Die PKI-Anzeige sieht wie folgt aus:
Überall, wo in AmadeusVerify validiert wird, kann man sich die PKI-Informationen zu den verwendeten Seriennummern ansehen. Dafür muss man einfach auf den Button "PKI-Anzeige" klicken.
Es wird angezeigt, ob es sich um eine Cloud-TSE handelt, wer der Antragssteller des Zertifikates ist und was für eine PKI verwendet worden ist.
Man kann sich noch zusätzliche Informationen ausgeben lassen. Auch kann man die Abfrage mit einem Click auf "Refresh" wiederholen.
Ab Version 2.5.4 kann man auch nur die PKI-Prüfung Offline durchführen. Achtung! Dadurch kann die PKI-Prüfung beim QR-Code nicht mehr durchgeführt werden, auch werden die Sperrlisten nicht abgefragt. Wir empfehlen die komplette PKI-Prüfung durchzuführen.
Ab Version 2.6.0 kann man die Gastro-MIS PKI verwenden. Dann wird der Gastro-MIS Proxy für die PKI-Abfragen verwendet, welcher via HTTPS angesprochen wird. Dadurch umgeht man die direkte Anfrage via LDAP.
Das Validieren des Zertifikates wurde für Version 2.5.0 wesentlich überarbeitet. Dabei gibt es zwei Arten von Zertifikats-Validierung:
- Mit Hilfe des übergebenen Zertifikats/der übergebenen Kette
- Mit Hilfe der TSE-Seriennummer
Mit Hilfe des übergebenen Zertifikats/der übergebenen Kette
Falls die Kette nicht vollständig ist, wird versucht diese mit den Daten im Ordner „RootCerts“ aufzufüllen. Neue Zertifikate können einfach in diesen Ordner geschoben werden (auch Intermediate-Zertifikate). Kann die Kette nicht bis zu einem Root-Zertifikat aufgefüllt werden, wird das Zertifikat als invalide gekennzeichnet.
Kann die Kette aufgefüllt werden, muss das Root-Zertifikat auch im Ordner „RootCerts“ enthalten sein. Ansonsten wird das Zertifikat als invalide gekennzeichnet.
Nun wird die komplette Kette validiert. Dabei wird geprüft, dass die Signaturen der Zertifikate gültig sind. Schlägt eine Überprüfung in dieser Kette fehl, wird das Zertifikat als invalide gekennzeichnet.
Über den Aussteller des TSE-Zertifikates wird nun der PKI-Betreiber ermittelt.
PKI-Betreiber nicht bekannt
In diesem Fall wird nur die „Certificate-Revocation-List“ über den Zertifikatsinformationen abgefragt. Ist keine solche Information enthalten, wird das Zertifikat als invalide gekennzeichnet. Passt in diesem Fall alles, wird nur angegeben, dass die PKI nicht erreichbar ist (Warnung).
PKI-Betreiber bekannt
Es wird die PKI von diesem Aussteller abgefragt. Im Normalfall gibt es einen Verzeichnisdienst, mit welchen man die Zertifikate abfragen kann + eine Möglichkeit die CRL abzufragen. Ist in diesem Fall alles korrekt, wird das Zertifikat als valide gekennzeichnet.
Mit Hilfe der TSE-Seriennummer
Dieses Feature ist zwingend notwendig, damit der Beleg (QR-Code) einwandfrei überprüft werden kann.
Aktuell werden alle PKI’s der Reihe nach durchprobiert, ob irgendwo ein Zertifikat mit dieser TSE-Seriennummer hinterlegt worden ist.
PKI-Betreiber:
Bei "TELEKOM" wird mittels REST von der URL "https://tse.swissbit.com/tse/api/v1" folgende Endpunkte abgefragt:
- /status
- /certInfo
Zusätzlich wird noch die CRL in dem Intermediate-Zertifikate abgefragt. Dieses sollte hier sein:
http://crl.tse.telesec.de/crl/TSE_Root_CA_1.crl
Bei "D-TRUST" wird via LDAP an den Server "directory.d-trust.net" mit Port 389 abgefragt.
Bei "DARZ" (Fiskaly) wird via LDAP an den Server "ldap-tse-pki.da-rz.net" mit Port 389 abgefragt.
Bei "GMIS" wird mittels REST die URL "https://pki.amadeus360.de" abgefragt.