Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Authentifizierung im Web Explorer unter Windows XP (Bernhard Wager) München 31.01.2008 1
1 Besonderheiten beim Einsatz von Funktionsstellen-Zertifikaten...3 2 Import von Zertifikaten...4 2.1 Vorbemerkung...4 2.2 Erhalt des Schlüsselmaterials...4 2.3 Import des Zertifikates...5 2.4 Der Schlüsselspeicher (im Internet-Explorer)...10 2.5 Verlängerung abgelaufener, Erneuerung widerrufener Zertifikate...11 2
1 Besonderheiten beim Einsatz von Funktionsstellen-Zertifikaten Neben persönlichen Zertifikaten können auch Zertifikate für juristische Personen (z. B. Bayerisches Staatsministerium des Innern), Gruppen (z. B. Bayern-CERT) oder Funktionen (z. B. Poststelle) ausgegeben werden. Juristische Personen, Gruppen und Funktionen werden im Folgenden unter dem Begriff Funktionsstelle zusammengefasst. Die für eine Funktionsstelle ausgestellten Zertifikate heißen Funktionsstellen-Zertifikate. Für die Authentifizierung im Web, genauer für die Authentifizierung bei bestimmten Anwendungen (Webseiten) im WWW, ist ein Zertifikat für SSL-Clientauthentifizierung notwendig. Es wird von der Zertifizierungsstelle an den Verantwortlichen der Funktionsstelle ausgeliefert und kann an den Arbeitsplätzen aller Mitarbeiter, die für die Funktionsstelle tätig sind, installiert werden. 3
2 Import von Zertifikaten 2.1 Vorbemerkung Im Folgenden Abschnitt ist beschrieben, wie das erhaltene Schlüsselmaterial und die ausgestellten Zertifikate importiert werden. Wichtig: 1. Der nachfolgend beschriebene Ablauf zum Import des Schlüsselmaterials/Zertifikats gilt für Windows XP bei Verwendung des Internet Explorers als Webbrowser. 2. Der Import des Schlüsselmaterials und der ausgestellten Zertifikate kann ohne weiteres von einem Administrator vorgenommen werden. Lediglich die Eingabe der PIN (und damit die Freischaltung der Schlüssel und Zertifikate) sollte vom Benutzer selbst vorgenommen werden. Kennt auch der Administrator die PIN zur Freischaltung der Schlüssel, ist er in der Lage, sich an Webanwendungen unberechtigter Weise anzumelden. 2.2 Erhalt des Schlüsselmaterials Sie haben die Zertifikate und das Schlüsselmaterial per E-Mail erhalten. Eine Beispiel-E-Mail ist im Folgenden dargestellt. Die E-Mails können je nach Zertifikat im Inhalt etwas variieren. Der in der E-Mail enthaltene Hinweis zum Abholen der PIN gilt nur für Nutzer mit einem Behördennetzanschluss. Alle anderen Nutzer erhalten die PIN per Briefpost zugesandt. Anschreiben: Sehr geehrte/r Herr Mustermann, im Anhang dieser E-Mail finden Sie das von Ihnen beantragte persönliche Verschlüsselungs- Zertifikat. Dieses Zertifikat ist mit einer PIN geschützt, die für Sie im Antragssystem zwischengespeichert wird. Bitte holen Sie sich diese PIN baldmöglichst ab. https://icms.pki.bayern.de -> Menüpunkt: Zertifikate anzeigen Beachten Sie beim Abholen, dass die PIN nach 24 Stunden aus dem Antragssystem gelöscht wird. Bei Bedarf können Sie diese Frist auf 14 Tage verlängern. Weitere Informationen zu diesem Thema können Sie auch dem Anwenderhandbuch des Antragssystems (ICMS) entnehmen. https://www.pki.bayern.de 4
-> Allgemeine Informationen -> Dokumente Diese E-Mail wurde automatisch generiert. Mit freundlichen Grüßen Ihr Trustcenter Anlagen: Die E-Mail beinhaltet Ihren privaten Schlüssel mit dem Dateinamen: ssl_vorname_nachname.p12, wobei p12 einen Datei-Typ repräsentiert, der private Schlüssel und Zertifikate umfasst. Speichern Sie die Anlage, welche den privaten Schlüssel und das Zertifikat enthält, entweder auf einer Diskette, oder, da z.b. Ihr Diskettenlaufwerk gesperrt ist, in einem nur Ihnen zugänglichen Bereich Ihrer Festplatte bzw. Netzwerkressource. Zusätzlich müssen Sie über die Webanwendung icms den zum Schlüssel gehörenden Transport-PIN abrufen, den Sie für die Installation Ihres Schlüsselmaterials brauchen. Dies gilt jedoch nur für Nutzer mit einem Behördennetzanschluss. Alle anderen Nutzer erhalten die PIN per Briefpost zugesandt. Beachten Sie: Weder den privaten Schlüssel noch den zugehörigen PIN dürfen Sie an Dritte (auch keine Administratoren) weitergeben. 2.3 Import des Zertifikates Um Ihr Schlüsselmaterial zu installieren gehen Sie wie folgt vor: Öffnen Sie den (Windows-) Explorer und wählen Sie das Verzeichnis, in das Sie nach Empfang der E-Mail die Anlagen gespeichert haben (ihre privaten Schlüssel; Dateien mit der Endung P12 bzw. vom Typ Privater Informationsaustausch). 5
