Was?
Vor Ablauf der maximalen Nutzungsdauer von 5 Jahren wird das Schlüsselmaterial des IDP-Dienstes gewechselt.
Anwendungen die die Signaturschlüssel des IDP gegen die TSL validieren, sollten kein Problem mit dem Wechsel der Schlüssel haben, da sie deren Authentizität aus dem gem-PKI Zertifikat ableiten können.
Anwendungen außerhalb der TI müssen dieses Vertrauen auf anderen Wegen sicher etablieren.
Diese Seite soll Hersteller und Betreuer von nicht TI-Anwendungen darin unterstützen, Produkte auf den Wechsel vorzubereiten und zu validieren, dass die Anwendung mit der Umstellung erwartungsgemäß zurecht kommt.
Wo?
Der IDP Dienst verwendet verschiedenes Schlüsselmaterial für Signaturen und Verschlüsselung gemäß gemSpec_IDP_Dienst_V2.0.0#3.2.
Die für die Nutzung des IDP Dienst relevanten öffentlichen Teile der Schlüssel sind im Discovery Document und den daraus verlinkten Speicherorten enthalten
- im jwt-header ist der puk_disc_sig enthalten
- aus dem Discovery dokument heraus verlinkt sind (und müssen nach dem Wechsel zwingend neu eingelesen werden)
- jwks_uri die puk_idp_sig, puk_idp_enc und puk_idp_sig_sek enthält
- uri_puk_idp_enc die den puk_idp_enc enthält
- uri_puk_idp_sig die den puk_idp_sig_sek enthält
Welche Instanzen?
Der IDP-Dienst ist unter verschiedenen Hostnamen erreichbar, je nachdem ob der Dienst über das Internet oder über die TI aufgerufen wird, dahinter steht jedoch in jeder Umgebung jeweils das selbe System.
| TI | Internet |
|---|
| PU | idp.zentral.idp.ti-dienste.de | idp.app.ti-dienste.de |
| RU | idp-ref.zentral.idp.ti-dienste.de | idp-ref.app.ti-dienste.de |
| TU | idp-test.zentral.idp.ti-dienste.de | idp-test.app.ti-dienste.de |
Wann?
Um allen Beteiligten die Möglichkeit zu geben, zu beobachten wie sich ihre Anwendung beim Wechsel des puk_disc_sig verhält und gegebenenfalls mit Abpassung reagieren zu können, wurde folgender Ablauf geplant:
Drei Probeläufe in der Referenzumgebung, ein Probelauf in der Testumgebung und abschließend der Wechsel am produktiven IDP-Dienst. Die 4 Probeläufe wurden, abweichend zu sonstigen Changes am IDP-Dienst, innerhalb üblicher Büroarbeitszeiten geplant, dass die Beobachtung des Verhaltens und gegebenenfalls folgende Analysen zu üblichen Arbeitszeiten erfolgen kann.
- 1. Wechsel RU am 05.03.2026, zwischen 10:00-12:00 Uhr
- 2. Wechsel RU am 17.03.2026, zwischen 10:00-12:00 Uhr
- 3. Wechsel RU am 31.03.2026, zwischen 10:00-12:00 Uhr
- 4. Wechsel TU am 28.04.2026, zwischen 10:00-12:00 Uhr
- anschließend Wechsel in der PU geplant am 23. Mai, zwischen 21:00-24:00 Uhr
Wie?
Die Umschaltung auf das neue Schlüsselmaterial wird im laufenden Betrieb erfolgen. Der IDP-Dienst wird also schlagartig mit diesem neuen Schlüsselmaterial arbeiten.
