Einleitung

Zur Nutzung der Schnittstelle werden Client Credentials und eine VPN-Verbindung zwischen den vertrauenswürdigen Umgebungen der Client- und der Server-Systeme eingesetzt. 

Authentifizierungsverfahren OAuth2 - Client Credential Flow

Um Clientsysteme zu authentifizieren, wird der Standard OAuth2 mit dem Client Credential Flow eingesetzt. Die kv.digital GmbH stellt einen OAuth 2.0 Authorization Server bereit, um mittels ClientID und Client Secret (Passwort) einen Access Token zu erstellen. Der Access Token berechtigt, die Schnittstelle zu nutzen.

VPN-Verbindung

Zur Nutzung der Schnittstelle wird eine VPN-Verbindung zwischen den vertrauenswürdigen Umgebungen der Client- und der Server-Systeme aufgebaut, die zur sicheren Speicherung des Schlüsselmaterials Client-seitig in Hardware ausgelegt ist. Standardmäßig wird IPsec/IKEv2 eingesetzt; alternativ kann Wireshark oder OpenVPN angefragt werden. Zur Initiierung reicht das Client-System einen CSR mit ECDSA NIST P-256 (prime256v1) ein und erhält ein Client Zertifikat nebst Zertifikaten der ausstellenden Root- und Intermediate-CA. Die Konfigurationsparameter sind wie folgt:

DNS:

46.30.72.20 vpn.116117-termine.de 

IPsec:

Phase 1: 

Phase 2: