Dieses Verzeichnis enthält die öffentlichen Zertifikate und Lizenzen für die offizielle ThemisDB.org Plugin-Signierung.
certs/
├── README.md # Diese Datei
├── GITHUB_SECRETS.md # GitHub Secrets Dokumentation
├── manufacturer/ # Herstellerzertifikate
│ ├── themisdb-ca.crt # ThemisDB Root CA (öffentlich)
│ ├── themisdb-plugin-signer.crt # Plugin Code-Signing Cert (öffentlich)
│ ├── LICENSE # Herstellerlizenz-Text
│ └── certificate-chain.pem # Komplette Zertifikatskette
├── intermediate/ # Intermediate CAs (optional)
│ └── themisdb-intermediate-ca.crt
├── crl/ # Certificate Revocation Lists
│ └── themisdb-plugins.crl
└── test/ # Test-Zertifikate (NUR für Development!)
├── test-ca.crt
└── test-plugin-signer.crt
Version: 1.0.0
Gültig ab: 2026-01-20
Gültig bis: 2029-01-20
Lizenzinhaber: ThemisDB.org
Aussteller: ThemisDB.org Certificate Authority
Diese Lizenz autorisiert ThemisDB.org zur Signierung offizieller ThemisDB-Plugins mit dem Code-Signing-Zertifikat:
- Subject:
CN=ThemisDB Plugin Signer, O=ThemisDB.org, C=DE - Issuer:
CN=ThemisDB Official Plugins CA, O=ThemisDB.org, C=DE - Serial Number:
01 - Fingerprint (SHA-256):
[Wird nach Generierung eingefügt]
ThemisDB Root CA (Self-Signed)
└── ThemisDB Plugin Signer (Code-Signing)
└── [Signierte Plugins]
Trust Anchor: themisdb-ca.crt (muss in ThemisDB eingebettet sein)
Für automatisierte Signierung in GitHub Actions werden folgende Secrets benötigt:
| Secret Name | Beschreibung | Typ |
|---|---|---|
THEMISDB_PLUGIN_CERT |
Plugin Code-Signing Zertifikat (PEM) | Certificate |
THEMISDB_PLUGIN_KEY |
Private Key (verschlüsselt!) | Private Key |
THEMISDB_KEY_PASSWORD |
Passwort für Private Key | Password |
THEMISDB_CA_CERT |
Root CA Zertifikat | Certificate |
Siehe GITHUB_SECRETS.md für Details.
- Öffentliche Zertifikate in diesem Verzeichnis speichern
- Fingerprints aller Zertifikate dokumentieren
- CRL (Certificate Revocation List) regelmäßig aktualisieren
- Test-Zertifikate deutlich markieren
- Zertifikatsablauf überwachen
- Private Keys NIEMALS committen!
- Passwörter NIEMALS im Repository speichern!
- HSM-Credentials NIEMALS exponieren!
- Production-Keys in Test-Code verwenden!
- Abgelaufene Zertifikate verwenden!
// In CMakeLists.txt
sign_plugin(themis_plugin_onnx_clip)#include "acceleration/plugin_security.h"
// Embedded CA wird automatisch verwendet
PluginSecurityVerifier verifier(policy);
std::string error;
if (verifier.verifyPlugin("./plugins/plugin.so", error)) {
// Plugin ist von ThemisDB.org signiert
}# Zertifikat-Info anzeigen
openssl x509 -in manufacturer/themisdb-plugin-signer.crt -text -noout
# Signatur verifizieren
openssl cms -verify \
-in plugin.so.p7s \
-content plugin.so \
-CAfile manufacturer/themisdb-ca.crt \
-inform DERZertifikate müssen vor Ablauf erneuert werden:
- 6 Monate vor Ablauf: Warning-Notice
- 3 Monate vor Ablauf: Erneuerung starten
- 1 Monat vor Ablauf: Neue Zertifikate deployen
- Nach Ablauf: Alte Zertifikate in CRL eintragen
Bei Kompromittierung eines Zertifikats:
- Zertifikat-Serial-Number in CRL eintragen
- CRL aktualisieren und publizieren
- Alle betroffenen Plugins neu signieren
- Security-Advisory veröffentlichen
Alle Signierungsvorgänge werden protokolliert:
[2026-01-20 10:30:00] Signed: themis_plugin_onnx_clip.so
- Certificate: CN=ThemisDB Plugin Signer
- Serial: 01
- Hash (SHA-256): a3f2c1b8d9e4f5a6b7c8d9e0f1a2b3c4...
- Signature Algorithm: RSA-4096 + SHA-256
- Timestamp: RFC 3161 (timestamp.digicert.com)
Security Issues: [email protected]
Certificate Requests: [email protected]
General: [email protected]
- X.509 v3 - Public Key Certificates
- RFC 5280 - Internet X.509 PKI Certificate and CRL Profile
- RFC 3161 - Time-Stamp Protocol (TSP)
- RFC 5652 - Cryptographic Message Syntax (CMS)
- FIPS 140-2 - Cryptographic Module Security Requirements
Die Zertifikate in diesem Verzeichnis sind urheberrechtlich geschützt:
Copyright (c) 2026 ThemisDB.org
Diese Zertifikate dürfen nur zur Verifikation offizieller ThemisDB-Plugins
verwendet werden. Jegliche andere Verwendung ist untersagt.
Zuletzt aktualisiert: 2026-01-20
Version: 1.0.0