Bayerisches Landesamt für Statistik und Datenverarbeitung. Schulungsunterlagen für das Zertifikatsantragsverfahren IDExpert ProACT (zuvor icms)

Transkript

1 Bayerisches Landesamt für Statistik und Datenverarbeitung Schulungsunterlagen für das Zertifikatsantragsverfahren IDExpert ProACT (zuvor icms) t

2 1 ALLGEMEIN Voraussetzung Übersicht AUFGABEN UND TÄTIGKEITEN EINER REGISTRIERUNGSSTELLE Einrichten und Pflegen von neuen Teilnehmern Einrichten eines neuen Teilnehmers Pflege der Daten eines Teilnehmers Abmelden eines Teilnehmers Praktische Übung Einrichten und Pflegen nachgeordneter Behörden Einrichten einer nachgeordneten Behörde Pflege der Daten Nachgeordneter Behörden Praktische Übung Pflege der Registrierungsstellendaten Funktionsstellen Einrichten einer Funktionsstelle mit gleichzeitiger Benennung eines Funktionsstellenverantwortlichen Pflege der Funktionsstellendaten Registrieren und Abmelden von Funktionsstellen-Mitarbeitern Abmelden einer Funktionsstelle Praktische Übung Server Einrichten eines Servers mit gleichzeitiger Benennung eines Serververantwortlichen Pflege der Serverdaten Abmelden eines Servers Praktische Übung ZERTIFIKATSANTRÄGE Zertifikatserstanträge Persönliche Zertifikate Allgemeine Funktionsstellenzertifikate Persönliche Funktionsstellen-Signatur-Zertifikate Server-Zertifikate (SSL-Zertifikate) Praktische Übung Zertifikate anzeigen Zertifikate sperren Aus Sicht der Registrierungsstelle Aus Sicht eines Teilnehmers Praktische Übung LfStaD Version 3 Seite 2 von 65

3 3.4 Zertifikatsverlängerung WEITERE FUNKTIONEN Schlüsselwiederherstellung (Key Recovery) Schlüsselhinterlegung (Key Escrow) SMARTCARDS Allgemeine Informationen Voraussetzungen und Organsiation Überblick Vorgehensweise Produktionsvarianten Kosten Übersicht der Abläufe bei produzierenden / beantragenden RAs Rollenverteilung Smartcard beantragen Erstellen des Arbeitsauftrags als beantragende RA Smartcard personalisieren Auftrag einer beantragenden RA ausführen Personalisierung eigener Aufträge Smartcard reinitialisieren Windows Logon Kartenverlust / Karte sperren LfStaD Version 3 Seite 3 von 65

4 1 Allgemein 1.1 Voraussetzung Damit die Registrierungsstellen Ihrer Arbeit nachgehen können, müssen einige Bedingungen erfüllt sein: Windows-PC mit Behördennetz-Zugang (direkt oder mittels TranSON) angeschlossener funktionsbereiter Drucker Webbrowser: Internet Explorer (Pop-Ups für die Adressen und erlauben) Installation von Adobe Reader (bis Version 5) oder Ghostscript Installation von IDExpert SDK* Für den Einsatz von Zertifikaten auf Smartcards werden ein Kartenlesegerät und eine kostenpflichtige Software, Middleware genannt, benötigt. Als Kartenlesegerät kommt z.b. ein Omnikey 3621 in Frage. Die Middleware funktioniert als Softwarekommunikation zwischen dem Betriebssystem des PC und dem Kartenlesegerät. Zur Verfügung stehen: Charismatics smart security interface Cryptovision scinterface * Die Software IDExpert SDK inklusive Installationsanleitung kann von unserer Webseite (Bay. VerwaltungsPKI Registrierungsstellen Downloads IDExpert SDK) heruntergeladen werden. Hier finden Sie auch aktuelle Informationen. Normale Anwender benötigen nur einen PC mit Behördennetz-Zugang (Betriebssystem: Windows oder Linux). Sie können sowohl mit dem Internet Explorer, als auch mit Mozilla bzw. Firefox arbeiten. LfStaD Version 3 Seite 4 von 65

5 1.2 Übersicht LfStaD Version 3 Seite 5 von 65

6 2 Aufgaben und Tätigkeiten einer Registrierungsstelle 2.1 Einrichten und Pflegen von neuen Teilnehmern Einrichten eines neuen Teilnehmers Jeder Mitarbeiter, der an der PKI teilnehmen möchte, muss zunächst über eine Registrierungsstelle, die bei seiner Behörde eingerichtet ist, registriert werden. Für jeden registrierten Teilnehmer wird ein neuer Benutzer im System angelegt. Abhängig von der gewählten RA- Funktion bekommt der Benutzer unterschiedliche Berechtigungen im System und somit eine andere Ansicht in der Navigationsleiste. Menü: Antragsverwaltung / RA-Verwaltung / Teilnehmer registrieren 1. Persönliche Daten eingeben (Nachname, Telefon, ). An die angegebene -Adresse werden später die beantragten Zertifikate zugesandt. Gleichzeitig dient die Adresse als Benutzername auch zur Anmeldung am System. Bitte beachten Sie die Groß- und Kleinschreibung der Adresse und erfassen Sie sie so, wie sie in Ihrem System eingetragen ist. 2. Dienststellenschlüssel.: Die Behörde zu der der Teilnehmer gehört. Lfd-Nr. der Dienststelle.: Die zur ausgewählten Behörde gehörende Außenstelle. LfStaD Version 3 Seite 6 von 65

7 Registrierungsstelle: Dienststelle, die dieser Behörde zugeordnet ist (Behörden- Dienststelle und Registrierungsstelle können auch identisch sein). RA-Funktion: Funktion des Teilnehmers (z.b. Verantwortlicher, Kunde,...). Diese bestimmt gleichzeitig die Berechtigungen innerhalb des Systems. 3. Autoenrollment. Falls der Teilnehmer in der Lage sein soll, Zertifikate durch einen Autoenrollment- Client zu beziehen, muss die Checkbox aktiviert werden. Zudem ist es erforderlich die Veröffentlichungsstufe auszuwählen. Intern bedeutet dabei eine Zertifikatsveröffentlichung im Behördennetz. Intern + Extern bedeutet eine Veröffentlichung im Behördennetz und im Internet. 4. Ausführen. Ein Benutzer mit der entsprechenden Funktion wird im System angelegt. Ein Registrierungsbrief mit den neuen Login-Daten wird ausgegeben und an den Teilnehmer weitergeleitet. Dieser kann sich nun am System anmelden und die benötigten Zertifikate beantragen. Bei der ersten Anmeldung muss der Benutzer ein neues, nur ihm bekanntes Passwort eingeben. Damit wird das alte, bei der Registrierung automatisch erstellte und zugewiesene Passwort, überschrieben Pflege der Daten eines Teilnehmers Bei Änderungen der Teilnehmerdaten (z.b. Namensänderung) muss sich der Teilnehmer an seine zuständige Registrierungsstelle wenden. Diese pflegt dann die Änderungen an dieser Stelle ein. Menü: Antragsverwaltung / RA-Verwaltung / Teilnehmer bearbeiten 1. Suchen 2. Teilnehmer auswählen 3. Beantragen LfStaD Version 3 Seite 7 von 65

