Zum Inhalt springen

Bereitstellung von SECC Certificates über OCPP

Wie gelangt das SECC Certificate auf die Ladestation?



Darstellung wie das SECC Zertifikat auf die Ladestation gelangt


Damit eine Ladestation mit Fahrzeugen nach ISO 15118 kommunizieren kann, benötigt sie ein gültiges SECC Certificate. Dieses Zertifikat dient als digitale Identität der Ladestation und wird während des TLS-Handshakes dem Fahrzeug präsentiert. Das Fahrzeug kann dadurch überprüfen, ob es tatsächlich mit einer vertrauenswürdigen Ladestation kommuniziert. ISO 15118 definiert zwar die Verwendung dieses Zertifikats während der Kommunikation, beschreibt jedoch nicht, wie das Zertifikat ursprünglich auf die Ladestation gelangt. Dieser Prozess wird in der Praxis durch die Backend-Systeme des Ladestationsbetreibers umgesetzt und erfolgt häufig über OCPP.

Erzeugung des Schlüsselpaares

Der Prozess beginnt direkt auf der Ladestation. Bei der Inbetriebnahme oder bei einer Zertifikatserneuerung erzeugt die Ladestation zunächst ein eigenes kryptografisches Schlüsselpaar. Dieses besteht aus einem privaten und einem öffentlichen Schlüssel.

Der private Schlüssel bleibt dauerhaft auf der Ladestation gespeichert und darf diese niemals verlassen. Er ist die eigentliche kryptografische Identität der Station und wird später verwendet, um gegenüber Fahrzeugen den Besitz des Zertifikats nachzuweisen. Der öffentliche Schlüssel hingegen darf weitergegeben werden und bildet die Grundlage für das spätere Zertifikat.

Die Trennung zwischen privatem und öffentlichem Schlüssel ist ein zentrales Sicherheitsprinzip der Public Key Infrastructure. Selbst wenn ein Angreifer den öffentlichen Schlüssel kennt, kann daraus nicht auf den privaten Schlüssel geschlossen werden.

Erstellung eines Certificate Signing Requests (CSR)

Nachdem das Schlüsselpaar erzeugt wurde, erstellt die Ladestation einen sogenannten Certificate Signing Request (CSR). Dabei handelt es sich um einen Zertifikatsantrag, der an eine Zertifizierungsstelle gesendet wird.

Der CSR enthält unter anderem die eindeutige SECC-ID der Ladestation, den öffentlichen Schlüssel, Informationen über die verwendeten kryptografischen Algorithmen sowie weitere Angaben, die für die Ausstellung des Zertifikats erforderlich sind. Zu diesem Zeitpunkt existiert jedoch noch kein gültiges Zertifikat. Der CSR ist lediglich die Anfrage, ein solches Zertifikat auszustellen.

Da der öffentliche Schlüssel Bestandteil des CSR ist, kann die spätere Zertifizierungsstelle diesen eindeutig mit der Ladestation verknüpfen.

Übertragung an das Backend

Sobald der CSR erstellt wurde, wird er an das Backend des Ladestationsbetreibers übertragen. In modernen Implementierungen erfolgt dies typischerweise über OCPP 2.0.1 oder OCPP 2.1.

Für diesen Schritt wird üblicherweise die OCPP-Nachricht SignCertificate verwendet. Die Ladestation übermittelt dabei den CSR an das zentrale Backend. Dieses Backend fungiert als Vermittler zwischen der Ladestation und der Zertifizierungsstelle.

Das Backend prüft zunächst, ob die Ladestation registriert und berechtigt ist, ein neues Zertifikat zu erhalten. Erst nach erfolgreicher Prüfung wird der CSR an die zuständige Zertifizierungsstelle weitergeleitet.

Signierung durch die Zertifizierungsstelle

Die Zertifizierungsstelle (CA) erhält den CSR und überprüft dessen Inhalt. Anschließend wird der öffentliche Schlüssel der Ladestation mit den Identitätsinformationen verknüpft und digital signiert.

