifikate, dieCRL-Signer und die OCSP-Zertifikate[BSI-TR03116] BSI TR-03116 (23.03.2007):Technische Richtlinie für die eCard-Projekte der BundesregierungVersion: 1.0http://www.bsi.de/literat/tr/tr03116/BSI-TR-03116.pdf[DIN5008]DIN 5008 (2005): Schreib- und Gestaltungsregeln für die Textverarbeitung[HPC-Spec][COMMON-PKI][ISO6523][ISO8859-1]BÄK et al. (in Vorbereitung):Spezifikation des elektronischen HeilberufsausweisesTeil III: SMC – Anwendungen und FunktionenV2.x.xPKI- InteroperabilitätsspezifikationAktuelle Quelle http://www.common-pki.org/index.php?id=567(zuletzt geprüft am 21.05.2008)ISO/IEC 6523 : 1998 Data Interchange - Structure for the identificationof organizations – Part 1 : Identification of organizationidentification schemes ; Part 2 : Registration of organization identificationschemesISO/IEC 8859-1 (1998): Information technology - 8-bit single-bytecoded graphic character sets - Part 1: Latin alphabet No. 1[RFC2119] RFC 2119 (März 1997):Key words for use in RFCs to Indicate Requirement LevelsS. Bradner, http://www.ietf.org/rfc/rfc2119.txt (zuletzt geprüft am14.12.2006)gematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 29 von 30Version: 1.4.0 © gematik Stand: 27.06.2008

Festlegungen zu den X.509-Zertifikatender SMC Typ B[Quelle]Herausgeber (Erscheinungsdatum): Titel[RFC3629] RFC 3629 (November 2003):UTF-8, a transformation format of ISO 10646A6 - KlärungsbedarfKap. Offener Punkt ZuständigKap. 3.5.2Die eindeutige Gestaltung der Organisations-ID hinsichtlicheindeutiger Festlegungen des Präfix.keinergematikgematik_PKI_X 509_Zertifikate_SMCTypB_V1.4.0.doc Seite 30 von 30Version: 1.4.0 © gematik Stand: 27.06.2008