8 4. Gewünschte Änderungen vornehmen. Ändern sich zertifikatsrelevante Daten (z.b. Vorname, Nachname, Titel, , Behörde), werden alle persönlichen Zertifikate des Teilnehmers gesperrt und eine entsprechende Meldung ausgegeben. Dieser muss dann die persönlichen Zertifikate neu beantragen. Ändert sich die RA-Funktion, wird die Benutzerrolle des dazugehörigen Teilnehmers entsprechend aktualisiert. 5. Ausführen Die Änderungen werden hierbei gespeichert. LfStaD Version 3 Seite 8 von 65

9 Zurücksetzen eines Kontopasswortes Menü: Administration / Benutzer und Rollen / Benutzer 1. Abfragetyp auswählen 2. Suchen 3. Neues Passwort Registrierungsbrief mit den neuen Login-Daten wird ausgegeben Weitere Möglichkeit der Passwortänderung Wir bitten darum, bevorzugt die Passwortänderung aus Abschnitt zu verwenden, da dort ein neuer Registrierungsbrief gedruckt wird. Die Registrierungsstelle kennt dabei das neue Passwort des Benutzers nicht, was zu einer erhöhten Sicherheit führt. Bei der Passwortänderung in diesem Abschnitt wird das neue Passwort vom Registrierungsstellenmitarbeiter eingegeben und ist ihm daher bekannt. LfStaD Version 3 Seite 9 von 65

10 Menü: Administration / Benutzer und Rollen / Benutzer 1. Suchen 2. Benutzer auswählen 3. Bearbeiten 4. Option Passwort beim ersten Login eingeben aktivieren. (Der Benutzer wird somit aufgefordert, dass hier zugewiesene Passwort bei der nächsten Anmeldung zu ändern und ein neues nur ihm bekanntes Passwort einzugeben.) 5. Passwort eingeben und dieses noch einmal bestätigen 6. Speichern LfStaD Version 3 Seite 10 von 65

11 2.1.3 Abmelden eines Teilnehmers Mögliche Auslöser: Teilnehmer möchte keine Zertifikate mehr. Teilnehmer scheidet aus dem Dienst aus. Die Registrierungsstelle, über die der Teilnehmer registriert wurde, wird aufgelöst. Menü: Antragsverwaltung / RA-Verwaltung / Teilnehmer abmelden 1. Suchen 2. Teilnehmer auswählen 3. Beantragen Übersicht der Personendaten sowie aktuell verknüpfter Server und Funktionen. LfStaD Version 3 Seite 11 von 65

12 Durch Aktivieren der Option Übernahme Server durch anderen Teilnehmer kann für den registrierten Server ein neuer Verantwortlicher aus der selben Registrierungsstelle bestimmt werden. Durch Aktivieren der Option Übernahme Funktionsstelle durch anderen Teilnehmer kann für die Funktion ein neuer Verantwortlicher aus der selben Registrierungsstelle bestimmt werden. 4. Ausführen Praktische Übung Alle praktischen Übungen machen wir in einer Testumgebung. Zugriff auf diese Umgebung haben Sie nur während dieser Schulung, danach nicht mehr. Bitte nutzen Sie die Zeit, um das System kennen zu lernen. Für Fragen steht Ihnen der Dozent gern zur Verfügung. - Melden Sie sich mit Ihrer Kennung, die Sie in dem Registrierungsbrief erhalten haben, an. Sie sind damit RA Verantwortlicher Ihrer Registrierungsstelle (RA). - Registrieren Sie einen neuen Teilnehmer mit der Funktion RA Mitarbeiter. - Ändern Sie die Daten des Teilnehmers. - Sie können zusätzlich noch weitere Teilnehmer, z.b. Kunden anlegen, bearbeiten und abmelden. LfStaD Version 3 Seite 12 von 65

13 2.2 Einrichten und Pflegen nachgeordneter Behörden Einrichten einer nachgeordneten Behörde Eine Behörde kann nur neu angelegt werden, wenn sie einer bereits registrierten Registrierungsstelle zugewiesen wird. Die Behörde kann nur der eigenen Registrierungsstelle zugewiesen werden. Behörden müssen eindeutig sein, überprüft wird die Kombination aus Dienststellenschlüssel. und Lfd-Nr. der Dienststelle. LfStaD Version 3 Seite 13 von 65

14 Menü: Stammdatenverwaltung / Datenstamm bearbeiten / Behörden 1. Neu 2. Dateneingabe 3. Speichern Pflege der Daten Nachgeordneter Behörden Für eine bereits registrierte Behörde können nachträglich die Daten bearbeitet werden. LfStaD Version 3 Seite 14 von 65

15 Menü: Stammdatenverwaltung / Datenstamm bearbeiten / Behörden 1. Suchen 2. Behörde auswählen 3. Bearbeiten 4. Behördendaten ändern (Die Daten im Bereich Registrierungsstelle können nicht geändert werden.) 5. Speichern Praktische Übung - Legen Sie eine neue Behörde an. - Ändern Sie die Postanschrift der Behörde. LfStaD Version 3 Seite 15 von 65

16 2.3 Pflege der Registrierungsstellendaten Menü: Stammdatenverwaltung / Datenstamm bearbeiten / Registrierungsstellen 1. Suchen 2. Dienststelle auswählen. 3. Bearbeiten Zusätzlich zu den Dienststellendaten, werden alle zur ausgewählten Dienststelle zugehörigen Mitarbeiter angezeigt. 4. Registrierungsstellendaten bei Bedarf ändern. 5. Speichern LfStaD Version 3 Seite 16 von 65

17 2.4 Funktionsstellen Einrichten einer Funktionsstelle mit gleichzeitiger Benennung eines Funktionsstellenverantwortlichen Eine Funktionsstelle koordiniert innerhalb der Behörde bestimmte Aktivitäten. Sie besitzt i.a. eine eigene Adresse, die von mehreren Mitarbeitern genutzt werden kann. Auch für Funktionsstellen können Zertifikate beantragt werden. Für jedes Zertifikat einer Funktionsstelle muss ein Verantwortlicher benannt werden. Dieser muss bereits als Teilnehmer registriert sein. Er kann dann für die Funktion Zertifikate beantragen. Ein Teilnehmer kann für mehrere Funktionsstellen verantwortlich sein. Menü: Antragsverwaltung / RA-Verwaltung / Funktionsstelle registrieren 1. Suchen 2. Teilnehmer auswählen (= Verantwortlicher der Funktionsstelle) 3. Beantragen 4. Bezeichnung und -Adresse der Funktionsstelle eingeben. Das Behördenkürzel wird bei der Zertifkatsveröffentlichung automatisch angefügt. Es genügt also wenn Sie hier nur die Bezeichnung der Funktionsstelle, z.b. Poststelle angeben. 5. Ausführen Pflege der Funktionsstellendaten Jede neu registrierte Funktionsstelle wird zusätzlich in der Stammdatenverwaltung gespeichert und kann hier bearbeitet werden. LfStaD Version 3 Seite 17 von 65

