DEPARTEMENT FINANZEN UND RESSOURCEN Abteilung Personal und Organisation 2. Juli 2014 ANLEITUNG Zertifikate erneuern 1. Ausgangslage Seit einigen Jahren verwendet der Kanton Aargau SmartCards mit Zertifikaten der Zertifikats- Autorität (CA) des Bundes, um Zugriffe auf diverse Bundessysteme und eine starke Authentisierung für die Anmeldung der Mitarbeitenden an den eigenen Systemen zu erhalten. Eine SmartCard trägt nach der Zertifizierung 3 digitale Zertifikate, jeweils eines für die persönliche Authentisierung, die elektronische Signatur und die Verschlüsselung. Diese digitalen Zertifikate sind maximal 3 Jahre lang gültig und müssen daher alle 3 Jahre erneuert werden. Diese Erneuerung muss stattfinden bevor die bestehenden Zertifikate abgelaufen sind. Sie sind bereits im Besitz einer SmartCard (Personalausweis bei Mitarbeitenden der kantonalen Verwaltung) mit Ihren persönlichen digitalen Zertifikaten. Diese Zertifikate sind zum Zeitpunkt der Erneuerung noch gültig, d.h. sie sind weder abgelaufen noch revoziert. Anmerkung Sollten Ihre persönlichen Zertifikate bereits abgelaufen sein, kann der Erneuerungsprozess nicht mehr durchgeführt werden! Um zu neuen digitalen Zertifikaten zu gelangen, müssen Sie in diesem Fall den RIO Prozess neu beschreiten (über Bundesapplikation Zertifikate beantragen, zum RIO gehen und sich identifizieren lassen und anschliessend die digitalen Zertifikate auf die Smart- Card downloaden). Für Mitarbeitende der Gemeinden besteht neuerdings auch die Möglichkeit die Zertifikate online zu erneuern, sofern die Arbeitsumgebung entsprechend ausgerüstet ist (Infostar-User halten sich an spezielle Vorgaben).
2. Entscheiden, ob bisherige oder neue SmartCard? Sie selbst wissen am besten, ob Ihre bisherige SmartCard noch für weitere 3 Jahre verwendet werden kann oder nicht. Sollten Sie eine neue SmartCard benötigen, lassen Sie dies bitte durch Ihre vorgesetzte Stelle oder Ihren RIO bestätigen. Das weitere Vorgehen zur Erneuerung Ihrer Zertifikate hängt nun von folgendem Sachverhalt ab: Entweder ist Ihre bisherige SmartCard noch in gutem Zustand und kann noch weitere 3 Jahre zum Einsatz kommen: Gehen Sie zu Zertifikate erneuern auf Seite 6. oder Ihre bisherige SmartCard muss ersetzt werden: Bestellen Sie bei Ihrem RIO eine neue SmartCard. Nach ein paar Tagen werden Sie diese erhalten. Ihre neue SmartCard muss erst mal initialisiert werden. Gehen Sie dazu zu SmartCard initialisieren auf Seite 3. 2.1 PC ohne SmartCard-Login bei Erneuerung auf neue SmartCard Während der Erneuerung der digitalen Zertifikate auf eine neue SmartCard muss die alte SmartCard aus dem Leser herausgezogen und die neue SmartCard in den Leser eingeschoben werden. Auf einem PC, für den das SmartCard-Login gefordert wird, würden Sie damit aber automatisch ausgeloggt. Deshalb müssen Sie entweder Ihren PC durch Ihren IT Dienst temporär aus der Domäne, die ein SmartCard-Login erfordert, nehmen lassen oder Sie begeben sich an einen PC, an dem man sich ohne SmartCard einloggen kann (z.b. Multimedia-PC). 2.1.1 Typ-Bestimmung der SmartCard Im Laufe der Karteninitialisierung und der Zertifikatsbeantragung wird nach dem Typ Ihrer SmartCard gefragt. Damit Sie diesen Typ bestimmen können, sehen Sie sich den Chip auf der SmartCard etwas genauer an. Chip Typ Modell DataKey 300 oder 330u DataKey 400u SafeNet 4100 Bestimmen Sie den Typ Ihrer SmartCard bevor die Karteninitialisierung gestartet wurde und die SmartCard in den Kartenleser eingesteckt wurde. 2 von 11
3. SmartCard initialisieren Eine neue SmartCard ist, ähnlich wie eine neue Harddisk, noch nicht initialisiert (formatiert) und muss vor der ersten Verwendung (Zertifikatsbeantragung/ Zertifikatserneuerung) initialisiert werden. Für diesen Zweck stellt der Bund eine Web-Applikation zur Verfügung. Diese Applikation finden Sie in den Favoriten des Internet Explorers, unter "KTAG (Schreibgeschützt) PKI Smartcard Initialisierung". https://pkirio01.ssz.admin.ch/registrationserviceinit/init.do Dieser Link führt Sie zur Startseite der Web-Applikation des Bundes: Achtung An dieser Stelle dürfen Sie ja nicht Ihre bisherige (alte) SmartCard ins Lesegerät schieben, da sonst alle Ihre bestehenden, noch gültigen Zertifikate gelöscht würden! 3 von 11
