Logo Bayern-PKI 2.0
© IT-DLZ

FAQ

  1. Allgemeine Fragen
  2. Fragen zur Migration
  3. Fragen zur Funktionalität
  4. Fragen zu neuen Algorithmen
  5. Fragen zum Smartcard-Druck
  6. Fragen zu Microsoft-Patches

Wird es die Möglichkeit geben, neben einem 2FA-Zertifikat auf der SC, auch ein Authentifizierungssoftzertifikat für den gleichen Nutzer zu haben (z.B. für ein Diensthandy)?
Ja, diese Möglichkeit wird es geben

Können über die Bayern-PKI 2.0 public trusted Zertifikate bezogen werden? Wird es zukünftig ein Trusted Root (vertrauenswürdiges Root-Zertifikat) geben, damit versendete Mails auch außerhalb des Behördennetzes vertrauenswürdig sind?
Zum Start der Bayern-PKI 2.0 werden keine public trusted Zertifikate ausgestellt. In einer optionalen, späteren Ausbaustufe könnte die Ausgabe von public trusted Personenzertifikate umgesetzt werden. Ob und ab wann genau steht noch nicht fest und hängt von vielen Einflussfaktoren ab (z.B. technischer Fortschritt, bundeseinheitliche Digitalisierung der Verwaltung gemäß OZG etc. pp.).

Wird die Online-Verwaltung der Bayern-PKI 2.0 auch für Kommunen möglich sein, die nicht am Bayerischen Behördennetz (BYBN) angeschlossen sind?
Für Tätigkeiten einer Registrierungsstelle (RA) ist immer ein Zugang zum BYBN notwendig. Teilnehmer ohne BYBN Anschluss können auch ein aus dem Internet zugängliches Portal für die Zertifikatsverwaltung nutzen, das hierfür eingerichtet werden wird, sofern sie von einer RA registriert worden sind. Konkret wird dieses bekanntgegeben, sobald verfügbar. 

Bieten Sie Zertifikate mit einer Schlüssellänge von min. 3000 Bit über die Bayern-PKI 2.0 an?
Ja, mit der Bayern-PKI 2.0 werden Zertifikate mit einer Schlüssellänge von min. 3000 Bit (bei RSA) bzw. 256 Bit (bei ECC) angeboten.

Was ist der Unterschied zwischen Personen- und Gerätezertifikaten?
Gerätezertifikate werden von Maschinen genutzt und ermöglichen beispielsweise eine verschlüsselte und authentifizierte Geräte-zu-Geräte-Kommunikation.
Personenzertifikate werden von natürlichen Personen oder auch von Gruppen, sogenannten Funktionsstellen, genutzt. Anwendungsfälle sind beispielsweise die zertifikatsbasierte Anmeldung (z.B. NCP, VPN), das Signieren und Verschlüsseln von E-Mails oder die Dokumentensignatur.

Warum gibt es in der Bayern-PKI 2.0 Änderungen an den technischen Spezifikationen der Zertifikate im Vergleich zur bisherigen Bayern-PKI?
Veraltete Technologien, die nach internationalem Konsens nicht mehr den Stand der Technik darstellen, sind in Zukunft nicht mehr ausreichend, um staatliche und kommunale IT-Systeme zu schützen. Bisher nutzt die Bayern-PKI RSA mit 2048 Bit Schlüssellänge (RSA-2k). Neben dem BSI (vgl. Technischen Richtlinie TR-02102) fordern auch internationale Standardisierungsgremien wie etwa die SOG-IS (Senior Officials Group Information Systems Security) in ihren Standards und Richtlinien eine generelle Ablösung von RSA-2k.


Wie lange werden die vorher ausgegebenen Zertifikate noch gelten?
Die Laufzeiten der Zertifikate der Bayern-PKI werden ab März 2024 schrittweise reduzierte Gültigkeiten haben. Die Gültigkeit ist nicht mehr drei Jahre nach Ausstellung, sondern für alle Zertifikate bis März 2027.
Die von der Bayern-PKI 2.0 ausgerollten Zertifikate werden dann wieder die volle Gültigkeitsdauer haben.