Durch diese Signatur entsteht das eigentliche SECC Certificate. Dieses Zertifikat enthält nun die eindeutige Identität der Ladestation, den öffentlichen Schlüssel, die Gültigkeitsdauer sowie Informationen über die ausstellende Zertifizierungsstelle.

Zusätzlich werden Informationen für die spätere Widerrufsprüfung integriert, beispielsweise Verweise auf OCSP-Responder. Fahrzeuge können dadurch während des TLS-Handshakes prüfen, ob das Zertifikat möglicherweise widerrufen wurde.

Die Zertifizierungsstelle bestätigt mit ihrer Signatur, dass die Ladestation tatsächlich zu der angegebenen Identität gehört und innerhalb der PKI als vertrauenswürdig betrachtet werden kann.

Rückübertragung des Zertifikats

Nach erfolgreicher Ausstellung wird das neue SECC Certificate an das Backend zurückgegeben. Das Backend übermittelt dieses anschließend an die Ladestation.

Für diesen Schritt wird in OCPP typischerweise die Nachricht CertificateSigned verwendet. Dabei erhält die Ladestation nicht nur ihr eigenes Zertifikat, sondern auch die dazugehörige Zertifikatskette.

Diese Zertifikatskette besteht üblicherweise aus dem SECC Certificate sowie den zugehörigen Zwischenzertifikaten (Sub-CAs). Das Root-Zertifikat wird in der Regel nicht mit übertragen, da es bereits als Vertrauensanker auf den beteiligten Systemen vorhanden ist.

Die Ladestation speichert anschließend das Zertifikat und verknüpft es mit dem zuvor erzeugten privaten Schlüssel.

Installation und Speicherung auf der Ladestation

Nach Erhalt des Zertifikats wird dieses dauerhaft auf der Ladestation gespeichert. Gleichzeitig bleibt der ursprünglich erzeugte private Schlüssel weiterhin lokal auf der Station vorhanden.

Erst durch die Kombination aus Zertifikat und privatem Schlüssel entsteht eine vollständige digitale Identität. Das Zertifikat enthält den öffentlichen Teil der Identität, während der private Schlüssel den kryptografischen Besitznachweis ermöglicht.

Ab diesem Zeitpunkt kann sich die Ladestation gegenüber Fahrzeugen authentifizieren und ISO-15118-Kommunikation durchführen.

Verwendung während des TLS-Handshakes

Wenn später ein Fahrzeug angeschlossen wird, beginnt zunächst der TLS-Handshake zwischen Fahrzeug und Ladestation. Dabei sendet die Ladestation ihr SECC Certificate zusammen mit der zugehörigen Zertifikatskette an das Fahrzeug.

Das Fahrzeug prüft anschließend Schritt für Schritt die gesamte Zertifikatskette. Dabei wird kontrolliert, ob die Signaturen gültig sind, ob die Zertifikate noch innerhalb ihrer Gültigkeitsdauer liegen und ob sie nicht widerrufen wurden. Zusätzlich wird überprüft, ob die Kette bis zu einem bekannten und vertrauenswürdigen Root-Zertifikat zurückverfolgt werden kann.

Erst wenn alle diese Prüfungen erfolgreich abgeschlossen wurden, akzeptiert das Fahrzeug die Identität der Ladestation und baut die sichere TLS-Verbindung auf.

Verwaltung über OCPP

Der gesamte Lebenszyklus eines SECC Certificates kann über OCPP verwaltet werden. Neben der erstmaligen Ausstellung unterstützt OCPP auch die Erneuerung, Aktualisierung und Entfernung von Zertifikaten.

Zu den wichtigsten OCPP-Funktionen gehören dabei:

GetInstalledCertificateIds zur Abfrage bereits installierter Zertifikate, SignCertificate zur Übermittlung eines CSR an das Backend, CertificateSigned zur Rückübertragung eines signierten Zertifikats, InstallCertificate zur Installation neuer Root- oder Sub-CA-Zertifikate sowie DeleteCertificate zum Entfernen nicht mehr benötigter Zertifikate.

Dadurch kann die komplette Zertifikatsverwaltung automatisiert erfolgen, ohne dass ein Techniker direkt an der Ladestation eingreifen muss.