Leitfaden Installation der Zertifikate für die Teilnahme am ReLiV Fachverfahren Stand: 14.02.2018 Inhaltsverzeichnis 1. Einleitung... 2 2. Anwendungsfälle... 2 3. Austausch / Erneuerung des persönlichen Zertifikates (Benutzerzertifikat)... 3 Installation des neuen persönlichen Zertifikates (Benutzerzertifikat)... 3 Entfernen des alten persönlichen Zertifikates (Benutzerzertifikat)... 6 4. Installation Zertifikate für Stamm- und Zwischenzertifizierungsstellen... 9 Download der Zertifikate der ITDZ PKI... 9 Installation der Zertifikate für die Stamm- und Zwischenzertifizierungsstellen... 13 Überprüfen der korrekten Installation der Zertifikatskette... 17 1
1. Einleitung Für den Zugang zu Diensten der Berliner Verwaltung ist die Verwendung der zertifikatbasierten Schlüsselinfrastruktur (PKI) des IT-Dienstleistungszentrum Berlin (ITDZ) zwingend notwendig. In der folgenden Anleitung geben wir zum einen dem Anwender (Sekretariat oder Schulleitung) als auch dem IT-Beauftragten der Schule die Möglichkeit die erforderlichen Zertifikate zu installieren. 2. Anwendungsfälle Austausch / Erneuerung des persönlichen Zertifikates (jährlich): Folgen Sie nur Punkt 3 (S. 3-8), wenn Sie bereits ReLiV verwenden und lediglich der jährliche Austausch des Benutzerzertifikates ansteht. Das abgelaufen oder bald ablaufende Benutzerzertifikat wird dabei entfernt. Installation Zertifikate für Stamm- und Zwischenzertifizierungsstellen (einmalig): Folgen Sie nur Punkt 4 (S. 9-17), wenn Sie ReLiV auf einem PC neu installieren wollen. Hierfür sind administrative Rechte auf dem PC erforderlich Das Benutzerzertifikat wird wie unter Punkt 3 (S. 3-5) zusätzlich installiert. 2
3. Austausch / Erneuerung des persönlichen Zertifikates (Benutzerzertifikat) Für die Teilnahme am ReLiV Fachverfahren ist die Verwendung von persönlichen Zertifikaten erforderlich. Diese Zertifikate haben eine Laufzeit von einem Jahr und müssen vor Ablauf ausgetauscht werden. Die persönlichen Zertifikate sollten durch die initiale Installation bereits im Benutzeraccount (mit dem der ReLiV-Mitarbeiter auf dem PC arbeitet) hinterlegt sein. Die neuen Zertifikate werden von der ITDZ PKI per E-Mail an die Schulleitung versendet (Absender: pki@itdz-berlin.de). Die dazugehörige PIN zum Benutzerzertifikat wird per Fachpost der Schule zugestellt. Installation des neuen persönlichen Zertifikates (Benutzerzertifikat) Die Installation des persönlichen Zertifikates ist in wenigen Schritten erledigt und kann vom Benutzer (ohne Administratorrechten) durchgeführt werden. Durch Doppel-Klick auf die zugesendete Zertifikatsdatei wird die Installation angestoßen (Datei mit *.pfx Endung im Anhang der E-Mail von der ITDZ PKI ). 3
Bestätigen Sie den Willkommensdialog mit Klick auf Weiter. Unter Dateiname wird der Name des Zertifikates angezeigt. Mit Klick auf Weiter erfolgt die Passwortabfrage für das Zertifikat. Geben Sie das Kennwort (PIN des Zertifikates) aus dem PIN-Brief ein und bestätigen mit Weiter. 4
Im anschließenden Dialog Zertifikatspeicher belassen Sie die Auswahl auf Zertifikatspeicher automatisch auswählen und klicken auf Weiter. Mit Klick auf Fertig stellen beenden Sie die Installation des persönlichen Zertifikates und erhalten als Bestätigung folgenden Dialog, den Sie mit OK bestätigen. 5
Entfernen des alten persönlichen Zertifikates (Benutzerzertifikat) Zum Entfernen des persönlichen Zertifikates verwenden Sie den IE (Internet Explorer), der für die Verwendung des ReLiV Zuganges empfohlen wird. Klicken Sie in der Browserleiste oben rechts auf Extras und dort auf Internetoptionen. 6
