Magenta Security Server.ID-DV

Domainvalidierte TLS/SSL Webserver-Zertifikate

Mit Server.ID-DV (ACME) bietet das Trust Center der Deutschen Telekom Security GmbH x.509 Public Key Zertifikate für Transport Layer Security (TLS) an, die von einer öffentlichen Zertifizierungsstelle über das ACME-Protokoll (RFC 8555) ausgestellt werden und in allen gängigen Browsern und Betriebssystemen als vertrauenswürdig gelten. Das ACME-Protokoll erlaubt eine automatisierte Beantragung und Erneuerung von domainvalidierten TLS-Zertifikaten und eignet sich deshalb besonders in hochautomatisierten Umgebungen oder, wenn viele TLS-Zertifikate benötigt werden.

Die Zertifikate werden in der sicheren Umgebung des Trust Centers generiert und unterstützen Sicherheitsmechanismen für starke Verschlüsselung, die von allen modernen Webapplikationen (z.B. Webserver, Webbrowser) beherrscht werden und im Hintergrund für authentische und sichere Internetkommunikation sorgen.

Durch das international etablierte Root-Zertifikat (Vertrauensanker) wird Server.ID-DV von nahezu allen aktuellen Webbrowsern als vertrauenswürdig eingestuft.

Das Produkt wird in Form von Kontingenten zu einem monatlichen Festpreis angeboten, so dass innerhalb der Kontingentgröße zu flexiblen Zeiten neue Zertifikate angefragt werden können, ohne eine erneute Bestellung vornehmen zu müssen.

Sollten Sie zusätzlich zu der Domainvalidierung ein weitergehend validiertes Zertifikat benötigen, so empfehlen wir ihnen eines unserer Produkte in der Server.ID Produktreihe (OV/EV), siehe Tabelle „Produktvarianten“ Übersicht.

Anwendung

Schützen Sie Ihre Internetpräsenz, Webportal, Firmenzugang mit dem TLS/SSL-Zertifikat und bieten Sie sichere und authentische elektronische Kommunikation für Kunden und Geschäftspartner.

Nutzen Sie gleichzeitig das ACME-Protokoll zur automatisierten Anfrage und Abruf von neuen Zertifikaten.

HTTP vs HTTPS

Vorteile von Server.ID-DV via ACME

    • Schutz sensibler Daten durch verschlüsselte Verbindungen
    • Automatisiertes Zertifikatshandling
    • Flexibler Zertifikatsabruf aus beauftragtem Kontingentsbestand

Service

Für eine durchgehend authentische und sichere elektronische Online-Kommunikation unterstützt die Lösung Server.ID-DV (ACME) bei der automatisierten Erneuerung von Zertifikaten vor deren Ablauf.

Die Lösung wird dabei auf einer neu etablierten Zertifikatsplattform (Public Certificate Service Platform (PCSP)) innerhalb des eigenen Trust Centers betrieben.

Die Leistungen im Überblick

Angebotene Kontingentgrößen

Für die Beauftragung von domainvalidierten TLS/SSL-Serverzertifikaten über eine ACME-Schnittelle bieten wir Kontingentpakete mit monatlichem Festpreis an, ähnlich zu Datenpaketen im Mobilfunkbereich. Innerhalb der Kontingente können flexibel Zertifikate beauftragt und abgefragt werden. Dies unterstützt bei einer Automatisierung Ihres Zertifikatsmanagements.

Bei der Ausstellung kann je Zertifikat zwischen einem Standard-Zertifikat mit einem Domaineintrag, Multi-Domain-Zertifikat mit bis zu 15 SAN (Subject-Alternative-Name)-Einträgen oder einem Wildcard-Zertifikat gewählt werden.

Zertifikatsvarianten

Bei der Ausstellung kann je Zertifikat zwischen

  • einem Standard-Zertifikat mit 1 öffentlichen Domain (z.B. example.com)
  • Multi-Domain-Zertifikat mit bis zu 15 SAN (Subject-Alternative-Name)-Einträgen (z.B. test.owa.example.com)oder
  • einem Wildcard-Zertifikat gewählt werden. (Bsp.: Das Zertifikat *.example.com wäre zum Beispiel gültig für einkauf.example.com und bezahlvorgang.example.com und marketing.example.com)

Kontingentpakete

Kontingentpaket S DV über ACME

Kontingentpaket zur flexiblen Ausstellung von bis zu 5 gleichzeitig aktiven DV-Zertifikaten.

Kontingentpaket M DV über ACME

Kontingentpaket zur flexiblen Ausstellung von bis zu 25 gleichzeitig aktiven DV-Zertifikaten.

Kontingentpaket L DV über ACME

Kontingentpaket zur flexiblen Ausstellung von bis zu 100 gleichzeitig aktiven DV-Zertifikaten.

Kontingentpaket XL DV über ACME

Kontingentpaket zur flexiblen Ausstellung von bis zu 200 gleichzeitig aktiven DV-Zertifikaten.

Domainvalidierung

Bei den Domain-Namen bzw. FQDN (Fully Qualified Domain Name) der SAN-Felder muss es sich um Domain-Namen handeln, die von einem öffentlichen DNS aufgelöst werden können. Hostnamen, die auf interne/nicht öffentliche Domain-Namen verweisen, können nicht verarbeitet werden.

Sie können kein domainvalidiertes Zertifikat über die ACME Schnittstelle der öffentlichen Zertifizierungsstelle beziehen, wenn sie die Domainkontrolle nicht nachweisen können. Dies gilt insbesondere für interne FQDNs, die nicht über das Internet aufgelöst werden können:

Jede Domain wird dabei per http oder DNS-Validierungsmethode überprüft, bevor ein Zertifikat ausgestellt werden kann.

Erweiterte Schlüssel-verwendung

Im Zertifikat ist sowohl die erweiterte Schlüsselverwendung „Client-Authentication“ als auch „Server-Authentication“ nicht kritisch gesetzt.

Serverlizenzierung

Unlimitiert für maximale Flexibilität

Sicherheit

Unterstützt starke Verschlüsselung

Kompatibilität

Alle modernen Webapplikationen (z.B. Browser), die TLS/SSL-Zertifikate unterstützen.

Zukunftssicherheit

Es werden folgende Schlüssellängen akzeptiert: RSA 2048, 3072 und 4096, sowie ECDSA prime256v1 und secp384r1.

Vertrauensstatus

Wird durch das international etablierte Root-Zertifikat (Vertrauensanker) „T-TeleSec GlobalRoot Class 2“ von nahezu allen aktuellen Webbrowsern vertrauenswürdig eingestuft.