View Source

Was?

Vor Ablauf der maximalen Nutzungsdauer von 5 Jahren wird das Schlüsselmaterial des IDP-Dienstes gewechselt.

Anwendungen die die Signaturschlüssel des IDP gegen die TSL validieren, sollten kein Problem mit dem Wechsel der Schlüssel haben, da sie deren Authentizität aus dem gem-PKI Zertifikat ableiten können.

Anwendungen außerhalb der TI müssen dieses Vertrauen auf anderen Wegen sicher etablieren.

Diese Seite soll Hersteller und Betreuer von nicht TI-Anwendungen darin unterstützen, Produkte auf den Wechsel vorzubereiten und zu validieren, dass die Anwendung mit der Umstellung erwartungsgemäß zurecht kommt.

Wo?

Der IDP Dienst verwendet verschiedenes Schlüsselmaterial für Signaturen und Verschlüsselung gemäß gemSpec_IDP_Dienst_V2.0.0#3.2.

Die für die Nutzung des IDP Dienst relevanten öffentlichen Teile der Schlüssel sind im Discovery Document und den daraus verlinkten Speicherorten enthalten

im jwt-header ist der puk_disc_sig enthalten
aus dem Discovery dokument heraus verlinkt sind (und müssen nach dem Wechsel zwingend neu eingelesen werden)
- jwks_uri die puk_idp_sig, puk_idp_enc und puk_idp_sig_sek enthält
- uri_puk_idp_enc die den puk_idp_enc enthält
- uri_puk_idp_sig die den puk_idp_sig_sek enthält

Welche Instanzen?

Der IDP-Dienst ist unter verschiedenen Hostnamen erreichbar, je nachdem ob der Dienst über das Internet oder über die TI aufgerufen wird, dahinter steht jedoch in jeder Umgebung jeweils das selbe System.

	TI	Internet
PU	idp.zentral.idp.ti-dienste.de	idp.app.ti-dienste.de
RU	idp-ref.zentral.idp.ti-dienste.de	idp-ref.app.ti-dienste.de
TU	idp-test.zentral.idp.ti-dienste.de	idp-test.app.ti-dienste.de

Wann?

Um allen Beteiligten die Möglichkeit zu geben, zu beobachten wie sich ihre Anwendung beim Wechsel des puk_disc_sig verhält und gegebenenfalls mit Abpassung reagieren zu können, wurde folgender Ablauf geplant:

Drei Probeläufe in der Referenzumgebung, ein Probelauf in der Testumgebung und abschließend der Wechsel am produktiven IDP-Dienst. Die 4 Probeläufe wurden, abweichend zu sonstigen Changes am IDP-Dienst, innerhalb üblicher Büroarbeitszeiten geplant, dass die Beobachtung des Verhaltens und gegebenenfalls folgende Analysen zu üblichen Arbeitszeiten erfolgen kann.

1. Wechsel RU am 05.03.2026, zwischen 10:00-12:00 Uhr
2. Wechsel RU am 17.03.2026, zwischen 10:00-12:00 Uhr
3. Wechsel RU am 31.03.2026, zwischen 10:00-12:00 Uhr
4. Wechsel TU am 28.04.2026, zwischen 10:00-12:00 Uhr
anschließend Wechsel in der PU geplant am 23. Mai, zwischen 21:00-24:00 Uhr

Wie?

Die Umschaltung auf das neue Schlüsselmaterial wird im laufenden Betrieb erfolgen. Der IDP-Dienst wird also schlagartig mit diesem neuen Schlüsselmaterial arbeiten.

puk_disc_sig Schlüssel

Gültig ab jwk Attribute Zertifikat

RU

ab 05.03.2026, 10:00-12:00 Uhr

x	`TkQj5fBx3-bvBUJdtFGk_qCUOOiNySCjg66l7cKcc1U`
y	`g6pKFUV3QWbPIowQnNnSWgfLy2DZwuaxUv6X3WOSh0E`
x5c	`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`

IDP-DISC-SIG_RU_0002_CRT.pem

RU

ab 17.03.2026, 10:00-12:00 Uhr

x	`K1PE15yvBWkcvb2xUft40HQvyMwI8D5ktUobCzJTGcg`
y	`Xly_B9k3TtbYJf32W-pThc2lMHCt1mhhE4sBJsW6uUo`
x5c	`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`