Wählen Sie nun den Reiter Inhalte aus und wählen dann Zertifikate. 7
Markieren Sie nun mit einem Mausklick Ihr altes Benutzerzertifikat (die Spalte Ablaufdatum beachten!!) und klicken anschließend auf Entfernen. Nach Bestätigung der Sicherheitsabfrage wird Ihr Zertifikat aus dem Browser entfernt. 8
4. Installation Zertifikate für Stamm- und Zwischenzertifizierungsstellen Wichtig! Für die Installation der Zertifikate für die Stamm- und Zwischenzertifizierungsstellen sind zwingend lokale Administratorrechte auf dem PC erforderlich! Dies ist nur einmalig erforderlich, wenn der Zugang für ReLiV initial auf dem PC eingerichtet wird. Bei einem Benutzerzertifikatswechsel, bleiben die Zertifizierungsstellen erhalten und nur das Benutzerzertifikat wird ausgetauscht. Download der Zertifikate der ITDZ PKI 1. Auf der Webseite pki.verwalt-berlin.de des ITDZ Berlin stehen die jeweils aktuellen Zertifikate zum Download bereit. 9
2. Weiter unten finden Sie die Stammzertifikate Berlin PCA2 bzw. Berlin PCA mit dem Dateinamen ITPCA2.it.verwalt-berlin.de_Berlin PCA2(2).crt und ITPCA.it.verwaltberlin.de_Berlin PCA(1).crt 3. Klicken Sie mit der rechten Maustaste auf die Datei (z. B. das Stammzertifikat Berlin PCA) und wählen Ziel speichern unter aus. 10
4. Speichern Sie die Datei in einem Verzeichnis (mit einem kurzen Pfad) ab. Z. B.: C:\Zertifikate Wiederholen Sie den Vorgang für das zweite Stammzertifikat (z. B.: Berlin PCA2) 5. Zu den Stammzertifikaten gehören jeweils auch zwei Zwischenzertifikate, die Sie bitte ebenfalls (wie unter 3. und 4. beschrieben) herunterladen/speichern. ITCA001.it.verwalt-berlin.de_Berlin CA01 2011(1).crt ITCA002.it.verwalt-berlin.de_Berlin CA02 2011(1).crt und ITCA004.it.verwalt-berlin.de_Berlin CA04 2016.crt ITCA005.it.verwalt-berlin.de_Berlin CA05 2016.crt 11
Die heruntergeladene Zertifikatskette für das Stammzertifikat Berlin PCA und die Zwischenzertifikate Berlin CA01 2011 und Berlin CA02 2011 besteht aus diesen Dateien: Die Zertifikatskette für das Stammzertifikat Berlin PCA2 und die Zwischenzertifikate Berlin CA04 2016 und Berlin CA05 2016 besteht aus diesen Dateien: 12
Installation der Zertifikate für die Stamm- und Zwischenzertifizierungsstellen 6. Klicken Sie auf Windows START Logo und klicken Sie in das Feld Programme/Dateien durchsuchen 7. Geben Sie cmd ein 8. Das automatisch aufklappende Suchergebnis enthält unter Programm die Datei cmd.exe 9. Klicken Sie mit der rechten Maustaste auf cmd.exe und wählen Als Administrator ausführen aus. 13
10. Es öffnet sich das Kommandozeilen Fenster mit der Kennzeichnung Administrator 11. Wechseln Sie in das Verzeichnis, welches unter 4. beim Download angegeben wurde z. B.: C:\Zertifikate 12. Führen Sie folgendes Kommando aus, um das Stammzertifikat Berlin PCA zu installieren: certutil.exe -f -addstore root ".\ITPCA.it.verwalt-berlin.de_Berlin PCA(1).crt" 14
13. Führen Sie folgende Kommandos aus, um die Zwischenzertifikate zu installieren: certutil.exe -f -addstore ca ".\ITCA001.it.verwalt-berlin.de_Berlin CA01 2011(1).crt" certutil.exe -f -addstore ca ".\ITCA002.it.verwalt-berlin.de_Berlin CA02 2011(1).crt" 15
16
Überprüfen der korrekten Installation der Zertifikatskette 14. Starten Sie nun bitte den Internet Explorer und öffnen die Internetoptionen über den Menüpunkt Extras oder über den Einstellungs-Knopf. 15. Unter dem Reiter Inhalte klicken Sie auf Zertifikate. 17
18
16. Unter dem Reiter Vertrauenswürde Stammzertifizierungsstellen befindet sich neben dem soeben installierten Stammzertifikat Berlin PCA auch das Berlin PCA2 19
17. Unter dem Reiter Zwischenzertifizierungsstellen sehen Sie: 20