Deutsch | English

1. Einleitung und Überblick

Name der Zertifizierungsstelle: "A1-Telekom-Austria-AG-IssuingCA01-Gold"
Zweck: Diese Ausstellererklärung beschreibt die Richtlinien und Praktiken der Zertifizierungsstelle "A1 Telekom Austria AG Gold".

Gültigkeitsbereich:
Die von "A1-Telekom-Austria-AG-IssuingCA01-Gold" ausgestellten Zertifikate werden primär für die Absicherung und Authentifizierung hochsensibler interner Tier-0-Systeme innerhalb der Unternehmensinfrastruktur verwendet, einschließlich LDAPS, KDC und Host Guardian Service. Diese Zertifikate werden auch für die Authentifizierung, Verschlüsselung und Sicherheitsprotokolle kritischer Systeme genutzt.
Diese Zertifikate gewährleisten, dass Verbindungen sicher und verschlüsselt sind und nur autorisierte Geräte oder Benutzer auf kritische Netzwerksysteme zugreifen können. Die Zertifikate dienen in erster Linie folgenden Zwecken:

• Client-Authentifizierung:
  Sichert die Authentifizierung von Geräten und Benutzern innerhalb sensibler interner Netzwerke.
• Server-Authentifizierung:
  Wird für die Authentifizierung von Servern in hochsicheren Umgebungen verwendet.
• LDAPS (LDAP Secure):
  Sichert den LDAP-Verkehr über SSL/TLS.
• KDC (Kerberos-Schlüsselverteilungszentrum):
  Sorgt für sichere Kommunikation innerhalb der KDC-Infrastruktur.
• SmartCard-Authentifizierung:
  Ermöglicht eine sichere Anmeldung und Authentifizierung mit SmartCards.
• Code-Signierung:
  Gewährleistet die Integrität und Authentizität von signiertem Software-Code.
• Verschlüsselndes Dateisystem (EFS):
  Ermöglicht die sichere Verschlüsselung und Entschlüsselung sensibler Dateien.
• Recovery Agent:
  Ermöglicht autorisierten Personen die Wiederherstellung verschlüsselter Daten.
• Host Guardian Service (HGS):
  Sichert die Kommunikation für Systeme, die an der Virtualisierungsabsicherung beteiligt sind.
• OCSP-Signierung:
  Gewährleistet die Integrität und Authentizität von OCSP-Antworten für Zertifikatswiderrufsprüfungen.
• NDES (Network Device Enrollment Service):
  Automatisiert die Zertifikatsausstellung für ILO/RIB-Systeme mit Hardwaremanagement-Schnittstellen.

2. Vertrauensniveau und Verwendungszweck

"A1 Telekom Austria AG Gold" ist für die Ausstellung von Zertifikaten auf dem höchsten Vertrauensniveau "Gold" verantwortlich. Gold-Zertifikate sind für die sensibelsten Systeme innerhalb der A1 Telekom Austria AG-Infrastruktur reserviert.
Diese Zertifikate sind bestimmt für:

• Client-Authentifizierung
• Server-Authentifizierung
• Remote Desktop-Authentifizierung
• Code-Signierung
• Dateiverschlüsselung (EFS)
• Key Recovery Agent
• LDAPS
• KDC
• SmartCard-Anmeldung
• Host Guardian Service
• OCSP-Signierung

3. CA-Verantwortlichkeiten

• Sicherstellung der Sicherheit des privaten Schlüssels der CA.
• Überprüfung der Identität aller Antragsteller vor der Ausstellung von Zertifikaten.
• Veröffentlichung und Verwaltung der CRL (Certificate Revocation List) und/oder OCSP (Online Certificate Status Protocol).
• Für manuell angeforderte Zertifikate ist die Genehmigung des CA-Managers erforderlich, bevor sie ausgestellt werden.

4. Verantwortlichkeiten der Zertifikatsinhaber

• Sicherstellung der sicheren Aufbewahrung des privaten Schlüssels des Zertifikats.
• Verwendung des Zertifikats nur für den zugelassenen Verwendungszweck.
• Sofortige Benachrichtigung der CA bei Verdacht auf Schlüsselkompromittierung oder Missbrauch.

5. Technische Details

• Schlüssellänge: 2048-Bit RSA (oder höher, wenn verfügbar)
• Zertifikatsformat: X.509 Version 4
• Zertifikatslaufzeit: bis zu 24 Monaten
• Erlaubte Algorithmen: RSA - SHA 256
• Kryptografische Anbieter: Die stärksten kryptografischen Anbieter sind in den Vorlagen aktiviert.
• Extended Key Usage (EKU):
  Client-Authentifizierung (1.3.6.1.5.5.7.3.2)
  Server-Authentifizierung (1.3.6.1.5.5.7.3.1)
  KDC-Authentifizierung (1.3.6.1.5.2.3.5)
  SmartCard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
  Remote Desktop-Authentifizierung (1.3.6.1.4.1.311.54.1.2)
  Code-Signierung (1.3.6.1.5.5.7.3.3)
  Zeitstempelung (1.3.6.1.5.5.7.3.8)
  Dokumentensignierung (1.3.6.1.4.1.311.10.3.12)
  Key Recovery (1.3.6.1.4.1.311.21.6)
  Verschlüsselndes Dateisystem (EFS) (1.3.6.1.4.1.311.10.3.4)
  OCSP-Signierung (1.3.6.1.5.5.7.3.9)

6. Sperrung und Wiederherstellung

Ein Zertifikat kann unter folgenden Bedingungen widerrufen werden:

• Komprimierung oder Verdacht auf Missbrauch des privaten Schlüssels.
• Falsche Angaben bei der Zertifikatsbeantragung.

Zertifikate werden in der CRL oder über OCSP als widerrufen gekennzeichnet.
CRL-URL: CRL RootCA
CRL-URL: CRL IssuingCA01
OCSP-URL: OCSP Responder URL

7. Audit- und Überwachungsverfahren

"A1 Telekom Austria AG Gold" unterliegt regelmäßigen internen und externen Audits, um die Einhaltung der Zertifikatsrichtlinien sicherzustellen.
Compliance: ISO 27001:2013 und ISO 20000:2018 zertifiziert.

8. Haftung und rechtliche Hinweise

• Haftung: Die CA übernimmt keine Haftung für Schäden, die durch falsche Nutzung der Zertifikate entstehen.
• Rechtswahl: Im Falle von Streitigkeiten gilt das Recht von Österreich.
• Gerichtsstand: Handelsgericht Wien

9. Kontaktinformationen

Für technische Unterstützung oder Fragen zur Zertifikatsnutzung wenden Sie sich bitte an:
E-Mail: Servicedesk (A1 Telekom Austria)
Telefon: +43 50 664 08 664 800