IDP-DISC-SIG_RU_0003_CRT.pem

RU

ab 31.03.2026, 10:00-12:00 Uhr

x	`Yv6eYKGNK8aFUEf-jXiK5Swr0JJkEDI75QI2zoPudlo`
y	`O5xaTLrVNCdA4Zb-HjjoCucQjahDYZfmvu3CzCf4RAY`
x5c	`MIIC9zCCAp6gAwIBAgIDALXqMAoGCCqGSM49BAMCMIGEMQswCQYDVQQGEwJERTEf` `MB0GA1UECgwWZ2VtYXRpayBHbWJIIE5PVC1WQUxJRDEyMDAGA1UECwwpS29tcG9u` `ZW50ZW4tQ0EgZGVyIFRlbGVtYXRpa2luZnJhc3RydWt0dXIxIDAeBgNVBAMMF0dF` `TS5LT01QLUNBNTYgVEVTVC1PTkxZMB4XDTI2MDEyMTE1MzkzOFoXDTMxMDEyMDE1` `MzkzN1owfTELMAkGA1UEBhMCQVQxKDAmBgNVBAoMH1JJU0UgR21iSCBURVNULU9O` `TFkgLSBOT1QtVkFMSUQxKTAnBgNVBAUTIDM4Nzc4LVYwMUkwMDA0VDIwMjYwMTIx` `MTUyMzI4MjExMRkwFwYDVQQDDBBkaXNjLnJ1LmlkcC5yaXNlMFowFAYHKoZIzj0C` `AQYJKyQDAwIIAQEHA0IABGL+nmChjSvGhVBH/o14iuUsK9CSZBAyO+UCNs6D7nZa` `O5xaTLrVNCdA4Zb+HjjoCucQjahDYZfmvu3CzCf4RAajggECMIH/MB0GA1UdDgQW` `BBSOp8MJLLkrkstNfHHkAKwwUrJUHTAfBgNVHSMEGDAWgBTVuBx5iaOlrcWNtv5b` `/hA3A50DwzBNBggrBgEFBQcBAQRBMD8wPQYIKwYBBQUHMAGGMWh0dHA6Ly9kb3du` `bG9hZC10ZXN0cmVmLmNybC50aS1kaWVuc3RlLmRlL29jc3AvZWMwDgYDVR0PAQH/` `BAQDAgeAMCEGA1UdIAQaMBgwCgYIKoIUAEwEgSMwCgYIKoIUAEwEgUswDAYDVR0T` `AQH/BAIwADAtBgUrJAgDAwQkMCIwIDAeMBwwGjAMDApJRFAtRGllbnN0MAoGCCqC` `FABMBIIEMAoGCCqGSM49BAMCA0cAMEQCIEYDbjgvR6IbcNQxGv1FQKg0qCqHlfBl` `8kbrNXXOF3+aAiBYjajQzxmWpQAewatkepSE8HQtBLaRNAnWGvgmxLRWFQ==`

IDP-DISC-SIG_RU_0004_CRT.pem

TU

ab 28.04.2026, 10:00-12:00 Uhr

x	`lbUso6OsOxlBzY-dVUzkNkrJ16w0dw7s_a2RfvHOsSU`
y	`HWO-x2ojMSMbUoVUrnMyKK7bX7YXrZURqLRTaKAa8Vo`
x5c	`MIIC9zCCAp6gAwIBAgIDALXyMAoGCCqGSM49BAMCMIGEMQswCQYDVQQGEwJERTEf` `MB0GA1UECgwWZ2VtYXRpayBHbWJIIE5PVC1WQUxJRDEyMDAGA1UECwwpS29tcG9u` `ZW50ZW4tQ0EgZGVyIFRlbGVtYXRpa2luZnJhc3RydWt0dXIxIDAeBgNVBAMMF0dF` `TS5LT01QLUNBNTYgVEVTVC1PTkxZMB4XDTI2MDEyMTE1NDIxMloXDTMxMDEyMDE1` `NDIxMVowfTELMAkGA1UEBhMCQVQxKDAmBgNVBAoMH1JJU0UgR21iSCBURVNULU9O` `TFkgLSBOT1QtVkFMSUQxKTAnBgNVBAUTIDI5ODUwLVYwMUkwMDAyVDIwMjYwMTIx` `MTUyNjA1MDQyMRkwFwYDVQQDDBBkaXNjLnR1LmlkcC5yaXNlMFowFAYHKoZIzj0C` `AQYJKyQDAwIIAQEHA0IABJW1LKOjrDsZQc2PnVVM5DZKydesNHcO7P2tkX7xzrEl` `HWO+x2ojMSMbUoVUrnMyKK7bX7YXrZURqLRTaKAa8VqjggECMIH/MB0GA1UdDgQW` `BBQZaV+5aMzko4S7X4pVpfFyETP1mTAfBgNVHSMEGDAWgBTVuBx5iaOlrcWNtv5b` `/hA3A50DwzBNBggrBgEFBQcBAQRBMD8wPQYIKwYBBQUHMAGGMWh0dHA6Ly9kb3du` `bG9hZC10ZXN0cmVmLmNybC50aS1kaWVuc3RlLmRlL29jc3AvZWMwDgYDVR0PAQH/` `BAQDAgeAMCEGA1UdIAQaMBgwCgYIKoIUAEwEgSMwCgYIKoIUAEwEgUswDAYDVR0T` `AQH/BAIwADAtBgUrJAgDAwQkMCIwIDAeMBwwGjAMDApJRFAtRGllbnN0MAoGCCqC` `FABMBIIEMAoGCCqGSM49BAMCA0cAMEQCIFyjLZYFPh/RbDS68/Ca7KIG9lBDgdRY` `bv88NQ/Nc+FaAiBjQzN6RQpzbCZ/v9H0xNwZaA+/syxaCWx1snR8oEhWJQ==`

IDP-DISC-SIG_TU_0002_CRT.pem

PU ab KW 21 (t.b.d.) wird in KW 12 bereitgestellt