Die CP/CPS
Hier finden Sie die Zertifikatsrichtlinie (CP) und die Erklärung zum Zertifikatsbetrieb (CPS) der Commerzbank Inhouse CA. Informationen zum Trustcenter QuoVadis werden hier nicht abgelegt und sind direkt bei QuoVadis zu beziehen.
Allgemeine Erläuterungen zur CP/CPS
Der Begriff „Certificate Policy (CP)“, definiert im X.509 Standard, steht für die Gesamtheit der Regeln und Vorgaben, welche die Anwendbarkeit eines Zertifikatstyps festlegen. Die Zielsetzung einer Certificate Policy wird im RFC 3647 („Certificate Policy and Certification Practices Framework“) ausführlich diskutiert. Die CP ist eine Entscheidungshilfe für den Zertifikatsnutzer, ob einem bestimmten Zertifikat und Anwendung vertraut werden kann.
Insbesondere sollte eine CP darlegen,- welche technischen und organisatorischen Anforderungen die bei der Ausstellung der Zertifikate eingesetzten Systeme und Prozesse erfüllen,
- welche Vorgaben für die Anwendung der Zertifikate sowie im Umgang mit den zugehörigen Schlüsseln und Signaturerstellungseinheiten (z.B. Chipkarten) gelten,
- welche Bedeutung den Zertifikaten und zugehörigen Anwendungen zukommt, d.h. welche Sicherheit, Beweiskraft, oder rechtliche Relevanz die mit ihnen erzeugten Ciphertext bzw. Signaturen besitzen.
Das Konzept eines “Certification Practice Statement (CPS)” wurde von der American Bar Association (ABA) entwickelt und ist in deren Digital Signature Guidelines (ABA Guidelines) aufgeführt. Die CPS ist eine detaillierte Beschreibung des Zertifizierungsbetriebes der Organisation. Aus diesem Grund stellen Organisationen, die eine oder mehrere Zertifizierungsstellen betreiben, in der Regel auch ein CPS zur Verfügung. In Rahmen einer unternehmensweiten PKI ist das CPS für Organisationen ein adäquates Mittel um sich selbst zu schützen, sowie Geschäftsvorfälle zu Zertifikatsnehmern und vertrauenden Parteien darzustellen.