Admin-PKI: Klasse-B Zertifikate

Transkript

1 Amt für Informatik und Organisation des Kantons Bern Finanzdirektion Office d'informatique et d'organisation du canton de Berne Direction des finances Wildhainweg 9 Postfach Bern Telefon Service Desk Telefax Flyer für Anwender (ATOS) Bearbeitungs-Datum: 6. Juni 2013 Version: 1A Registraturplan-Nr.: Dossier-Nr.: Dokument-Status: Klassifizierung: Ersteller: Verteiler: Freigegeben intern Müller Ueli intern

2 Inhaltsverzeichnis 1 Mögliche Zertifikatsträger Informationen zu Ihrem digitalen Zertifikat ATOS Bedienungsanleitung Aufruf der Applikation "CardOS API Das richtige Einlegen der Smart Card Pin des Tokens ändern Abfragen der Token Informationen Karte entsperren / PUK Eingabe erforderlich SCKI Software Version prüfen FAQ / Glossar...13 Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 2 von 18

3 1 Mögliche Zertifikatsträger USB-Token Smart-Card Folgende Organisationseinheiten wählten folgende Zertifikatsträger. Bei Abweichung kann dies bei der Bestellung angegeben werden. Staatskanzlei (STA) USB-Stick Volkswirtschaftsdirektion (VOL) Smart-Card Gesundheits- und Fürsorgedirektion (GEF) Smart-Card Justiz-, Gemeinde- und Kirchendirektion (JGK) Smart-Card Justice Smart-Card Polizei- und Militärdirektion (POM) Smart-Card Finanzdirektion (FIN) Smart-Card Erziehungsdirektion (ERZ) Smart-Card Bau-, Verkehrs- und Energiedirektion (BVE) USB-Stick INFRA (z.b. Gemeinden) USB-Stick Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 3 von 18

4 2 Informationen zu Ihrem digitalen Zertifikat Sie haben heute eine SmartCard oder einen USB-Token erhalten. Diese Gegenstände sind Träger von digitalen Zertifikaten, die Sie für den Zugang zu elektronischen Diensten bzw. Services benötigen. Diese elektronischen Dienste werden durch die Bundesverwaltung, den Kanton Bern oder dritten Stellen angeboten und verlangen eine gesicherte Authentifikation der Benutzenden, da durch diese Dienste in der Regel besonders schützenswerte Informationen bearbeitet werden. Zusätzlich ermöglichen diese digitalen Zertifikate das Signieren (elektronische Unterschrift) und das verschlüsseln und wieder entschlüsseln von elektronisch gespeicherten Informationen wie Secur . Sie benötigen nur diese eine Karte oder USB-Token für alle eingesetzten und zukünftigen Services. Die auf Ihrer Karte oder USB-Token enthaltenen Zertifikate sind von der Admin-PKI (Swiss Government Enhanced CA 01) des Bundes ausgestellte Klasse B Zertifikate. Diese Zertifikate ermöglichen z.b. Authentifikation an Applikationen mit vertraulichen Daten oder signieren und verschlüsseln von s. Solche Zertifikate werden für natürliche Personen ausgestellt und erfordern eine sehr hohe Qualität bei der Zertifikatsausgabe. Das bedeutet, dass eine persönliche Identifikation mit gültigem Reisepass oder Identitätskarte erforderlich ist (Führerausweis oder SBB- Abonnemente werden nicht akzeptiert). Ein Klasse-B Zertifikat ist 3 Jahre gültig. Bei einer Klasse-B Ausstellung werden jeweils 3 Zertifikate erzeugt, je ein Zertifikat für Authentisierung, Signatur und Encryption. Abbildung 1: Zertifizierungsstellen der Bundesverwaltung Die Grundlage für solche Zertifikate ist die asymmetrische Verschlüsselung mittels eines persönlichen Schlüsselpaars. Zu jedem Zertifikat gehören ein privater und ein öffentlicher Schlüssel. Der private Schlüssel ist für jedes Zertifikat einmalig und auf Ihrer SmartCard oder dem USB- Token gespeichert. Der dazugehörende öffentliche Schlüssel wird, wie im Namen angedeutet, Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 4 von 18