18 Neben dem Funktionsstellenverantwortlichen kann auch der Typ des zugehörigen Signaturzertifikats geändert werden. Menü: Stammdatenverwaltung / Datenstamm bearbeiten / Funktionsstellen 6. Suchen 7. Funktionsstelle auswählen. 8. Bearbeiten 9. Funktionsstellendaten bei Bedarf ändern. Es dürfen nur die Werte für die Felder: - Verantwortlicher und - Anmerkung geändert werden. Ändert sich die Adresse oder Bezeichnung der Funktionsstelle, so muß diese Funktionsstelle abgemeldet und eine neue Funktionsstelle registriert werden. 10. Typ des Signaturzertifikats bei Bedarf ändern LfStaD Version 3 Seite 18 von 65

19 Für eine Funktionsstelle können zwei Arten von Signaturzertifikaten konfiguriert werden: Allgemeine Signaturzertifikate Von allen Funktionsmitarbeitern gemeinsam benutztes Signaturzertifikat einer Funktionsstelle, welches nur der Funktionsverantwortliche beantragen kann. Darin sind keinerlei persönliche Informationen enthalten, sondern der Name und die E- Mail-Adresse der Funktionsstelle. Persönliches Signaturzertifikate Personengebundenes Signaturzertifikat einer Funktionsstelle; darin ist der Name des Funktionsmitarbeiters und die -Adresse der Funktionsstelle hinterlegt; Vorteil hierbei ist, dass eine Empfänger einer signierten sehen kann, welcher Mitarbeiter die Nachricht signiert hat. 11. Speichern Geänderte Daten werden übernommen und, falls der Signaturzertifikatstyp geändert wurde, werden alle für diese Funktionsstelle ausgestellten Zertifikate gesperrt. LfStaD Version 3 Seite 19 von 65

20 2.4.3 Registrieren und Abmelden von Funktionsstellen-Mitarbeitern Der Funktionsstellen-Verantwortliche kann seinen Funktionsstellen neue Funktionsstellen- Mitarbeiter zuweisen Persönliche Signaturzertifikate für Mitarbeiter einer Funktionsstelle Voraussetzung: Die Funktionsstellen haben den Signaturzertifikatstyp Persönliche Signaturzertifikate. Menü: Antragsverwaltung / RA-Verwaltung / Fst.-Mitarbeiter bearbeiten 1. Suchen 2. Funktionsstelle auswählen (zur Auswahl stehen nur Funktionsstellen für die der aktuelle Benutzer verantwortlich ist) 3. Beantragen 4. Teilnehmer zuweisen (bzw. bei Bedarf Teilnehmer abmelden) Bei der Abmeldung werden dessen Funktionsstellen Signaturzertifikate (Fst.- Signatur-Zertifikate) nach dem Speichern automatisch gesperrt. 5. Teilnehmer auswählen 6. Zuweisen LfStaD Version 3 Seite 20 von 65

21 7. Speichern Funktionsstellenzertifikate auf einer Smartcard Menü: Antragsverwaltung / RA-Verwaltung / Fst.-Mitarbeiter (SC) bearbeiten 1. Suchen 2. Funktionsstelle auswählen (zur Auswahl stehen nur Funktionsstellen für die der aktuelle Benutzer verantwortlich ist) 3. Beantragen 4. Teilnehmer zuweisen (bzw. bei Bedarf Teilnehmer abmelden) Dadurch wird der Teilnehmer berechtigt, Zertifikate dieser Funktionsstelle auf seiner Smartcard zu beantragen. 5. Teilnehmer auswählen 6. Zuweisen 7. Speichern LfStaD Version 3 Seite 21 von 65

22 2.4.4 Abmelden einer Funktionsstelle Mögliche Auslöser: Die Funktion wurde aufgelöst Die Funktion soll umbenannt werden; dazu muss die alte Funktion mit dem alten Namen gelöscht und eine Funktion mit dem neuen Namen angelegt werden. Die -Adresse der Funktion wird geändert; dazu muss die alte Funktion mit der alten Adresse gelöscht und eine Funktion mit der neuen Adresse angelegt werden. Die Registrierungsstelle, über die die Funktion registriert wurde, wird aufgelöst. Menü: Antragsverwaltung / RA-Verwaltung / Funktionsstelle abmelden 1. Suchen 2. Funktionsstelle auswählen 3. Beantragen 4. Ausführen. Die Funktionsstelle wird mit allen zugehörigen Funktionsstellen-Zertifikaten gelöscht Praktische Übung - Registrieren Sie eine neue Funktionsstelle mit Ihnen als Verantwortlicher, z.b. die Funktion Registrierungsstelle. - Ändern Sie den Typ des Signaturzertifikats der Funktionsstelle auf "Persönliche Signaturzertifikate" - Registrieren Sie sich und einen weiteren Teilnehmer (z.b. RA Mitarbeiter aus Punkt 2.1.4) als Funktionsstellenmitarbeiter. LfStaD Version 3 Seite 22 von 65

23 2.5 Server Einrichten eines Servers mit gleichzeitiger Benennung eines Serververantwortlichen Um ein Server-Zertifikat zu beantragen, muss der entsprechende Server zunächst registriert und ein Verantwortlicher dafür benannt werden. Dieser muss bereits als Teilnehmer registriert sein. Als Verantwortlicher für ein Server-Zertifikat erhält dieser dann die Möglichkeit Zertifikate für seinen Server zu beantragen. Menü: Antragsverwaltung / RA-Verwaltung / Server registrieren 1. Suchen 2. Teilnehmer auswählen 3. Beantragen 4. DNS-Namen des Servers eingeben 5. Ausführen LfStaD Version 3 Seite 23 von 65

24 2.5.2 Pflege der Serverdaten Menü: Stammdatenverwaltung / Datenstamm bearbeiten / Server 1. Suchen 2. Server auswählen 3. Bearbeiten 4. Serverdaten bei Bedarf ändern. Es dürfen nur die Werte für die Felder: - Verantwortlicher und - Anmerkung geändert werden. Ändert sich die DNS-Bezeichnung des Servers, so muß dieser Server abgemeldet und eine neuer Server registriert werden. 5. Speichern Abmelden eines Servers Mögliche Auslöser: Der Server wurde abgeschaltet oder umfunktioniert Der DNS-Name des Servers soll geändert werden; dazu muss der Server mit dem alten Namen gelöscht und ein Server mit dem neuen Namen angelegt werden. Die Registrierungsstelle, über die der Server registriert wurde, wird aufgelöst. Menü: Antragsverwaltung / RA-Verwaltung / Server abmelden 1. Suchen 2. Server auswählen 3. Beantragen LfStaD Version 3 Seite 24 von 65

