Dieser Artikel beinhaltet das Vorgehen bei der PKI-Prüfung. 


AmadeusVerify validiert als erstes, ob die Zertifikatskette mit einem der Root-Zertifikate zusammenpassen, welche in AmadeusVerify hinterlegt sind. Das sind aktuell:


  • TSE_Root_CA_1.cer
  • D-TRUST_TIM_Root_CA_1_2019.crt


Falls das nicht der Fall ist, wird nicht weiter kontrolliert, sondern das Zertifikat abgewiesen. Ist das Root-Zertifikat in der Kette enthalten oder konnte aufgefüllt werden, dann wird versucht die richtige PKI zuzuweisen . Das klappt über den Aussteller des Zertifikats. Aktuell gibt es eine PKI für "TELEKOM" und für "D-TRUST".


Bei "TELEKOM" wird mittels REST von der URL "https://tse.swissbit.com/tse/api/v1" folgende Endpunkte abgefragt: 


  • /status
  • /certInfo


Bei "D-TRUST" wird via LDAP an den Server "directory.d-trust.net" mit Port 389 abgefragt. 


Danach wird bei allen Zertifikaten (außer Root) die CRL (CertificateRevocationList) abgefragt. Diese steht im Zertifikat, sollte aber eine der folgenden sein: 



Gibt es auch hier kein Problem ist das Zertifikat gültig. Falls die PKI nicht erreichbar ist, kann man auch später nochmal den Check versuchen, ohne erneut Daten einlesen zu müssen.