Grundlage für die Nutzung der Online-Ausweisfunktion ist die eID-Infrastruktur. Diese basiert auf einer Public Key Infrastruktur (PKI) für Berechtigungszertifikate sowie einem Sperrmanagement. Die drei dazu erforderlichen Komponenten PKI-Root, BerCA und Sperrdienst bilden das Hintergrundsystem der eID-Infrastruktur.

PKI-Root

Für die derzeit verwendeten elektronischen Ausweise werden zwei Public Key Infrastrukturen benötigt. Eine Dokumenten-PKI (CSCA) für die Echtheitsprüfung von elektronischen Ausweisen. Sowie eine Berechtigungs-PKI (CVCA-eID) als nationaler Vertrauensanker für Zugriffe auf die Online-Ausweisfunktion. Das BSI betreibt die beiden Wurzelzertifizierungsstellen (PKI-Root) zur Ausstellung der jeweiligen Wurzelzertifikate.

Entwicklungssystem

Für entwicklungsbegleitende Tests und die Erprobung neuer Spezifikationen betreibt das BSI eine Beta-PKI. Diese dient dazu, Zertifikate für entwicklungsbegleitende Tests auszugeben. Änderungen in der Beta-PKI werden bei Bedarf vom BSI vorgenommen.

Testsystem

Zur Systemintegration und für weitere Tests stellt das BSI eine Test-PKI zur Verfügung. Vor einer Umstellung in der Wirk-PKI wird die Umstellung in der Test-PKI durchgeführt. Daher ist die Test-PKI in eingeschränkten Zeiträumen kein vollständiges Abbild der Wirk-PKI.

Wirksystem

Für das Wirksystem stellt das BSI die Wirk-PKI zur Verfügung. Neben dem Echtbetrieb können finale Positivtests einzelner Komponenten in der Wirk-PKI durchgeführt werden.

Berechtigungszertifikate-Anbieter

Die Berechtigungszertifikate-Anbieter (BerCA) stellen die technischen Berechtigungszertifikate für Diensteanbieter bereit. Ein Berechtigungszertifikat legt die Daten fest, die ein Diensteanbieter im Rahmen der Online-Ausweisfunktion aus dem Ausweis abfragen darf.

Entwicklungs- und Testsystem

Berechtigte Interessenten können sich beim BSI sowohl in der Beta-PKI als auch in der Test-PKI als Berechtigungszertifikate-Anbieter registrieren lassen. Nach erfolgter Registrierung erhalten sie ein DV-Zertifikat zum Betrieb eines Document Verifiers in der zugehörigen PKI. Damit können sie ihren Kunden technische Berechtigungszertifikate im Entwicklungs- oder Testsystem ausstellen.

Weitere Informationen zur Registrierung als Berechtigungszertifikate-Anbieter finden Sie auf der BSI-Webseite unter CVCA-eID Testzertifizierung.

Wirksystem

Berechtigungszertifikate für den Wirkbetrieb können bei den öffentlich bekannten Berechtigungszertifikate-Anbietern erworben werden. Die im Wirksystem registrierten Document Verifier müssen zusätzlich dauerhaft am Testsystem teilnehmen und ihren Kunden die Teilnahme ermöglichen.

Sperrdienst

Der Sperrdienst führt zentral eine Sperrliste mit den Sperrschlüsseln abhanden gekommener Ausweise mit eingeschalteter Online-Ausweisfunktion. Diese ständig aktualisierte Sperrliste wird zur Abholung durch die Berechtigungszertifikate-Anbieter vom Bundesverwaltungsamt bereitgestellt.

Entwicklungssystem

Für das Entwicklungssystem ist kein Testelement des Sperrdienstes notwendig.

Testsystem

Für das Testsystem wird kein Testelement des Sperrdienstes betrieben.

Wirksystem

Der Sperrdienst im Wirksystem wird durch das BVA betrieben. Weitere Informationen finden Sie auf der BVA-Webseite unter Sperrdienst und Sperrmanagement.