25 4. Ausführen Der Server wird abgemeldet und das dazugehörige Server-Zertifikat gesperrt Praktische Übung - Registrieren Sie mind. einen neuen Server. - Ändern Sie ggf. den Serververantwortlichen, sodass Sie der Serververantwortliche sind. - Melden Sie den Server vom System ab. LfStaD Version 3 Seite 25 von 65

26 3 Zertifikatsanträge 3.1 Zertifikatserstanträge Folgende Zertifikate stehen zur Verfügung: Persönliche Zertifikate Funktionsstellen-Zertifikate persönliche Funktionsstellen-Signatur-Zertifikate Server-Zertifikate Werden Zertifikate für einen Server oder eine Funktionsstelle benötigt, ist dafür ein Verantwortlicher zu benennen. Dieser muss als Teilnehmer bereits registriert sein. Für Persönliche und für allgemeine Funktionsstellen-Zertifikate können drei unterschiedliche Zertifikatstypen beantragt werden. Voraussetzung für die Beantragung eines Funktionsstellen-Signaturzertifikats: Für die Funktionsstelle wurden allgemeine Signaturzertifikate konfiguriert. Jeder Teilnehmer erhält nach seinem Antrag eine Auftragsnummer. Werden von einem Teilnehmer in einem Antrag mehrere Zertifikatstypen gleichzeitig beantragt, wird ebenfalls nur eine Auftragsnummer vergeben. Bereits beantragte Zertifikatstypen stehen nicht mehr zur Auswahl. Unmittelbar nach der Beantragung erhält der Antragsteller eine entsprechende , die die privaten Schlüsseldatei und die Information enthält, dass die Transport-PIN bereit liegt, mit der das Zertifikat importiert werden kann. -Benachrichtigung: LfStaD Version 3 Seite 26 von 65

27 Diese Transport-PIN finden Sie im Menü Antragsverwaltung / Zertifikate anzeigen unter der Spalte PIN. Die Sichtbarkeit der PIN ist nach deren Abruf auf 24 Stunden beschränkt. Danach wird sie unwiederbringlich aus dem System gelöscht. 6 Wochen vor Ablauf der Gültigkeit eines Zertifikats (pers. Zertifikate, Funktionsstellen- Zertifikate oder Server-Zertifikate die über ein Formular beantragt wurden) erzeugt das System automatisch einen Antrag zur Zertifikatsverlängerung. Dieser erscheint dann zur weiteren Bearbeitung unter dem Menü Antragsverwaltung / ToDo s. Wird dieser aus der Liste entfernt, ist gleichzeitig der Antrag zur Zertifikatsverlängerung gelöscht. Wird nichts unternommen und der Antrag bleibt in der Liste, wird 7 Tage vor Ablauf des Zertifikats automatisch ein neues Zertifikat beantragt. LfStaD Version 3 Seite 27 von 65

28 3.1.1 Persönliche Zertifikate Persönliche Zertifikate können durch den Teilnehmer (TN) oder die zuständige Registrierungsstelle (RA) beantragt werden. Hinweis: Die Beantragung durch die Registrierungsstelle sollte nur dann erfolgen, wenn der Teilnehmer selbst keine Möglichkeit hat auf das Zertifikatsverwaltungssystem zuzugreifen. In diesem Fall wird im Anschluss an die Zertifikatsbeantragung die Transport PIN als Brief von der Wurzel-Registrierungsstelle verschickt. Menü: Antragsverwaltung / Persönliche Zertifikate beantragen / Persönliche Zertifikate 1. Abfrage auswählen (TN) Abfragetyp: Persönliche Daten RA-Teilnehmer (RA) Abfragetyp: RA Teilnehmer 2. Suchen 3. (TN) Eigenen Datensatz auswählen (RA) Teilnehmerdatensatz auswählen 4. Beantragen 5. Zertifikatstyp(en) auswählen. Art der Veröffentlichung (Intern bzw. Intern + Extern) angeben. Der Gültigkeitszeitraum von drei Jahren ist fest vorgegeben. 6. Ausführen LfStaD Version 3 Seite 28 von 65

29 Das Zertifikat wird beantragt und eine Auftragsnummer dafür vergeben. Das Zertifikat und privater Schlüssel werden anschließend per an den Teilnehmer verschickt. LfStaD Version 3 Seite 29 von 65

30 3.1.2 Allgemeine Funktionsstellenzertifikate Funktionsstellen-Zertifikate können nur in Abhängigkeit einer bestimmten Funktionsstelle beantragt werden. Sie können durch den Funktionsstellenverantwortlichen (FV) oder die zuständige Registrierungsstelle (RA) beantragt werden. Hinweis: Die Beantragung durch die Registrierungsstelle sollte nur dann erfolgen, wenn der Funktionsstellenverantwortliche selbst keine Möglichkeit hat auf das Zertifikatsverwaltungssystem zuzugreifen. In diesem Fall wird im Anschluss an die Zertifikatsbeantragung die Transport PIN als Brief von der Wurzel-Registrierungsstelle verschickt. Menü: Antragsverwaltung / Funktionsstellen-Zertifikate beantragen / Funktionsstellen- Zertifikate 1. Abfrage auswählen (FV) Abfragetyp: Persönliche Daten RA-Teilnehmer (RA) Abfragetyp: RA Teilnehmer 2. Suchen 3. (FV) Eigenen Datensatz auswählen (RA) Teilnehmerdatensatz auswählen LfStaD Version 3 Seite 30 von 65

31 4. Beantragen 5. Zertifikatstyp(en) auswählen. Art der Veröffentlichung (Intern bzw. Intern + Extern) angeben. Der Gültigkeitszeitraum von drei Jahren ist fest vorgegeben. 6. Ausführen Das Zertifikat wird beantragt und eine Auftragsnummer dafür vergeben. Das Zertifikat und privater Schlüssel werden anschließend per an den Zertifikatsverantwortlichen verschickt. LfStaD Version 3 Seite 31 von 65

32 3.1.3 Persönliche Funktionsstellen-Signatur-Zertifikate Pers. Funktionsstellen-Signatur-Zertifikate können nur durch den Funktionsstellenmitarbeiter selbst beantragt werden. Bedingung: 1. Funktionsstelle besitzt den aktuellen Signaturzertifikatstyp Persönliche Signaturzertifikate (siehe Kapitel 2.4.2). 2. Benutzer ist bereits bei dieser Funktionsstelle als Mitarbeiter registriert. (siehe Kapitel 2.4.3) Menü: Antragsverwaltung / Funktionsstellen-Zertifikate beantragen / Pers. Fst.-Sign.- Zertifikat 1. Suchen 2. Eigenen Datensatz auswählen 3. Beantragen 4. Ausführen Das Zertifikat und privater Schlüssel werden anschließend per an den Zertifikatsverantwortlichen verschickt. LfStaD Version 3 Seite 32 von 65

