Auf diese Seite gelangt man sowohl beim Anlegen einer neuen Organisationseinheit als auch bei der Bearbeitung einer vorhandenen Organisationseinheit.

Im Schritt „Client-Authentifizierung“ lässt sich für eine Organisationseinheit konfigurieren, ob die ePayBL bei den eingehenden Requests der Fachverfahren die mitgelieferten Zertifikate zusätzlich gegen die an dieser Organisationseinheit hinterlegten Zertifikate prüft (Client-Authentifizierung). Die Zertifikatsprüfung besteht aus einem Abgleich des Distinguished Names (DN) des übertragenen Zertifikates mit denen an der Organisationseinheit hinterlegten Namen. Zusätzlich erfolgt eine Überprüfung des Gültigkeitszeitraums der Zertifikate.

Radio-Button

Über den Radio-Button lässt sich entscheiden, ob die Client-Authentifizierung verwendet werden soll oder nicht.

Zur Verwendung in der Client-Authentifizierung muss zuvor über die Zertifikatsverwaltung entweder ein Zertifikat für die Organisationseinheit erstellt oder ein Zertifikat der Organisationseinheit zugeordnet worden sein (Erläuterungen dazu siehe unter: Zertifikatsverwaltung). Daraufhin wird dieses Zertifikat hier in der Client-Authentifizierung in einer Übersichtstabelle zunächst im Status „inaktiv“ angezeigt.

Übersichtstabelle

In der Übersichtstabelle werden die zur Client-Authentifizierung relevanten Zertifikatsdaten in folgenden Spalten angezeigt:

• Distinguished Name (DN) mit CN (Common Name – Antragsteller), OU (Organizational Unit – Organisationseinheit), O (Organization – Organisation), L (Locality – Ort), ST (State – Bundesland) und C (Country – Land)
• Antragsteller (CN)
• Gültig von
• Gültig bis
• Status („aktiv“ / „inaktiv“)

Über den Aktions-Button „Status ändern“ lässt sich die Verwendung eines Zertifikats aktivieren, damit es für die Client-Authentifizierung eingesetzt werden kann. Ebenso lässt sich ein aktives Zertifikat über den Button deaktivieren, solange es noch ein anderes gültiges aktives Zertifikat gibt. Falls es sich jedoch um das einzige verwendbare aktive Zertifikat handelt, lässt es sich nicht deaktivieren.

Gültigkeitsprüfung

Die Gültigkeitsprüfung eines Zertifikats erfolgt sowohl bei der Benutzung eines Zertifikats über einen REST-Request also auch beim Aufruf der Konfigurationsseite „Client-Authentifizierung“, sofern sie verwendet wird.

Bei der Prüfung über die Konfigurationsseite wird kontrolliert, ob die Zertifikate gültig sind bzw. ob ihre Gültigkeit demnächst abläuft. Die Zertifikat-Warngrenze für die Ablauffrist wird in den Portal-Systemeinstellungen konfiguriert (Erläuterungen dazu siehe unter: Portal-Systemeinstellungen). Wenn die Gültigkeit abgelaufen oder die Zertifikat-Warngrenze überschritten ist, wird eine Warnmeldung ausgegeben. Sobald die Gültigkeit eines Zertifikats abgelaufen ist, wird es automatisch deaktiviert. Wenn ein Zertifikat abgelaufen ist oder sich sein Gültigkeitsende innerhalb der Zertifikat-Warngrenze befindet, lässt es sich nicht mehr aktivieren.

Bei einem Request über die REST-Schnittstelle erfolgt ebenfalls eine Gültigkeitsprüfung über diejenigen Zertifikate, die sich in der betroffenen Organisationseinheit im Status „aktiv“ befinden. Für jedes Zertifikat, dessen Gültigkeitsende innerhalb der Zertifikat-Warngrenze liegt, wird eine E-Mail-Benachrichtigung an die Organisationseinheit gesendet. Um einer Flut an E-Mail-Benachrichtigungen vorzubeugen, lässt sich in der Core-Applikation ein Limit für die maximale Anzahl der Benachrichtigungen angeben. Außerdem erfolgt der E-Mail-Versand nach weiteren Requests über die REST-Schnittstelle entsprechend der jeweiligen Konfiguration mit einem berechneten zeitlichen Abstand. Dieser Abstand ergibt sich aus der konfigurierten Warngrenze und der konfigurierten maximalen Anzahl von E-Mails, z.B.:

• Konfiguration in den Portal-Systemeinstellungen: Warngrenze vor Ablauf der Gültigkeit des Zertifikats in Tagen = 15
• Konfiguration in den application.properties der Core-Applikation: certificate.warning.limit.email.max = 3
• Mit dieser Beispiel-Konfiguration werden maximal 3 E-Mail-Benachrichtigungen in einem zeitlichen Abstand von 15 / 3 = 5 Tagen versendet (ggf. gerundet). Wenn das Limit in der Core-Applikation größer ist als die Zertifikat-Warngrenze im Portal, wird bis zum angegebenen Limit immer sofort eine Benachrichtigung versendet.

Die E-Mail-Benachrichtigungen erfolgen jedoch nicht automatisch nach dem berechneten zeitlichen Abstand, sondern werden erst durch einen erneuten Request über die REST-Schnittstelle ausgelöst. Wenn das Zertifikat abgelaufen ist, gibt es keine E-Mail-Benachrichtigung darüber.

Auslösende Aktionen über die Zertifikatsverwaltung

Wenn über die Zertifikatsverwaltung ein Zertifikat gesperrt wird, wird dessen Zuordnung zu sämtlichen Organisationseinheiten entzogen. Damit steht es nicht mehr für die Client-Authentifizierung zur Verfügung und wird hier aus der Übersichtstabelle entfernt. Sollte dadurch das letzte verwendbare aktive Zertifikat entfernt worden sein, bleibt zwar die Client-Authentifizierung auf „verwenden“ angeschaltet, aber es steht kein Zertifikat mehr zur Prüfung bereit, so dass jeder Request über die REST-Schnittstelle auf einen Fehler läuft. Zur weiteren Nutzung der Client-Authentifizierung muss über die Zertifikatsverwaltung entweder für die Organisationseinheit ein neues Zertifikat erstellt oder der Organisationseinheit ein vorhandenes gültiges Zertifikat zugeordnet werden.

Wenn über die Zertifikatsverwaltung ein Zertifikat gelöscht wird, wird überprüft, ob es einer Organisationseinheit zugeordnet ist, ob die zugeordnete Organisationseinheit die Client-Authentifizierung verwendet und ob es hier in der Client-Authentifizierung das einzige verwendbare aktive Zertifikat ist. In diesem Fall lässt es sich in der Zertifikatsverwaltung nicht löschen. Damit es gelöscht werden kann, muss entweder in der Zertifikatsverwaltung die Zuordnung oder hier in der Client-Authentifizierung die Verwendung (bzw. bei mehreren verwendbaren aktiven Zertifikaten der Status) geändert werden.

Weitere Erläuterungen zu den Aktionen in der Zertifikatsverwaltung siehe unter: Zertifikate.

Buttons

Unterhalb der Tabelle befinden sich drei Buttons: Beim Klick auf „Speichern“ werden die Eingaben gespeichert und der Benutzer wechselt gleichzeitig in den nächsten Bearbeitungsschritt des Workflows. Über „Abbrechen“ gelangt er in die Organisationseinheitenübersicht und über „Zurück“ geht er einen Schritt im Bearbeitungsablauf zurück.