puk_disc_sig Schlüssel
| Gültig ab | jwk Attribute | Zertifikat |
|---|
| RU | ab 05.03.2026, 10:00-12:00 Uhr | | x | TkQj5fBx3-bvBUJdtFGk_qCUOOiNySCjg66l7cKcc1U
| | y | g6pKFUV3QWbPIowQnNnSWgfLy2DZwuaxUv6X3WOSh0E
| | x5c | MIIC9zCCAp6gAwIBAgIDALXoMAoGCCqGSM49BAMCMIGEMQswCQYDVQQGEwJERTEf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 |
| IDP-DISC-SIG_RU_0002_CRT.pem |
| RU | ab 17.03.2026, 10:00-12:00 Uhr |
| x | K1PE15yvBWkcvb2xUft40HQvyMwI8D5ktUobCzJTGcg
| | y | Xly_B9k3TtbYJf32W-pThc2lMHCt1mhhE4sBJsW6uUo
| | x5c | MIIC+DCCAp6gAwIBAgIDALXpMAoGCCqGSM49BAMCMIGEMQswCQYDVQQGEwJERTEf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 |
| IDP-DISC-SIG_RU_0003_CRT.pem |
| RU | ab 31.03.2026, 10:00-12:00 Uhr |
| x | Yv6eYKGNK8aFUEf-jXiK5Swr0JJkEDI75QI2zoPudlo
| | y | O5xaTLrVNCdA4Zb-HjjoCucQjahDYZfmvu3CzCf4RAY
| | x5c | MIIC9zCCAp6gAwIBAgIDALXqMAoGCCqGSM49BAMCMIGEMQswCQYDVQQGEwJERTEf
MB0GA1UECgwWZ2VtYXRpayBHbWJIIE5PVC1WQUxJRDEyMDAGA1UECwwpS29tcG9u
ZW50ZW4tQ0EgZGVyIFRlbGVtYXRpa2luZnJhc3RydWt0dXIxIDAeBgNVBAMMF0dF
TS5LT01QLUNBNTYgVEVTVC1PTkxZMB4XDTI2MDEyMTE1MzkzOFoXDTMxMDEyMDE1
MzkzN1owfTELMAkGA1UEBhMCQVQxKDAmBgNVBAoMH1JJU0UgR21iSCBURVNULU9O
TFkgLSBOT1QtVkFMSUQxKTAnBgNVBAUTIDM4Nzc4LVYwMUkwMDA0VDIwMjYwMTIx
MTUyMzI4MjExMRkwFwYDVQQDDBBkaXNjLnJ1LmlkcC5yaXNlMFowFAYHKoZIzj0C
AQYJKyQDAwIIAQEHA0IABGL+nmChjSvGhVBH/o14iuUsK9CSZBAyO+UCNs6D7nZa
O5xaTLrVNCdA4Zb+HjjoCucQjahDYZfmvu3CzCf4RAajggECMIH/MB0GA1UdDgQW
BBSOp8MJLLkrkstNfHHkAKwwUrJUHTAfBgNVHSMEGDAWgBTVuBx5iaOlrcWNtv5b
/hA3A50DwzBNBggrBgEFBQcBAQRBMD8wPQYIKwYBBQUHMAGGMWh0dHA6Ly9kb3du
bG9hZC10ZXN0cmVmLmNybC50aS1kaWVuc3RlLmRlL29jc3AvZWMwDgYDVR0PAQH/
BAQDAgeAMCEGA1UdIAQaMBgwCgYIKoIUAEwEgSMwCgYIKoIUAEwEgUswDAYDVR0T
AQH/BAIwADAtBgUrJAgDAwQkMCIwIDAeMBwwGjAMDApJRFAtRGllbnN0MAoGCCqC
FABMBIIEMAoGCCqGSM49BAMCA0cAMEQCIEYDbjgvR6IbcNQxGv1FQKg0qCqHlfBl
8kbrNXXOF3+aAiBYjajQzxmWpQAewatkepSE8HQtBLaRNAnWGvgmxLRWFQ== |
| IDP-DISC-SIG_RU_0004_CRT.pem |
| TU | ab 28.04.2026, 10:00-12:00 Uhr |
| x | lbUso6OsOxlBzY-dVUzkNkrJ16w0dw7s_a2RfvHOsSU
| | y | HWO-x2ojMSMbUoVUrnMyKK7bX7YXrZURqLRTaKAa8Vo
| | x5c | MIIC9zCCAp6gAwIBAgIDALXyMAoGCCqGSM49BAMCMIGEMQswCQYDVQQGEwJERTEf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 |
| IDP-DISC-SIG_TU_0002_CRT.pem |
| PU | ab KW 21 (t.b.d.) | wird in KW 12 bereitgestellt |