33 3.1.4 Server-Zertifikate (SSL-Zertifikate) Ein Server-Zertifikat kann nur für Server ausgestellt werden, die bereits registriert wurden. Eine Übersicht aller registrierten Server finden Sie in der Stammdatenverwaltung unter dem Menü Stammdatenverwaltung / Server. Die Registrierung des Servers ist Aufgabe der RA Mitarbeiter und wurde im entsprechenden Kapitel behandelt. Menü: Antragsverwaltung / Server-Zertifikate beantragen / SSL-Zertifikate 1. Suchen 2. Verantwortlichen auswählen 3. Beantragen 4. Ein Serverzertifikat können Sie auf folgende Weise erstellen: als Formularantrag: unter Angabe des DNS-Namen des Servers. Optional ist es möglich weitere URLs oder IP Adressen im Feld SAN-Einträge anzugeben. Die einzelnen Einträge müssen mittels Semikolon voneinander getrennt werden. Der private Schlüssel wird durch CA/Zertifizierungsstelle/Trustcenter erstellt und per an den Verantwortlichen verschickt. als P10-Antrag: Der Zertifikatsantrag erfolgt in diesem Fall über eine PKCS#10-Datei die über den Button Antrag einlesen hochgeladen werden kann. Der private Schlüssel wird auf dem Server erzeugt und dort abgelegt. Zusätzlich wird eine Datei erzeugt, die einen PKCS#10-Request enthält. Diese Request-Datei muss dem Zertifikatsantrag beigelegt werden. Anders als bei einem Formularantrag, wird nach Ablauf der Gültigkeit des Zertifikats kein Antrag zur automatischen Zertifikatsverlängerung angestoßen. 5. Der Gültigkeitszeitraum von einem Jahr ist fest vorgegeben. 6. Ausführen Das Zertifikat wird beantragt und eine Auftragsnummer dafür vergeben. Das Zertifikat und beim Formularantrag auch der private Schlüssel werden anschließend per an den Zertifikatsverantwortlichen verschickt. LfStaD Version 3 Seite 33 von 65

34 3.1.5 Praktische Übung - Beantragen Sie für sich ein persönliches Zertifikat, z.b. o S/MIME Verschlüsselungszertifikat o S/MIME Signaturzertifikat o SSL-Clientauthentisierung - Beantragen Sie für die in Punkt angelegte Funktionsstelle Zertifikate: o Allgemeines Verschlüsselungszertifikat o Persönliches Signaturzertifikat - Beantragen Sie für den in Punkt angelegten Server ein Serverzertifikat. LfStaD Version 3 Seite 34 von 65

35 3.2 Zertifikate anzeigen Menü: Antragsverwaltung / Zertifikate anzeigen 1. Abfragetyp Persönliche Daten RA-Teilnehmer wählen. Abhängig davon werden nur die für diesen Typ angeforderten Zertifikate angezeigt. 2. Suchen 3. Teilnehmer auswählen. 4. Beantragen Eine Übersicht aller verfügbaren Zertifikate wird angezeigt. Bereich Besitzer : Hier steht eine Zusammenfassung Ihrer Personendaten LfStaD Version 3 Seite 35 von 65

36 Bereich Filter : Hier können Sie die angezeigten Zertifikate einschränken und somit z.b. nur gültige Zertifikate anzeigen. Bereich Eigene Zertifikate : Hier sehen Sie alle persönlichen Zertifikate, die Sie jemals beantragt haben. Dazu gehören auch Persönliche Funktionsstellen-Signatur-Zertifikate. Bereich Verantwortlich für Zertifikate : Hier sehen Sie alle Zertifikate, für die Sie verantwortlich sind. Dazu gehören Allgemeine Funktionsstellenzertifikate und Serverzertifikate. In der Überschriftenzeile befindet sich in jeder Spalte am rechten Rand ein kleines Quadrat. Wenn Sie auf dieses Quadrat klicken, können Sie die Ansicht nach der entsprechenden Spalte sortieren lassen. Um die Sichtbarkeit eines zertifikatsbezogenen Transport PINs (zertifikatsbezogene Transport PINs sind 24 Stunden nach deren Einsicht nicht mehr sichtbar) zu verlängern, kann über den Button PIN verlängern der gewünschte Zeitraum der Sichtbarkeit (max. 14 Tage) angegeben werden. LfStaD Version 3 Seite 36 von 65

37 3.3 Zertifikate sperren Aus Sicht der Registrierungsstelle Menü: Antragsverwaltung / Zertifikate anzeigen 1. Abfragetyp Persönliche Daten RA-Teilnehmer wählen. 2. Suchen 3. Teilnehmer auswählen. (In diesem Fall handelt es sich immer um den persönlichen Datensatz.) 4. Beantragen Eine Übersicht aller verfügbaren Zertifikate wird angezeigt. 5. Zu sperrendes Zertifikat auswählen 6. Sperren LfStaD Version 3 Seite 37 von 65

38 3.3.2 Aus Sicht eines Teilnehmers Menü: Antragsverwaltung / Zertifikate anzeigen 1. Abfragetyp Persönliche Daten RA-Teilnehmer wählen. 2. Suchen 3. Eigenen Datensatz auswählen 4. Beantragen Eine Übersicht aller verfügbaren Zertifikate wird angezeigt. 5. Zu sperrendes Zertifikat auswählen 6. Sperren Es wird nach dem Sperrpasswort gefragt, dass beim Registrieren des Teilnehmers generiert wurde und auf dem Registrierungsbrief steht Praktische Übung - Sperren Sie mind. ein Zertifikat, welches Sie im Punkt beantragt haben. LfStaD Version 3 Seite 38 von 65

39 3.4 Zertifikatsverlängerung Der ToDo-Bereich verschafft Ihnen einen Überblick über alle von Ihnen bearbeiteten Anträge und zeigt deren aktuellen Bearbeitungsstatus an. Anträge im Status Erfassung sind noch nicht abgeschlossen. Diese Anträge können an dieser Stelle noch einmal bearbeitet und danach abgeschlossen werden. Außerdem kann der Prozess der Zertifikatsverlängerung unterbrochen werden, da 6 Wochen vor Ablauf des Zertifikats automatisch ein Antrag auf ein neues Zertifikat gestellt wird. Der Antrag ist dann an dieser Stelle einsehbar und kann gelöscht werden ( Zertifikatsverlängerung wurde dann unterbrochen). Wird nichts unternommen, wird automatisch 7 Tage vor Ablauf des Zertifikats ein neues Zertifikat beantragt und per verschickt. Bei einer Zertifikatsverlängerung wird auf Basis der alten Daten ein neues Schlüssel- bzw. Zertifikatspaar erstellt. 6 Wochen vor Ablauf des alten Zertifikates verschickt das System eine an den Teilnehmer, um ihn darauf hinzuweisen, dass sein Zertifikat demnächst abläuft und automatisch verlängert wird. Dieser sollte seine Daten in der Stammdatenverwaltung überprüfen und sich bei Veränderungen an seine zuständige Registrierungsstelle wenden, damit diese die Daten anpasst. (Änderungen sollten spätestens 8 Tage vor Ablauf des alten Zertifikates bekannt sein, um eine korrekte Zertifikatserstellung zu gewährleisten.) Wünscht der Teilnehmer keine Zertifikatsverlängerung, so kann der Zertifikatsantrag im To- Do-Bereich gelöscht werden. Dies sollte ebenfalls spätestens 8 Tage vor Ablauf des alten Zertifikats geschehen. Unternimmt der Teilnehmer nichts, so erzeugt das System automatisch einen Antrag zur Zertifikatsverlängerung mit dem aktuellen Status Genehmigt. Diese wird dann automatisch ca. 7 Tage vor Ablauf des alten Zertifikates durchgeführt. LfStaD Version 3 Seite 39 von 65