5 möglichst weit publiziert. Ihr öffentlicher Schlüssel ist in dem digitalen Zertifikat enthalten, das neben dem Schlüssel auch Informationen enthält, die es erlauben, Sie gegenüber einem digitalen Informationssystem eindeutig zu identifizieren. Solche Informationen im Zertifikat sind: - Version - Seriennummer - Verschlüsselungsalgorithmus - Ausgabestelle - Gültigkeit von bis - Name, Vorname, - Adresse, - Dienststelle, - Verwendungszweck des Schlüsselpaares Diese Informationen werden durch die ausgebende Zertifizierungsstelle digital unterschrieben. Sobald eine der obenstehenden Informationen im Zertifikat ändert, muss zwingend ein neues Zertifikat erstellt werden, das erneut durch die ausgebende Zertifizierungsstelle digital unterschrieben wird. Alle SmartCard's, die in der Verwaltung des Kantons Bern ausgestellt werden, enthalten als zusätzliche Funktion einen RFID Chip (Legic). Dieser Chip ermöglicht das Benutzen der Karte als elektronischen Schlüssel zum Öffnen von Türen, oder zum Speichern von Geldguthaben für die Bezahlung an Getränkeautomaten oder in Kantinen. Diese Zusatz-Funktionen sind nur mit der Karte möglich. Der Zugang zum privaten Schlüssel auf der Karte oder dem Token sind mit einem PIN (Passwort auf der Karte / Token) geschützt. Wenn der PIN mehrmals falsch eingegeben worden ist, sperrt sich die Karte / Token. Dann müssen Sie sich an Ihr Service- Helpdesk wenden, um einen Schlüssel zum Entsperren der Karte (PUK) zu erhalten. Bei Verlust der Karte (verlieren, Diebstahl, Defekt, ) wenden Sie sich bitte auch an Ihr Service- / Helpdesk um die Karte ungültig erklären zu lassen. In diesem Falle muss eine neue Karte erstellt werden. Das heisst, Sie müssen sich wie zur Erstausstellung erneut mit einem Pass oder ID beim zuständigen LRA Officer persönlich identifizieren. Dies ist bedingt durch die Vorgaben der Zertifikatsausgabestelle, der Swiss Government Enhanced CA 01. Für das Ausstellen einer neuen Karte mit den entsprechenden Zertifikaten garantiert das KAIO 10 Arbeitstage ab Bestelleingang. Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 5 von 18

6 3 ATOS Bedienungsanleitung 3.1 Aufruf der Applikation "CardOS API Auf Ihrer Arbeitsstation ist die Anwendung CardOS API installiert, die für die Kommunikation mit dem Zertifikatsspeicher Smart-Card oder USB-Token zuständig ist. Die Funktionen vom CardOS API sind in unterschiedliche Programme unterteilt. Via Start Alle Programme CardOS API sind alle aufgeführt. Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 6 von 18

7 3.2 Das richtige Einlegen der Smart Card Die Karte muss immer mit dem Chip zu Ihnen sichtbar und auf den Leser zeigend, in den Leser geschoben werden. Dabei ist zu beachten, dass ein erster kleiner Wiederstand überwunden, und die Karte ganz bis zum Anschlag eingeführt werden muss. Erst dann sind die elektrischen Kontakte des Lesers auf dem Chip richtig platziert und die Informationen des Chips können gelesen werden. Mittels der Anwendung "Viewer können Sie überprüfen, dass die Karte vom Programm erkannt worden ist und gelesen werden kann. Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 7 von 18

8 Sollte die Karte richtig eingelegt worden sein, und der KAIO Token wird nicht erkannt, versuchen Sie es bei einem benachbarten PC, der mit Kartenleser ausgerüstet ist. Sollte es immer noch nicht funktionieren, kann ein Defekt der Karte vorliegen. Melden Sie sich in diesem Falle an das für Sie zuständige Service- / Helpdesk. 3.3 Pin des Tokens ändern Die Anwendung "PIN ändern" wird gestartet und über "**** Kennwort des Tokens ändern" kann der PIN verändert werden. Bitte beim neuen PIN die Vorgaben zur Wahl eines PIN beachten. Siehe FAQ: Regeln für PIN Nach Eingabe des neuen PIN antwortet das Programm wie folgt: Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 8 von 18

9 3.4 Abfragen der Token Informationen Hier erhalten Sie umfassende Informationen über das eingesetzte Token Entsprechender Kartenleser auswählen In dieser Maske kann die Gültigkeit der Zertifikate angeschaut werden. Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 9 von 18