Sie werden nun ein letztes Mal gewarnt, dass alle Daten (Zertifikate, private und öffentliche Schlüssel), die sich momentan auf der SmartCard befinden, unwiderruflich gelöscht werden. Bestätigen Sie folgenden Hinweis mit "OK". Prüfen Sie nochmals, ob die neue SmartCard im Reader eingelegt ist und klicken Sie dann auf "OK". Bei der nachfolgenden Frage geht es darum, welchen Typ SmartCard Sie verwenden. Bestimmen Sie ihren Kartentyp gemäss Info auf Seite 2. Wählen Sie DataKey RSA CSP für DataKey 330, 330u oder 400u oder SafeNet etoken CSP für SafeNet 4100. Danach klicken Sie auf "OK". Nun erscheint ein Dialog, welcher die Eingabe des Token Labels (SmartCard-Beschriftung, sprich Nachname und Vorname) und des Passwortes (2malig) verlangt. Geben Sie in diesen Feldern keine Umlaute (öäü) ein. Nachname und Vorname ohne Umlaute Persönliches Passwort Passwort wiederholen 4 von 11
WICHTIG: Das Passwort wird später für den Zugang zum PC mit der Karte gebraucht. Notieren Sie Ihr Passwort auf einem Zettel, welchen Sie an einem sicheren Ort aufbewahren! Bitte halten Sie sich bei der Festlegung Ihres persönlichen Passwortes (PIN) an folgende Vorschriften: Mindestens 8 Zeichen lang (maximal 16) Mindestens 1 Grossbuchstabe Mindestens 1 Kleinbuchstabe Mindestens 1 Zahl Eines folgender Sonderzeichen: + @ * & _?! = Leerschläge, Umlaute und andere Sonderzeichen sind NICHT erlaubt! Klicken Sie nachdem Sie Ihre Eingabe getätigt haben auf "OK". Damit wird die SmartCard- Initialisierung gestartet. Nach Beendigung der Initialisierung gelangen Sie auf folgende Seite. Die Initialisierung der SmartCard ist beendet. Theoretisch hätten Sie hier die Möglichkeit, Zertifikate zu beantragen. Wir wollen aber bestehende Zertifikate erneuern und keine neuen Zertifikate beantragen. 5 von 11
Klicken Sie auf "Fenster schliessen". Sollte der Internet Explorer die folgende Meldung anzeigen, klicken Sie auf "JA". 4. Zertifikate erneuern Schieben Sie Ihre bisherige (alte) SmartCard in das Lesegerät und starten Sie den Internet Explorer. In den Favoriten des Internet Explorers finden Sie unter "KTAG (Schreibgeschützt)" den Ordner "PKI" und darin den Eintrag "Zertifikatserneuerung". https://certrenewal.ssl.admin.ch/certificaterenewalwizard/ Wenn mehrere Zertifikate im Zertifikats-Store des Internet Explorers vorhanden sind, werden Sie in einem Fenster aufgefordert, das richtige Zertifikat auszuwählen: Wählen Sie das richtige (aktuell gültige) Zertifikat aus und klicken Sie dann auf "OK". Wenn mehrere Zertifikate zur Auswahl stehen, kann über den Button "Zertifikat anzeigen " das neueste Zertifikat gesucht werden. 6 von 11
Sie werden nun aufgefordert das SmartCard-Passwort einzugeben. Geben Sie Ihr SmartCard-Passwort ein und klicken Sie auf "OK". Sie sehen nun die Startseite der Webanwendung für die Erneuerung der digitalen Zertifikate. Lesen Sie den angezeigten Text durch und klicken Sie auf "Zertifikatserneuerung beantragen". Zuerst lädt die Webanwendung eventuell bereits bestehende Daten für die Revokation. Bei der nachfolgenden Frage geht es darum, welchen Typ SmartCard Sie verwenden. Bestimmen Sie ihren Kartentyp gemäss Info auf Seite 2. Wählen Sie DataKey RSA CSP für DataKey 330, 330u oder 400u oder SafeNet etoken CSP für SafeNet 4100. Danach klicken Sie auf "OK". 7 von 11
Die Anwendung sucht nun nach vorhandenen Informationen für die Revokation der bisherigen Zertifikate. Nach Abschluss dieses Ladevorgangs werden Ihr Geburtsdatum, Heimatort, Ihre Revokationsfrage und Ihre Revokationsantwort angezeigt. HINWEIS FÜR ANWENDENDE, DIE EINE NEUE SMARTCARD ERHALTEN HABEN: Schieben Sie die neue SmartCard in das Lesegerät, damit die neuen Zertifikate auf die neue SmartCard geschrieben werden. 8 von 11
Wenn nötig, ändern Sie hier Ihre Angaben über Geburtsdatum, Heimatort und Revokationspassphrase (Frage und Antwort). Klicken Sie danach auf "Weiter". Bei der nachfolgenden Frage geht es darum, welchen Typ SmartCard Sie verwenden. Bestimmen Sie ihren Kartentyp gemäss Info auf Seite 2. Wählen Sie DataKey RSA CSP für DataKey 330, 330u oder 400u oder SafeNet etoken CSP für SafeNet 4100. Danach klicken Sie auf "OK". 9 von 11
Da jetzt ein Zugriff auf Ihre SmartCard erfolgen soll, müssen Sie zuerst Ihr SmartCard-Passwort eingeben: Klicken Sie auf "OK". Nun werden die neuen kryptographischen Schlüsselpaare auf der SmartCard erstellt. Dann werden die kryptographischen Schlüssel durch die CA zertifiziert und die Zertifikate auf die Karte gespeichert. 10 von 11
Nach Abschluss dieses Vorgangs gelangen Sie auf die folgende Seite: Die Erneuerung Ihrer digitalen Zertifikate ist nun beendet. Ihre Zertifikate wurden damit erneuert und sind wieder 3 Jahre lang gültig. Die Zertifikatserneuerung ist abgeschlossen und Sie können den Internet Explorer nun schliessen. 11 von 11