40 4 Weitere Funktionen 4.1 Schlüsselwiederherstellung (Key Recovery) Die Schlüsselspeicherung (Key Backup) dient der erneuten Versandmöglichkeit der privaten Schlüssel, falls Sie das Schlüsselpaar verloren haben, es aber zur Entschlüsselung älterer Nachrichten weiter benötigen. Eine Wiederherstellung des Schlüssels (Key Recovery) kann nur durchgeführt werden, wenn der private Schlüssel gesichert wurde. Da ein Signaturschlüssel nicht gespeichert werden darf, kann dieser auch nicht wieder ausgeliefert werden. Daher müssen Sie im Falle eines Verlustes das alte Zertifikat sperren und ein neues Zertifikat beantragen. Eine Schlüsselwiederherstellung wird vom Besitzer des privaten Schlüssels angestoßen. Die Registrierungsstelle wird hierzu nicht benötigt. Menü: Antragsverwaltung / Schlüsselwiederherstellung / Schlüsselwiederherstellung 1. Suchen Damit wird automatisch der eigene Datensatz aus der Datenbank gefiltert. 2. Beantragen 3. Zertifikat auswählen, dass wiederhergestellt werden soll. LfStaD Version 3 Seite 40 von 65

41 4. Ausführen Das Zertifikat wird beantragt und eine Auftragsnummer dafür vergeben. Das Zertifikat wird anschließend per an den verantwortlichen Teilnehmer verschickt. LfStaD Version 3 Seite 41 von 65

42 4.2 Schlüsselhinterlegung (Key Escrow) Die Schlüsselhinterlegung ermöglicht den Versand eines Schlüssels an einen Vorgesetzten eines Teilnehmers, der beispielsweise aus dem Dienst ausscheidet. Um dessen verschlüsselte Dokumente dennoch öffnen zu können kann der Vorgesetzte ein Key Escrow durchführen lassen und mit einem neuen Schlüssel auf die Dokumente zugreifen. Bevor eine Registrierungsstelle ein Key Escrow durchführt, muss sie sich von der Rechtmäßigkeit der Anfrage überzeugen, z.b. ist der Antragsteller wirklich der Vorgesetzte. Menü: Administration / Benutzer und Rollen / Benutzer 1. Abfragetyp auswählen 2. Suchen 3. Teilnehmer auswählen, der den persönlichen Schlüssel abrufen darf. 4. Bearbeiten 5. Rolle Key Escrow zuweisen 6. Registerkarte Organisation Teilnehmer angeben für Key Escrow (von ihm kommt der pers. Schlüssel). LfStaD Version 3 Seite 42 von 65

43 7. Speichern Der ausgewählte Teilnehmer kann nun über den Menüpunkt Schlüsselhinterlegung den Schlüssel abrufen. LfStaD Version 3 Seite 43 von 65

44 5 Smartcards 5.1 Allgemeine Informationen Seit dem 4. Quartal 2009 ist es möglich, Zertifikate für Signatur, Verschlüsselung, Authentifizierung und für Funktionsstellen auf sogenannten Smartcards zu beantragen. Der Vorteil hierbei ist, dass die Zertifikate nur mit der Smartcard und der nur dem Inhaber bekannten persönlichen Identifikations Nummer (PIN) eingesetzt werden können. Diese Vorgehensweise stellt einen deutlichen Sicherheitsgewinn gegenüber dem Einsatz der Zertifikate auf reiner Softwarebasis dar. Softwarezertifikate verfügen über keinerlei Kopierschutz, so dass hier eine höhere Gefahr des Missbrauchs im Vergleich zum Einsatz von Smartcards gegeben ist. Einen weiteren Vorteil bietet die Win-Logon Funktion, d.h. Sie können sich mittels Smartcard an einem Windows Rechner bzw. einer Windows Domäne anmelden Voraussetzungen und Organsiation Organisatorisch gibt es einige Änderungen bei der Beantragung von Smartcards. Der Mitarbeiter einer Behörde beantragt die Smartcard im IDExpert ProACT nicht selbst, sondern er wendet sich an die zuständige Registrierungsstelle. Die Registrierungsstellen wiederum unterscheidet man zwischen einer nur beantragenden Registrierungsstelle und einer Beantragenden und Produzierenden. Letztere ist in der Lage, einen kompletten Smartcard Antrag abzuwickeln. Der Durchlauf ist Folgender: Beantragung einer Smartcard für einen Mitarbeiter einer Behörde. Personalisieren dieser Smartcard, d.h. die Zertifikate werden auf der Smartcard erstellt. Die kodierte Smartcard wird anschließend automatisch bedruckt und ausgegeben. Der nur für den Mitarbeiter bestimmte PIN- und PUK-Brief wird auf dem Drucker ausgegeben. Eine nicht produzierende Registrierungsstelle erstellt einen Smartcard Antrag für den Mitarbeiter einer Behörde. Eine zuvor festgelegte produzierende Registrierungsstelle bearbeitet den Antrag und führt die Personalisierung der Karte und den Druck der Karte aus. Diese wird dann auf herkömmlichen Weg an die Antrag stellende Behörde übermittelt. Bereits bestehende Softtoken Zertifikate verlieren ihre Gültigkeit nach 7 Tagen, nachdem eine Smartcard korrekt kodiert und bedruckt wurde. LfStaD Version 3 Seite 44 von 65

45 5.2 Überblick Vorgehensweise Wie ist die Vorgehensweise, wenn eine RA für ihre Mitarbeiter Zertifikate auf Smartcards erhalten möchte? RA Stammdaten anpassen Unter Stammdatenverwaltung Datenstamm bearbeiten Registrierungsstellen (siehe Screenshot) wird die entsprechende Registrierungsstelle ausgewählt. Dort wird der Registrierungsstellen-Typ festgelegt, d.h. ob es sich um eine produzierende oder beauftragende Registrierungsstelle handelt. Einer beauftragenden RA wird dann noch die produzierende RA im Auswahlfeld zugewiesen. Behörden Stammdaten anpassen Unter Stammdatenverwaltung Datenstamm bearbeiten Registrierungsstellen wird die entsprechende Behörde ausgewählt und es werden die Einstellungen für die Standard Chip Größe der Smartcard und die Middleware, die zum Einsatz kommt, festgelegt. LfStaD Version 3 Seite 45 von 65