10 3.5 Karte entsperren / PUK Eingabe erforderlich Sollte Ihr Token bei der Eingabe des Pins mit der nebenstehenden Fehlermeldung antworten, so sind zu viele fehlgeschlagene Anmeldeversuche erfolgt, und Sie müssen beim für Sie zuständigen Service- Helpdesk oder im Self Service Portal einen PUK anfordern. (nur innerhalb des BEWAN) Auf die Anwendung PIN ensperren gehen. Den PUK eingeben und einen neuen PIN generieren. Nach Eingabe des neuen PUK und PIN antwortet das Programm wie folgt: Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 10 von 18

11 3.6 SCKI Software Version prüfen Für den Renwal Prozess Ihrer Zertifikate oder für ein Key Recovery benötigen Sie die aktuell gültigen Versionen der Software von ATOS und SCKI. Der detaillierte Ablauf des Renewal- und des Key Recovery Prozesses sind in den Flyers FIN_KAIO-# v1-Admin-PKI_Flyer_Renewal.DOCX FIN_KAIO-# v1-Admin-PKI_Flyer_KeyRecovery.DOCX beschrieben. Wichtige Voraussetzung zum reibungslosen Durchführen des Renewal / Key Recovery Prozesses sind: Ihre Zertifikate sind noch gültig. (Siehe Fehler! Verweisquelle konnte nicht gefunden werden.) Sie haben Ihre Smartcard und PIN bereit. Das SCKI ist auf Ihrem PC installiert und aktuell. Auf der Smart Card ist genügend Platz vorhanden. Im Internet Explorer dürfen Sie Active-X Steuerelemente ausführen. Nach dem erstmaligen Starten des Renewal- Prozesses werden Sie aufgefordert ein ActiveX- Steuerelement auszuführen. Hier ausführen klicken und im nachfolgenden Fenster bestätigen. 1) Diese Aufforerung kann allenfalls noch einmal erfolgen. Überprüfen der Software SCKI: Auf dem PC muss mindestens SCKI Version oder höher installiert sein. 2) Kontrolle: 1) (Wenn möglich) Start Control Panel Programs and Features (Windows 7) 2) Oder Aufruf des Programmes mit eingesteckter Karte oder USB Token via Link: Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 11 von 18

12 Im Willkommensfenster ist unten links die aktuell installierte Version angezeigt. Solange diese Versionsanzeige nicht rot ist, haben Sie die richtige Version der SCKI Software installiert. Wenn auf dem PC eine zu alte Version installiert ist, sollte diese zuerst deinstallieren und danach die neue installiert werden. Im Falle von Problemen melden Sie sich an das für Sie zuständige Service- Helpdesk. Fenster schliessen und NICHT Zertifikatserneuerung beantragen anwählen! Bitte Fenster schliessen ohne weiter zu fahren! Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 12 von 18

13 4 FAQ / Glossar Thema / Stichwort Active-X Steuerelemente AdminPKI Altes Entschlüsselungszertifikat zurückholen (Key- Recovery) Anzahl Zertifikate auf einer Karte Ausstellung für mehr als 20 Personen innerhalb einer Woche Authentisierung Autorisierung Badge CA CP und CSP Defekt / Verlust Erläuterung Bezeichnet ein Softwarekomponenten-Modell von Microsoft für aktive Inhalte. Es enthält Softwarekomponenten für andere Anwendungen, Makroprogrammierungen und Entwicklungsprogramme. PKI Infrastruktur des Bundes, die vom Kanton Bern mitbenutzt wird, um digitale Zertifikate erstellen zu können. Falls verschlüsselte Nachrichten wegen einer Neuausstellung nicht mehr gelesen werden können, steht die WEB Anwendung Key- Recovery zur Verfügung. Die alten Entschlüsselungszertifikate können auf die Karte oder USB-Token herunterladen werden. Auf einer SmartCard / USB-Token sind für Klasse-B Zertifikate 3 Zertifikate gespeichert. Je ein Zertifikat ist vorgesehen für: - Signatur: Das Zertifikat wird für das elektronische Unterschreiben von Dokumenten und s verwendet - Authentifikation Das Zertifikat wird zur Identifikation des Zertifikatsinhabers gegenüber einer Applikation oder einem Service verwendet. (z.b. Anmeldung an einer Anwendung mittels Karte oder USB Token) - Encryption Das Zertifikat wird zum ver- und entschlüsseln von Dokumenten oder s verwendet. Die meisten Anwendungen verwenden jeweils das richtige Zertifikat automatisch. Antrag über berechtigte Personen. Ausstellungsprojekt wird gestartet. Nachweisen der eigenen Identität durch Wissen, Besitz oder biometrischen Merkmalen. Ein digitales Zertifikat in einer Smart-Card entspricht dem Besitz eines Identitätsnachweises. In der Informationstechnologie das Zuweisen von Zugriffsrechten auf Ressourcen oder zur Benutzung von Computerprogrammen nach der erfolgreichen Authentisierung. Zutrittsausweis, oft auch mit RFID versehen als elektronischer Zutrittsausweis mit automatischer Türöffnungs- oder Entriegelungsfunktion. In der Informationssicherheit ist eine Zertifizierungsstelle (englisch certificate authority oder certification authority, kurz CA), eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht. Certificate Policy und Certification Practice Statement. Diese Dokumente der Zertifizierungsstellen (Certificate Authority CA) der AdminPKI Klasse B (Swiss Government Enhanced CA 01) definieren die Arbeitsweise der Zertifizierungsstelle und die Qualität der ausgegebenen Zertifikate. Antrag über berechtigte Personen. Altes Token wird gelöscht (revoziert). Für Abholung des neuen Tokens persönlich bei der LRA zur Identifikation einfinden. Ab Eingang Ihrer Bestellung im KAIO dauert der Prozess der Aus- Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 13 von 18

