Einführung PKI-Wizards und Zertifikate Klasse B Prestaged

Transkript

1 Einführung PKI-Wizards und Zertifikate Klasse B Prestaged LBK Präsentation vom 23. Februar 2017 Mike von Niederhäusern, BIT Nicole Roemmel, BIT Rolf Aellig, ISB

2 Ausgangslage Bevorstehende Ablösung der webbasierten Java-Applikationen (SCKI-Komponente) Einführung der neuen Smartcard (Typ Gemalto) für die zentrale Bverw. mit dem Prestaging-Service (auf CA02) Angestrebter Termin ISB: Der Wechsel soll bis Ende 2018 erfolgen (gemäss A006-Standard) Die ML «Zertifikate Klasse B Prestaged» ist seit erhältlich Informationen zur ML: (inkl. FAQ, Anleitungs-Videos für die Wizards, Quickguides) Alte und neue Karten können parallel eingesetzt werden 2

3 Zwei Themen Ablösung der webbasierten JAVA-Applikation: Wechsel von JAVA auf das PKI-Toolset Einführung neue Smartcard: Wechsel auf neue prestaged Smartcards (Typ Gemalto) 3

4 Ablösung JAVA-Applikation (SCKI) Das SCKI (Java-Applikationen) muss Anfangs April 2017 abgestellt werden Vorgabe: CSIRT (Security-Gefährdung) LRA-Applikationen laufen derzeit auf JAVA. Folglich müssen diese per 7. April 2017 ausgetauscht werden (durch SG PKI) Wechsel auf das LRA-Toolset (Wizards für LRAO). Diese Wizards stehen bereits heute auf den LRA-Stationen zur Verfügung. Das PKI-Toolset (Rekeying*, Key Recovery, PIN-Reset) für die Clients steht mit dem BAB-Release 5.1 (ab April 2017) in Schale 1 zur Verfügung. Brauchbar ab Migrationsende: * ehemals Renewal 4

5 To do für LRA-Officer Die SG PKI migriert die User- und Zertifikatsdaten der alten Plattform auf die neue. Sobald dieser Wechsel erfolgt, sind die Links auf die alte Plattform inaktiv (User-Links für Renewal, Key Recovery etc.) Dieser Wechsel dauert 3 Wochen Konsequenz: während dieser Zeit können keine Rekeyings und keine Key Recoverys durchgeführt werden Die LRA-Officer müssen proaktiv jeden User anschreiben, dessen Zertifikat während dieser Zeit abläuft, damit ein Rekeying vorgängig durchgeführt werden kann. Reporting (Login mit LRAO-Zertifikat) Der LRA-Officer darf ab Start des Wechsels nur noch mit den PKI-Wizards arbeiten (keine Ausstellungen auf der alten Plattform mehr) 5

6 To do für das Amt Für den PIN-Reset müssen PIN-Reset-User (PRU) definiert werden. Für das Key-Recovery kann ein Amt die LRA-Officer einsetzen oder wahlweise Key Recovery Agents (KRA) definieren (in der Regel RIO) und berechtigen lassen. Meldung an SG PKI Der PIN-Reset erfordert im neuen Prozess einen zweistufigen Ablauf. Der effektive Reset wird an der Station des sog. PIN Reset Users durchgeführt. Dieser braucht keine spezielle Berechtigung, aber einen zweiten Kartenleser. Diese Rolle muss also von der Organisation entsprechend geplant werden. Das Key Recovery wird neu grundsätzlich nur noch vom LRA-Officer durchgeführt. Bei dezentral organisierten Verwaltungseinheiten, kann diese Funktion auch an einen RIO delegiert werden. Dieser RIO benötigt dann aber eine LRA-Officer Smartcard mit der Key Recovery Agent Berechtigung (keine LRAO-Berechtigung) und insgesamt 3 Kartenleser (1 für seinen Client-Login, 1 für die LRAO Smartcard, 1 für die Smartcard des Benutzers). Die Berechtigungen müssen vom Amt beim Order Management PKI beantragt werden. 6