46 Kontakt zum PKI Support aufnehmen, z.b. über die Adresse: Der PKI Support benötigt folgende Informationen: 1. Welche Behörde möchte Smartcards beantragen bzw. beantragen und produzieren? 2. Wird die Smartcard bedruckt (mit oder ohne Foto)? Ist ein Layout vorhanden? Welche Behörde bekommt welches Layout? Diese Information ist notwendig um der Behörde eine Ausweisvorlage zuordnen zu können. Bestandteil einer Ausweisvorlage kann sein: o Kodierung des Kryptochips o Layout für die Vorderseite der Smartcard o Layout für die Rückseite der Smartcard 3. Für den Fall, dass ein Zertifikat auf der Smartcard für die Windows Domänenanmeldung (Win Logon) genutzt werden soll, benötigt der PKI-Support eine Kennung, die berechtigt ist, User Objekte auszulesen, sowie den entsprechenden Servernamen des LDAP Servers (z.b. Domänencontroller), um den Active Directory Connector zu konfigurieren. 4. Im Fall einer beantragenden RA wird die Information benötigt, ob die produzierten Smartcards an eine Lieferanschrift anstelle der Behördenanschrift versendet werden sollen. LfStaD Version 3 Seite 46 von 65

47 5.2.2 Produktionsvarianten Variante 1: Kodierung des Chips Variante 2: Variante 1 mit optischer Personalisierung Mustermann LfStaD LfStaD Version 3 Seite 47 von 65

48 Variante 3: Variante 2 mit Bild Kosten Die Kosten für die Registrierungsstelle hängen von der gewählten Produktionsvariante (siehe 5.2.2) ab. Die erweiterte Software Lizenz für das IDExpert SDK (Ansteuerung Kartendrucker, Fotokamera etc.) für die in die Produktion einbezogenen Registrierungsstellen-Arbeitsplätze können über das LfStaD erworben werden. Dabei wird zwischen folgenden Lizenzmodellen unterschieden: 1. Ansteuern eines Druckers für den Papierausdruck (kostenlos) 2. Wie 1. - zusätzlich Ansteuern eines Kodierungsmoduls (normaler Kartenleser) zur Initialisierung und zum Beschreiben des Chips auf der Smartcard 3. Wie 2. - zusätzlich ist es möglich Bilder (Livebildkamera, Datei) oder Unterschriften (Unterschriftentablet, Datei) in den Smartcard Antrag aufzunehmen und auf die Smartcard drucken zu lassen Für eventuell notwendige Hardware (Kartendrucker, Fotokamera etc.) ist die Kompatibilitätsliste der Firma VPS bezüglich deren IDExpert SDK zu beachten. Die Endbenutzerausstattung (Smartcard, Kartenleser, Middleware) kann über Rahmenverträge des StMF mit den Firmen IDPendant und Charismatics sowie direkt über das LfStaD im Rahmen des SmartCard-Produktionszentrums bezogen werden. LfStaD Version 3 Seite 48 von 65

49 5.2.4 Übersicht der Abläufe bei produzierenden / beantragenden RAs Produzierende RA Beantragende RA Smartcard Antrag Smartcard Antrag Smartcard personalisieren Personalisierungsauftrag erstellen Personalisierungsauftrag wird durch produzierende RA bearbeitet LfStaD Version 3 Seite 49 von 65

50 5.3 Rollenverteilung Für die Smartcard Beantragung wurden 2 neue Rollen geschaffen: 1. RA Verantwortlicher Produktion 2. RA Mitarbeiter Produktion Wenn Sie einen Teilnehmer neu registrieren oder bearbeiten werden Sie bei dessen Zuweisung der RA-Funktion zwei neue Rollen sehen: Diese beiden Rollen werden benötigt, wenn bei Ihnen vor Ort Smartcards gedruckt werden. Aufgabe Registrierungsstelle ohne eigenen Smartcard-Drucker Registrierungsstelle mit eigenem Smartcard-Drucker Verantwortlicher der Registrierungsstelle RA Verantwortlicher RA Verantwortlicher Produktion Mitarbeiter der Registrierungsstelle RA Mitarbeiter RA Mitarbeiter Produktion LfStaD Version 3 Seite 50 von 65

51 5.4 Smartcard beantragen Ein Klick auf den Auswahlpunkt Smartcard beantragen, zeigt Ihnen ein Fenster, in welchem Sie auswählen können, ob Sie für sich persönlich eine Smartcard beantragen wollen oder für einen aktiven Teilnehmer einer Registrierungsstelle (Abfragetyp RA Teilnehmer ). Nach entsprechender Auswahl erscheint das Fenster, in welchem Sie ein Foto aufnehmen und Zertifikats- bzw. Ausweisdaten eingeben können. Erscheint eine Adresse im Feld User Principal Name (UPN), so ist es möglich, die Smartcard zur Anmeldung an einer Windows Domäne (Win-Logon) einzusetzen. Zertifikats- / Ausweisdaten: Gültig von und Gültig bis sind Felder, deren Inhalt beim optischen Bedrucken der Smartcard Verwendung finden können. Sie haben keine technische Relevanz. Mit Chip-Größe wählen Sie aus, über wie viel Speicherplatz der Smartcardchip verfügt. Das Feld Middleware gibt an, mit welcher Software der PC mit dem angeschlossenen Kartenleser kommuniziert. Zur Verfügung stehen hier Charismatics smart securi- LfStaD Version 3 Seite 51 von 65

52 ty interface, und Cryptovision cv/act scinterface. Diese Software muss unabhängig von IDExpert ProACT auf dem PC installiert sein. Die Ausweisnummer kann optisch auf die Smartcard gedruckt werden und wird z.b. bei der Verwendung als Dienstausweis benötigt. Das Feld hat keine technische Relevanz. Unter Veröffentlichung wird genau wie bei Software-Zertifikaten ausgewählt, ob das Verschlüsselungszertifikat nur im Behördennetz (Intern) oder im Behödennetz und im Internet (Intern+Extern) veröffentlicht wird. Der Gültigkeitszeitraum der Zertifikate beträgt 3 Jahre. Zuletzt wird angehakt, ob nur persönliche oder auch Funktionsstellenzertifikate auf die Smartcard gebracht werden. Alle mit (*) gekennzeichneten Felder sind Pflichtfelder. LfStaD Version 3 Seite 52 von 65

53 Ein Klick auf Aufnehmen führt ins Fenster zur Fotoaufnahme: Die Punkte im Fotoaufnahmefenster sind weitestgehend selbsterklärend. Bei aktivierter Auto Schnappschuss-Funktion werden nach Klick auf Schnappschuss automatisch 6 Fotos erstellt. LfStaD Version 3 Seite 53 von 65

54 Den Einsatz des Auswahlrahmens und die automatische Bildverbesserung zeigt untenstehender Screenshot. Mit einem Klick auf das Bild übernehmen Sie es und kehren ins ursprüngliche Fenster der Smartcard- Beantragung zurück. LfStaD Version 3 Seite 54 von 65