14 Digitales Zertifikat Ein Zertifikat, viele Services Encryption Erneuerung vor Ablauf der Gültigkeit (nach 3 Jahren, Renewal) Erstausstellung Erweiterte Funktionen der Karte (RFID) Integrität Key Recovery Key Renewal Klasse B Zertifikate LRA Öffentlicher Schlüssel stellung ca. 14 Tage. Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten. Zur Benützung mehrerer Services wir nur einmal die Ausstellung eines Zertifikats benötigt. Die Benutzung von Anwendungen und Services wird mittels Berechtigungen auf das ausgestellt Zertifikat ermöglicht. Methoden zum Verschlüsseln von Informationen auf digitalen Systemen. Aufforderung per Mail 3 Monate vor Ablauf. Erneuerung kann über Internet selber durchgeführt werden. Im Problemfall: Antrag über berechtigte Personen. Altes Token wird gelöscht (revoziert). Für Abholung des neuen Tokens persönlich bei der LRA zur Identifikation einfinden. Antrag über berechtigte Personen. Für Abholung persönlich bei der LRA zur Identifikation einfinden (gültiger Pass oder gültige Identitätskarte (ID) vorweisen (z.b. Fahrausweis oder Ausländerausweise sind nicht gültig), Ablaufdatum ist massgebend). Ab Eingang Ihrer Bestellung im KAIO dauert der Prozess der Erstausstellung ca. 14 Tage. In der Karte gibt es noch die RFID Technologie (Legic). Je nach Organisationseinheit und Standort kann die SmartCard auch als - Badge für Gebäudezutritte - zum Bezahlen an Getränkeautomaten oder in der Kantine - sichere Druckerlösung eingesetzt werden. Dies ist mit dem USB-Token leider nicht möglich. Integrität bezeichnet die Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen und ist neben Verfügbarkeit und Vertraulichkeit eines der drei klassischen Ziele der Informationssicherheit. Wiederherstellen eines älteren, abgelaufenen Encryption-Key's, damit verschlüsselte Informationen (z.b. s) wieder gelesen werden können. Es kann nur der Encryption-Key wieder hergestellt werden, von den übrigen privaten Schlüssel existiert keine gespeicherte Kopie. Verfahren, um Klasse-B Zertifikate der ADMIN-PKI vor Ablauf der zeitlichen Gültigkeitsdauer von 3 Jahren zu erneuern. Die Admin-PKI stellt diverse Zertifikatstypen zur Verfügung. Das Klasse-B Zertifikat ist nur auf einem HW-Token erhältlich und dient der Persönlichen Identifikation. Es enthält die Funktionen Signatur, Verschlüsselung und Authentifikation Registrierungsstelle (Local Registration Authority, LRA): Organisation, bei der Personen, Maschinen oder auch untergeordnete Zertifizierungsstellen Zertifikate beantragen können. Diese prüft die Richtigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag, der dann durch die Zertifizierungsstelle (CA) signiert wird. Bei einer manuellen Prüfung wird diese durch den Registration Authority Officer durchgeführt. Der öffentliche Schlüssel ist nicht geheim, er soll möglichst vielen Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 14 von 18

