1 Die Evangelische Kirche von Kurhessen-Waldeck betreibt ein System zur Ausstellung digitaler Zertifikate, die EKKW-PKI (Public Key Infrastructure), um eine gesicherte elektronische Kommunikation und eine Authentifizierung zu ermöglichen. 2 Sie stellt als Zertifizierungsinstanz nach dieser Richtlinie „fortgeschrittene elektronische Zertifikate“ aus.

3 Die Zertifikate dienen der Nutzung als digitale Signatur und der Verschlüsselung von E-Mail- und Datei-Verkehr. 4 Diese Zertifizierungsrichtlinie regelt die Abläufe innerhalb der EKKW-PKI und legt dabei die Rahmenbedingungen für die Ausstellung und Nutzung von Zertifikaten fest. 5 Sie ist für alle Teilnehmer an der EKKW-PKI verbindlich.

In der EKKW-PKI gibt es drei Zertifizierungsstellen (CA, Certification Authority). Die Stammzertifizierungsstelle wird offline und zwei weitere als ausstellende Stellen betrieben. Ihre Namen lauten:

EKKW RootCA LKA; EKKW SubCA01 LKA; EKKW SubCA02 LKA

Die Zertifizierungsstellen erstellen alle Zertifikate innerhalb der EKKW-PKI. Die EKKW-PKI wird vom Sachgebiet Informations- und Kommunikationstechnik im Landeskirchenamt betrieben.

Die EKKW-PKI erfüllt folgende Bedingungen:

Die EKKW-PKI ist bei der zuständigen Behörde (IANA) registriert.

Die Identifikationsnummer dieser Richtlinienerklärung lautet: 1.3.6.1.4.1.34210.100.10.1

Zertifikatnehmer sind natürliche und juristische Personen, einschließlich ihrer Untergliederungen, sowie deren technische Einrichtungen, die ein Zertifikat der EKKW-PKI ausgestellt bekommen.

Die von EKKW-PKI ausgestellten Zertifikate enthalten regelmäßig folgende Angaben:

Abhängig vom Verwendungszweck des jeweiligen Zertifikats können weitere Angaben hinzukommen oder entfallen.

1 Die ausgestellten Zertifikate tragen den Namen des Zertifikatinhabers, sowie eine zugeordnete Organisationseinheit. 2 Optional können weitere Zuordnungsmerkmale enthalten sein. 3 Durch den zugeordneten Namen muss der Zertifikatnehmer innerhalb der Landeskirche eindeutig identifizierbar sein. 4 Die weiteren Bezeichnungen müssen geläufigen Organisationseinheiten innerhalb der Landeskirche entsprechen. 5 Zertifikate für Personen dürfen nur auf einen zulässigen Namen des Zertifikatnehmers ausgestellt werden. 6 Anonyme Zertifikate werden nicht ausgestellt. 7 Die Eindeutigkeit von mehreren Zertifikaten eines Zertifikatnehmers wird durch die Zertifikatsseriennummer erreicht.

1 Zertifikate können für eine bestimmte Gruppe Zertifikatnehmer ausgestellt oder von einzelnen Zertifikatnehmern beantragt werden. 2 Antragsberechtigt ist jeder Zertifikatnehmer innerhalb der EKKW-PKI. 3 Der Antrag ist an das Sachgebiet Informations- und Kommunikationstechnik im Landeskirchenamt zu stellen. 4 Über Anträge wird entsprechend den Anwendungsmöglichkeiten für den jeweiligen Zertifikatnehmer entschieden. 5 Das Sachgebiet Informations- und Kommunikationstechnik im Landeskirchenamt prüft die Berechtigung des Antragstellers, sofern dieser ihr nicht bekannt ist.

6 Die Ausstellung der Zertifikate kann auf elektronischem Wege auch webbasiert erfolgen.

Mit Verwendung des Zertifikats erklärt sich der Zertifikatsinhaber mit der geltenden Richtlinie der EKKW-PKI einverstanden.

1 Der Zertifikatsinhaber ist für den Schutz des Zertifikats und des privaten Schlüssels, auch auf anderen technischen Geräten, verantwortlich. 2 Private Schlüssel in ausgestellten Zertifikaten können exportiert werden. 3 Bei einem Zertifikatsexport mit privatem Schlüssel muss für die PFX-Datei (Personal Information Exchange File -kann privaten Schlüssel beinhalten-) ein komplexes Kennwort verwendet werden.

4 Bei Bekanntwerden eines Missbrauchs bzw. 5 Verlust eines Zertifikats informiert der Zertifikatsinhaber unverzüglich das Sachgebiet Informations- und Kommunikationstechnik im Landeskirchenamt.

Zertifikate können von EKKW-PKI aus folgenden Gründen gesperrt werden:

1 Diese Richtlinie tritt mit Beschlussfassung des Landeskirchenamtes in Kraft. 2 Sie ist im kirchlichen Amtsblatt zu veröffentlichen.