55 Mittels Weiterleiten ist die Smartcard-Beantragung abgeschlossen. LfStaD Version 3 Seite 55 von 65

56 5.5 Erstellen des Arbeitsauftrags als beantragende RA Bei der Smartcardpersonalisierung existiert folgende Fallunterscheidung: Eine produzierende Registrierungsstelle erstellt und personalisiert die Smartcard Anträge für ihre Mitarbeiter selbst. Eine beantragende Registrierungsstelle erstellt die Smartcard Anträge und erteilt einer produzierenden RA unter Auftragsverwaltung einen Personalisierungsauftrag, welcher von einer produzierenden RA ausgeführt wird. Die Unterscheidung zwischen produzierender und beantragender CA ist im Schaubild in Kapitel dargestellt. Dieses Kapitel betrifft nur beantragende RAs! Damit die produzierende RA die Smartcards produzieren kann, muss die beantragende RA einen Produktionsauftrag erteilen. Dies geschieht unter Auftragsverwaltung Auftrag erstellen Personalisierungsauftrag mit dem Abfragetyp RA SC Anträge. Markieren Sie dort die zu produzierenden Anträge und klicken Sie auf Auftrag erstellen. LfStaD Version 3 Seite 56 von 65

57 Im folgenden PopupFenster können Sie die Auswahl noch korrigieren. Danach geben Sie an, ob Sie einen neuen Auftrag erstellen oder die Anträge an einen noch nicht produzierten Auftrag anhängen wollen. Geben Sie nun noch eine Beschreibung für Ihren Auftrag an. Diese Beschreibung bekommt die produzierende RA zu sehen. LfStaD Version 3 Seite 57 von 65

58 5.6 Smartcard personalisieren Auftrag einer beantragenden RA ausführen Als produzierende RA führen Sie die Aufträge der beantragenden RA aus. Dazu wählen Sie im Menü unter Auftragsverwaltung Auftrag bearbeiten aus. Sie haben nun folgende Möglichkeiten: - Ausführen: Sie starten die Produktion. - Abschließen: Sie beenden den Auftrag ohne ihn zu produzieren. - Bearbeiten: Sie können sich den Inhalt des Auftrages anschauen und einzelne Smartcard Anträge löschen. Wenn Sie Ausführen wählen, sind die folgenden Schritte äquivalent zu denen aus Kapitel LfStaD Version 3 Seite 58 von 65

59 5.6.2 Personalisierung eigener Aufträge Als produzierende RA erfolgt nun die eigentliche Kodierung und das Bedrucken der Smartcard. Dazu wählen Sie im Menü unter Ausweisanträge bearbeiten den Punkt Personalisieren. Sie sehen untenstehendes Fenster, in welchem es darum geht, einen gestellten Antrag auszuwählen. Als Abfragetyp wählen Sie RA SC Anträge, Filter können Sie entsprechend setzen. Personalisieren bewirkt, dass die Karte kodiert und mit den beantragten Zertifikaten ausgestattet wird. Danach startet der Druckvorgang mit anschließender Laminierung der Smartcard (falls eine optische Personalisierung vorgesehen ist). In den folgenden Screenshots ist zu sehen, wie der Vorgang im Einzelnen abläuft. Der Prozess, insbesondere auch der Pinbriefdruck, kann einige Minuten in Anspruch nehmen. LfStaD Version 3 Seite 59 von 65

60 Wichtig ist, darauf zu achten, dass der Pinbrief einwandfrei gedruckt wurde, da die Smartcard ansonsten nicht eingesetzt werden kann. Sollte der Pinbrief nicht gedruckt werden, bricht der Vorgang ab, die Smartcard wird nicht bedruckt, ist aber unbrauchbar und sollte vernichtet werden. Der Antrag ist dann noch im System vorhanden und kann erneut personalisiert werden. LfStaD Version 3 Seite 60 von 65

61 Nachdem die Smartcard kodiert, bedruckt und der Pinbrief erstellt wurde, ist es an dieser Stelle sehr wichtig, die erfolgreiche Personalisierung zu bestätigen, da die Zertifikate auf der Karte sonst nicht gültig sind. Nach Ende des Vorgangs bitte unbedingt auf Bestätigen klicken. LfStaD Version 3 Seite 61 von 65

62 5.7 Smartcard reinitialisieren Smartcard Re-Init (Smartcard reinitialisieren) bedeutet die erneute Kodierung der Smartcard, ohne diese zu bedrucken und ohne eine Initialisierung der Karte durchzuführen. Dieses ist notwendig, wenn Zertifikate hinzukommen oder wegfallen. Wenn z.b. einem Mitarbeiter eine Funktion zugeteilt wird und er das entsprechende Funktionsstellenzertifikat ebenfalls auf der Smartcard benötigt, ist ein Re-Init sinnvoll. Weiterer Vorteil ist, dass für die Reinitialisierung wenig Aufwand anfällt, da z.b. kein Kartendrucker und keine Laminiereinheit benötigt werden. Der Vorgang der Reinitialisierung entspricht der in 5.4 beschriebenen Smartcard Beantragung. Wie zuvor ist der Ablauf, dass mit den Angaben im Fenster ein Smartcardantrag generiert wird, welcher dann über den Punkt Ausweisanträge bearbeiten personalisiert wird. Zu beachten ist, dass kein neuer Pinbrief gedruckt wird, die PIN und die PUK des ursprünglichen Pinbriefes somit gültig bleiben. Auch kann die Reinitialisierung von einer beantragenden RA selbst durchgeführt werden. LfStaD Version 3 Seite 62 von 65

63 5.8 Windows Logon Mit dem auf der Smartcard vorhandenen persönlichen SSL Zertifikat, können Sie sich an einer Windows Domäne anmelden. Zuvor sind dazu allerdings kleinere Konfigurationsarbeiten durch den PKI Support zu leisten, d.h. der entsprechende Connector zum Active Directory muss eingetragen werden. Nach Erledigung der Konfiguration, sehen Sie im Fenster des Smartcard Antrags ein Feld für den UPN (User Principal Name), in welchem Ihre Anmeldekennung aus dem Active Directory zu finden ist. Die Anmeldung an der Windows Domäne erfolgt mit einem Standard PC nach Eingabe der PIN für die Smartcard (Strg, Alt, Entf entfällt). Bei einem Laptop z. B. mit einer Verschlüsselungssoftware funktioniert die Anmeldung nur, wenn die Verschlüsselungssoftware die Domänen Anmeldung nicht übernimmt. LfStaD Version 3 Seite 63 von 65

64 5.9 Kartenverlust / Karte sperren Für den Fall, dass ein Mitarbeiter die Behörde wechselt, aus dem Dienst ausscheidet oder der Verlust der Smartcard feststeht, so hat die Registrierungsstelle die Möglichkeit, den Status der Smartcard zu ändern. Dazu gibt es im IDExpert den Punkt Ausweisverwaltung Ausweisstatus bearbeiten. Hier kann über den Abfragetyp RA Ausweise der zu sperrende Ausweis ausgewählt werden. LfStaD Version 3 Seite 64 von 65

65 Statusänderung zu Endgültig gesperrt bewirkt, dass die Zertifikate auf die Sperrliste gesetzt werden und damit ungültig sind. Es kann noch der Grund für die Sperrung angegeben werden. LfStaD Version 3 Seite 65 von 65