Werden PKI-Infrastrukturkomponenten für einen Test verfügbar sein?
Hierzu kann zum aktuellen Zeitpunkt noch keine Aussage getroffen werden. Die benötigten Informationen werden zu gegebener Zeit an zentraler Stelle bereitgestellt bzw. im Rahmen eines Newsletters mitgeteilt werden.

Wird NCP mit den Zertifikaten der neuen Bayern-PKI 2.0 getestet?
NCP wird von den Verantwortlichen des Fachverfahrens in Eigenregie auf Kompatibilität getestet. Eigene Tests sind nicht erforderlich.


Wird ein Auto-Enrollment via SCEP zur Verfügung gestellt?
Ja. Die Funktion des Auto-Enrollments via SCEP ist sehr wichtig für Behörden mit vielen Außenstellen. Für Maschinen- und Geräte-Zertifikate ist dies im Konzept der neuen Bayern-PKI 2.0 vorgesehen.

Wird eine Massenausstellung/ Automatisierung für Windows möglich sein?
Für Windows-Geräte ist eine Automatisierung möglich.

Wird eine Massenausstellung/ Automatisierung für Personenzertifikate möglich sein?
Eine völlig automatische Beantragung für Personenzertifikate (über MDM) ist nicht möglich, da diese als Datei zugestellt werden. Eine Massenausstellung muss daher manuell angestoßen werden. 

Wird für die Blackberry Enterprise Server eine Automatisierung möglich sein?
Ja. Diese wird in der MPKI umgesetzt werden.

Wird es für die Benutzerzertifikate von Smartphones eine App geben?
Nein, eine App ist nicht vorgesehen. 

Deckt die PKI auch den Fall ab, dass Benutzer Windows, iOS und Android Geräte gleichzeitig in Betrieb haben? Benutzerzertifikate müssten dann beliebig oft in dem Zeitraum wieder aus der PKI geladen werden, solange das Zertifikat gültig ist ?
Für jedes in Benutzung befindliche Gerät können eigene Zertifikate für Signatur und Authentifizierung ausgestellt werden. Das Verschlüsselungszertifikat kann jederzeit aus der PKI erneut abgerufen werden, um es auf einem weiteren Gerät importieren zu können.

Wird es nur noch eine Zertifikatsdatei pro Benutzer geben, die Verschlüsselung und Signierung vereint?
Nein, es wird unterschiedliche Zertifikatsdateien für Verschlüsselung und Signatur geben.


Weitere Informationen hierzu finden Sie auf dieser Seite des LSI


Wird es möglich sein, die User Zertifikate welche als Zertifikatsdatei vorliegen, selbständig auf eine Smartcard zu transferieren (Vorbehaltlich der Hardwarevoraussetzungen) ?
Ja, dies wird möglich sein, aber durch diesen Aufbringungs-Prozess erreichen diese Smartcards nicht dasselbe Sicherheitsniveau der Authentifizierung wie native Smartcards.

Wie können bei Nutzung des zentralen Druckservice, der mit entsprechenden Lieferzeiten verbunden ist, kurzfristig – z.B. für VIP – Ausweise / Ersatzausweise ausgegeben werden?
Bei den Registrierungsstellen werden temporäre Ausweise für diese Zwecke bereitgehalten ("Kontingentkarten").

Wird ein dezentraler (offline) Druck möglich sein – im Sinne einer reinen Bedruckung ohne weitere Verbindung zur PKI?
Ja, dies wird möglich sein. Die PKI-Stelle wird keine unabhängige Nutzung verbieten.


Microsoft hat den Patch KB5014754 angekündigt, der für bestimmte Konstellationen die Nutzung von 3rd-Party-Zertifikaten nicht mehr unterstützen wird. Dieser soll ab 2/2025 ausgerollt werden.
Hat die Bayern-PKI für einen Betrieb unter diesen Anforderungen eine Lösung?
Nein, wir versuchen noch, hierfür eine Lösung zu finden.