15 PIN PKI Privater Schlüssel PUK Regeln für PIN RFID Signieren Smart-Card anderen Benutzern bekannt sein, beispielsweise durch Verteilung über Schlüsselserver oder im Active Directory. Mit ihm können öffentliche Operationen durchgeführt werden, also Nachrichten verschlüsselt oder digitale Unterschriften überprüft werden. Dabei ist es wichtig, dass ein öffentlicher Schlüssel eindeutig einem Benutzer zugeordnet werden kann. Eine Persönliche Identifikationsnummer (PIN) oder Geheimzahl ist eine nur einer oder wenigen Personen bekannte Zahl, mit der diese sich gegenüber einer Maschine oder in unserem Fall gegenüber dem Zertifikatsträger (Token) authentisieren können. Mit Public-Key-Infrastruktur (PKI, englisch public key infrastructure) bezeichnet man in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet und zur digitalen Authentisierung der Benutzer eingesetzt. Im asymmetrischen Verfahren verfügt nur ein Benutzer über den privaten (geheimen) Schlüssel. Dieser Umstand ermöglicht es erst, eine Signatur eindeutig einem Benutzer zuzuordnen. Daher ist es grundlegend, dass der private Schlüssel nicht aus dem öffentlichen abgeleitet werden kann und dass der private Schlüssel gut geschützt und sicher verwahrt wird. Personal Unblocking Key. Ein Code, der zum Entsperren eines Tokens verwendet wird, wenn durch Verlust des PIN's der Token nicht mehr verwendet werden kann. Die Zertifikatsinhaber verwenden PINs (Passwörter) zur Aktivierung ihrer Chip-Karten bzw. zur Aktivierung ihrer privaten Schlüssel. Die PIN unterscheidet sich grundsätzlich vom Passwort, welches z.b. für die Anmeldung bei Applikationen verwendet wird. Jeder Zertifikatsinhaber wählt seine eigene PIN aus. Unsere Empfehlungen in Bezug auf die Smartcard-PIN sind: - Länge: Die PIN muss mindestens 6 Stellen beinhalten. - Anzahl Versuche: Die Karte sperrt sich selbst nach 5 Fehlversuchen. - Komplexität: Die Zusammensetzung der PIN ist frei wählbar. Triviale PIN-Codes (beispielsweise ) sollten nicht verwendet werden. - Gültigkeit: Die PIN muss geändert werden, sobald der Verdacht besteht, dass eine andere Person Kenntnis davon erhalten hat. Läuft ein Zertifikat ab, muss eine neue PIN gewählt werden. - Einmaligkeit: Ein PIN darf nur für genau eine Smartcard verwendet werden. Dieser PIN darf für keine andere Zwecke (z.b. Post Card) eingesetzt werden. Von der Verwendung von Spezialzeichen ist wegen den sprachabhängigen Tastaturlayouts abzusehen. (Identifizierung mit Hilfe elektromagnetischer Wellen engl. radiofrequency identification) ermöglicht die automatische Identifizierung und Lokalisierung von Gegenständen und Lebewesen. Der RFID-Chip auf der Smart-Card ermöglicht das Benutzen der Karte als elektronischen Schlüssel zum Öffnen von Türen, oder zum Speichern von Geldguthaben für die Bezahlung an Getränkeautomaten oder in Kantinen. Steht nur optional zur Verfügung. Elektronische Signatur, in der Datenverarbeitung ein elektronischer Identitätsnachweis. Chipkarten, oft auch als Smartcard oder Integrated Circuit Card Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 15 von 18