Öffnen Sie die Datei mit der Dateiendung P12 bzw. vom Typ Privater Informationsaustausch mit Doppelklick; es meldet sich der Import-Assistent. (Falls dieser Import-Assistent sich nicht automatisch meldet, ist auf Ihrem PC die Dateiendung.p12 vermutlich mit einem anderen Programm verknüpft. Eine mögliche Lösung ist, die Datei mit der Endung.p12 in.pfx umzubenennen.) Klicken Sie auf Weiter. Ihr privater Schlüssel (Datei mit der Endung P12 bzw. PFX) ist unter Dateiname eingetragen. Klicken Sie auf Weiter. Im Folgenden werden Sie nach dem Kennwort gefragt; mit dem Ihre Schlüssel während des Transportes geschützt wurden. Das Kennwort ist die Transport- PIN, die Sie im icms abrufen müssen bzw. die Ihnen per Briefpost zugesandt wurde. Markieren Sie in diesem Fenster auch die beiden anderen Kontrollkästchen: Insbesondere wichtig ist die erste Option Verstärkte Sicherheit für den privaten Schlüssel ak- 6
tivieren. Diese müssen Sie aus Sicherheitsgründen auf jeden Fall wählen, denn dadurch stellen Sie sicher, dass Sie bei der Authentifizierung an einer Webanwendung immer nach Ihrem Kennwort gefragt werden; anderen ist es somit ohne Kennwort unmöglich Ihren geheimen Schlüssel zu verwenden. Die zweite Option dient dazu, den Privaten Schlüssel als exportierbar zu markieren; dies bedeutet, dass Sie ihn bei Bedarf auf anderen Medien (z.b. Ersatz-PCs) übertragen können. Im nächsten Bildschirm aktivieren Sie Weiter. Es werden nun nochmals die Daten für den Import aufgelistet: Hier auf Fertig stellen klicken. 7
Da Sie die erhöhte Sicherheit gewählt haben, müssen Sie im Folgenden noch einige Einstellungen dazu machen; Die standardmäßig vorgegebene aktuelle Sicherheitsstufe ist Mittel; ändern Sie dies, indem Sie Sicherheitsstufe... wählen. Es erscheint das nachfolgende Fenster, in welchem Sie die Option Hoch auswählen und auf Weiter klicken. Unter der Rubrik Ein neues Kennwort für dieses Objekt erstellen sehen Sie im Feld Kennwort für: eine Bezeichnung, die dann bei der Abfrage des Kennwortes angezeigt wird. Anschließend legen Sie Ihr eigenes, privates Kennwort fest und bestätigen es. Das Kennwort sollte mindestens acht Zeichen umfassen und für andere nicht zu erraten sein. Klicken Sie anschließend auf Fertig stellen. 8
Klicken Sie auf OK. Bevor der Import-Assistent meldet, dass der Importvorgang erfolgreich war, kann je nach Art des importierten Zertifikats, die folgende Meldung erscheinen: Achten Sie darauf, dass der Antragsteller die PCA-1-Verwaltung-05 (die letzten beiden Ziffern können auch höher sein) der PKI-1- Verwaltung ist und überprüfen Sie den Fingerprint. Den richtigen Fingerprint können Sie auf den Webseiten des BSI (Link: http://www.bsi.de/fachthem/verwpki/pca/pcafingerprint.htm) abfragen. Klicken Sie abschließend auf Ja. Der Importvorgang ist beendet. Klicken Sie auf OK. 9
2.4 Der Schlüsselspeicher (im Internet-Explorer) Haben Sie Ihren/Ihre Schlüssel importiert, finden Sie diese auch im Internet Explorer unter dem Menüpunkt Extras Internetoptionen Inhalt Zertifikate. Gründe dafür, dass Sie mehrere unterschiedliche Zertifikate / Schlüssel benötigen, können sein: - Sie haben mehrere Funktionen inne. - Sie besitzen unterschiedliche Zertifikate für Verschlüsselung, Signatur oder SSL- Authentifizierung. - Ihr altes Verschlüsselungszertifikat ist abgelaufen; um dennoch alte Mails lesen zu können, haben Sie es noch nicht entfernt und nutzen es noch neben dem Neuen. Sie können sich ein Zertifikat genauer ansehen, in dem Sie es markieren und auf Anzeigen klicken. Im Register Allgemein kann der Zertifikatsinhaber sowie der Gültigkeitszeitraum kontrolliert werden. 10
Im Register Details ist das Feld Schlüsselverwendung von besonderer Bedeutung. Hieraus kann man entnehmen, ob das Zertifikat für die Signatur (hier im Bild), für die Verschlüsselung für SSL-Authentifizierung eingesetzt wird. Im Register Zertifizierungspfad kann man kontrollieren, ob dem Zertifikat vertraut wird. In diesem Beispiel ist das der Fall. Ansonsten wären über den Zertifikatssymbolen rote Kreuze. 2.5 Verlängerung abgelaufener, Erneuerung widerrufener Zertifikate Zertifikate, deren Gültigkeit abgelaufen ist, werden automatisch verlängert. Im Zuge der Zertifikatsverlängerung erhalten Sie auch ein neues Schlüsselpaar. Widerrufene bzw. gesperrte Zertifikate werden nicht automatisch neu ausgestellt oder verlängert. Hier müssen Sie im Zertifikatserwaltungssystem icms einen neuen Schlüssel mit Zertifikat beantragen. Abgelaufene und widerrufene SSL-Authentifizierungszertifikate können aus dem Zertifikatsspeicher entfernt werden. 11