7 Timeline Migration der Daten auf die neue Plattform, Abschalten der alten Links sowie Freeze für Rekeying und Key Recovery ab 7. April 2017 (Freeze bis Ende Migration) Ausstellen von neuen Zertifikaten nur noch auf der neuen Umgebung mittels LRA-Toolset möglich ab 7. April 2017 Renewal (Rekeying) und Key Recovery für User auf PKI-Toolset: nach Abschluss Migration und Abschluss Rollout des BAB-Release 5.1 voraussichtlich ab Mai

8 Old LRA New LRA Timeline JAVA-Migration DB Migration DB old LRA LRAO: Enforce renewal for certificates expiring before Start DB Migration End DB Migration No Renewal and no Key Recovery possible on clients! Release Preparation LRA-Officer: training, access rights BV: BAB Clients: Rollout Client Wizards Client Wizards operational for Renewal, KeyRecovery, PIN-Reset, Unseal All LRAO Wizards operational for new and migrated certificates Client Wizard enrollment for cantons and externals to Confederation operational DB new LRA DB new LRA 8

9 Einführung Prestaged Smartcards 9

10 Aufbrauchen der «alten Smartcards» Funktioniert problemlos ab April jedoch nur noch über das neue LRA-Toolset mit den Wizards Das Rekeying der Karten kann ab 1. Mai 2017 (nach dem Freeze) weiterhin durch die User durchgeführt werden auf dem PKI-Toolset der Clients Das Key Recovery muss ab 1. Mai 2017 (nach dem Freeze) entweder über den LRA-Officer oder einen speziellen Key Recovery Agent (KRA) durchgeführt werden 10

11 Szenario I: Ein Amt will mit einem «Big Bang» migrieren Die neuen Smartcards müssen rechtzeitig beim BBL bestellt werden (rund 3 Monate Vorlaufzeit): Der Projektleiter des Amts meldet dem AM seinen Bedarf. Das OFM BIT erstellt eine Migrations-DLV. LRA-Officer müssen (falls noch nicht geschehen) geschult werden: - Online-Schulung für bestehende LRA-Officer (kostenlos) - 1 Tagesschulung für neue LRA-Officer (wird verrechnet) erst dann werden die LRAO für die CA02-Plattform (Prestaged Smartcards) frei geschaltet Die Migration kann nach Bedarf mit Unterstützung der SG PKI gestartet werden (Testing, Einführung etc.) Migrations-DLV 11

12 Szenario II: Ein Amt will Schritt für Schritt umstellen (mit Parallelbetrieb) Die neuen Smartcards müssen rechtzeitig beim BBL bestellt werden (rund 3 Monate Vorlaufzeit, Mindestbestellmenge 100 Stück): LRA-Officer Schulungen (analog «Big Bang») Neue Zertifikate der zentralen Bverw. werden nur noch auf «Prestaged Karten» ausgestellt (CA02) -> durch LRA-Officer Der LRA-Officer informiert alle User, dass auf den alten Karten keine Renewals mehr gemacht werden sollen Hinweis: Alte Karten können bis zum Ablaufdatum des Zertifikats eingesetzt werden. 12

13 Budgetplanung Planen Sie folgende Aufwände für den Wechsel auf die neue Prestaged Smartcard: Euro pro Smartcard wird vom BBL/Lieferanten in Rechnung gestellt CHF 9.00 pro Smartcard für den Prestaging-Service (Einmalpreis) wird vom BIT in Rechnung gestellt Individuell (Migrations-DLV) - LRA-Officer-Schulung für neue LRA-Officer: CHF /LRAO - Kosten für Kurierdienst BBL SG PKI Amt: max. CHF Projektleitung und Support-Bedarf gemäss Migrations-DLV = 160 CHF/h 13

14 Diskussion & Fragen?? 14