16 Support Token oder USB-Token Verschlüsselung Verwendungszweck Vorgaben Bund der Admin- PKI Wann wird ein neues Zertifikat benötigt? Was ist ein Admin-PKI Zertifikat Was ist eine PKI, speziell die Admin-PKI (ICC) bezeichnet, sind spezielle Plastikkarten mit eingebautem integriertem Schaltkreis (Chip), der eine Hardware-Logik, Speicher oder auch einen Mikroprozessor enthält. Chipkarten werden durch spezielle Kartenlesegeräte angesteuert. Immer über eigenen Service Desk bzw. Helpdesk. Überprüfung und unterscheiden ob Anwendungssupport oder Zertifikatssupport benötigt wird. Security-Token (Einfach Token) mit ähnlicher Funktion wie die Smart-Card (jedoch ohne RFID Funktionen), jedoch in einer Bauform, die das Anschliessen am USB-Port der Rechners ermöglicht. Verschlüsselung nennt man den Vorgang, bei dem ein klar lesbarer Text (Klartext) (oder auch Informationen anderer Art, wie Tonoder Bildaufzeichnungen) mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine unleserliche, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird. Als entscheidend wichtige Parameter der Verschlüsselung werden hierbei in unserer Anwendung 2 Schlüssel verwendet, der private und der öffentliche Schlüssel eines Zertifikats. Die persönlichen digitalen Zertifikate ermöglichen z.b. den gesicherten Zugang zu Anwendungen und Services die vom Bund, dem Kanton oder dritten Stellen angeboten werden (z.b. Anmeldung an Fachapplikationen / Windows, Verschlüsselung und digitale Signatur von s) je nach Berechtigungen. Die eingesetzten Zertifikate sind durch die Admin-PKI des Bundes ausgestellt worden. Dementsprechend müssen die Vorgaben und Regeln dieser Zertifizierungsstelle auch durch den Inhaber und Austeller dieser Zertifikate im Kanton Bern eingehalten werden. In den "AdminPKI-Class B Ausführungsbestimmungen der Zertifizierungsrichtlinien für die Admin-CA3" ist zum Beispiel festgehalten, dass der Zertifikatsinhaber sich für die Ausstellung eines Zertifikates persönlich bei der LRA zur Identifikation einfinden muss, und sich ausschliesslich mit einem gültigen Pass oder Identitätskarte ausweisen muss. (Ablaufdatum des Ausweises ist massgebend). Andere Ausweisdokumente dürfen von der LRA nicht akzeptiert werden. - Beim Wechseln in eine neue Organisationseinheit wird in der Regel ein neues Zertifikat benötigt. - Wenn die RACF UserID geändert wird. - Beim Ändern des Vor- oder Nachnamen. - Beim Ändern der Adresse - Nach dem zeitlichen Ablaufen des Zertifikats ohne vorgenommenes Renewal - Wenn das Renewal nicht erfolgreich war - Beim Defekt oder Verlust einer Karte / Tokens Dies geschieht analog einer Erstausstellung. Ab Eingang Ihrer Bestellung im KAIO dauert der Prozess der Ausstellung ca. 14 Tage. Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten. Das digitale Zertifikat kann auch eingesetzt werden, um Dokumente / Informationen zu verschlüsseln. Mit Public-Key-Infrastruktur (PKI, englisch public key infrastructure) bezeichnet man in der Kryptologie ein System, das digitale Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 16 von 18

17 Wo ist der private Schlüssel gespeichert Zertifikat Zertifikate ausstellen, verteilen und prüfen kann. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet. Die Admin- PKI ist die PKI vom Bund. Die privaten Schlüssel der Signatur- und Authentification- Zertifikate werden auf dem Token selber erzeugt, werden nur dort gespeichert und können bei Verlust nicht wiederhergestellt werden. Der private Schlüssel des Encryption Zertifikates wird von der CA (Zertifikats-Ausstellungsstelle) erzeugt. Eine Kopie bleibt bei der CA sicher verwahrt, und eine Kopie wird auf dem Token gespeichert. Bei Verlust kann dieser private Schlüssel wiederhergestellt werden (Key Recovery). In der Informatik der Nachweis, dass der öffentliche Schlüssel eines asymmetrischen Verschlüsselungs-Verfahrens zu der vorgeblichen Person oder Institution gehört. (siehe Digitales Zertifikat) Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 17 von 18

18 Ansprechstellen Service Desk / Helpdesk DIR/STA: Organisation Telefonnummer Faxnummer STA helpdesk@sta.be.ch VOL helpdesk@vol.be.ch GEF-ZV helpdesk@gef.be.ch JGK und Justice servicedesk@fin.be.ch POM-GS ict-pom@pom.be.ch POM-MIP helpdesk.mip@pom.be.ch POM-SVSA helpdesk.svsa@pom.be.ch POM-FB helpdesk.fb@pom.be.ch POM-BSM helpdesk.bsm@pom.be.che POM-ITK helpdesk@pom.be.ch Police it-kompetenzzentrum@pom.be.ch servicedesk@police.be.ch FIN servicedesk@fin.be.ch ERZ servicedesk@erz.be.ch BVE helpdesk@bve.be.ch Admin-PKI_Flyer_Benutzeranleitung_ATOS.DOCX Seite 18 von 18