Eidgenössisches Finanzdepartement EFD Bundesamt für Informatik und Telekommunikation BIT Büroautomation & Support Service Development Engineering AD & Messaging Peter Brügger 19.Juli 2010 Key Recovery von Klasse C Enterprise Encryption Zertifikaten mit Certificate Lifecycle Manager Benutzeranleitung Projektname: CA Klasse-C Key Recovery Projektnummer: Version: 1.00 Status in Arbeit in Prüfung genehmigt zur Nutzung Beteiligter Personenkreis Autoren: Genehmigung: Benützer/Anwender: zur Information/Kenntnis: Peter Brügger Projektleiter CA Klasse-C Key Recovery Benutzer und Helpdesk Endanwender, Servicedesk Änderungskontrolle, Prüfung, Genehmigung Wann Version Wer Beschreibung 26.04.2010 x0.75 Peter Brügger Dokument erstellt 27.04.2010 x0.80 Peter Brügger Nach Review Input von Alain Wildi eingefügt. Einen Teil des Inputs von Roger Solioz eingefügt 6.05.2010 x0.90 Peter Brügger Input des Projekmeetings vom 29.4.2010 eingefügt 18.05.2010 x0.95 Peter Brügger Kleine Anpassungen 12.07.2010 x0.97 Peter Brügger Kapitel 1 Einleitung erweitert Genehmigt zur Nutzung 19.07.2010 V1.00 Peter Brügger Ergänzungen nach Schulung SMSD vom 15.7.10
Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zweck des Dokumentes... 3 1.2 Gültigkeitsbereich... 3 1.3 Zielpublikum, Voraussetzungen an den Leser... 3 1.4 Warnung vor einem unzweckmässigen Ausführen von Key Recovery... 3 1.5 Fehler, die zu einem Key Recovery führen... 3 1.6 Bestätigung eines ausgeführten Key Recovery... 3 1.7 Spracheinstellung im Internet Explorer... 3 1.8 Fragen und Hilfe... 3 1.9 Verwendete Abkürzungen... 3 1.10 Referenzierte Dokumente... 3 2 Key Recovery... 4 2.1 Übersicht Darstellung der Certificate Profiles... 4 2.2 Vorgehen für das Key Recovery... 5 2/13
1 Einleitung 1.1 Zweck des Dokumentes Das vorliegende Dokument zeigt wie mit Certificate Lifecycle Manager, bei Verlust eines Encryption Zertifikat oder Private Key, der PKI Class C Enterprise, recovered werden können. 1.2 Gültigkeitsbereich Diese Anleitung ist nur gültig für Benutzer-Zertifikate SMIME Encryption der Klasse C. Diese Anleitung ist nicht gültig für Benutzer mit Zertifikaten auf Smart Card. Diese Anleitung setzt den Einsatz von Windows 7 als Client Betriebssystem voraus. Der Benutzeraccount muss Mitglied der Domäne ADB sein.. 1.3 Zielpublikum, Voraussetzungen an den Leser Das Dokument richtet sich an Endanwender und den Servicedesk, welcher das Recovery für den Endanwender über Fernzugriff durchführen kann. 1.4 Warnung vor einem unzweckmässigen Ausführen von Key Recovery Unzweckmässiges Key Recovery kann das Funktionieren des Mailsystems (Credential Roaming) beeinträchtigen. Deshalb ist ein Key Recovery zum Testen zu unterlassen. 1.5 Fehler, die zu einem Key Recovery führen Beim Lesen eines verschlüsselten Mails tritt bei Verlust des entsprechenden Zertifikates oder private Key dieser Fehler auf. Mittels Key Recovery hat der Benutzer nun die Möglichkeit selber oder über den Servicedesk, sein vermisstes Zertifikat oder priv. Key zurückzuholen. Diese Anleitung beschreibt das dazugehörende Vorgehen. 1.6 Bestätigung eines ausgeführten Key Recovery Für jedes verlangte Key Recovery wird dem Benutzer ein Mail zugesendet. 1.7 Spracheinstellung im Internet Explorer Die Grafiken in dieser Anleitung wurden mit einem Internet Explorer mit englischer Spracheinstellung erstellt. Um die gleichen Ansichten zu erhalten, schalten sie für das Key Recovery im Internet Explorer auf die Sprache englisch um. über: Tools Internet Options General Language Englisch auwählen OK 1.8 Fragen und Hilfe Für Hilfe und Fragen zum Key Recovery melden sich sich beim Servicedesk BIT. 1.9 Verwendete Abkürzungen CLM Certificate Lifecycle Manager WIsB Weisungen über die Informatiksicherheit in der Bundesverwaltung 1.10 Referenzierte Dokumente 3/13
2 Key Recovery 2.1 Übersicht Darstellung der Certificate Profiles 2 Elemente zeigen immer das archivierte Public Key Material eines ausgerollten Zertifikates. Die Abbildung zeigt 3 ausgerollte Zertifikate Für das Key Recovery wird immer nur das Profile Template angeklickt. Beim Certificate Profile wird die Zeit des ausrollends angezeigt Für das Key Recovery wird immer nur das Profile Template angeklickt. Am Einfachsten macht man ein Key Recovery von allen aufgeführten Profile Templates Am Besten fängt man mit dem untersten Profile Tempate an. Nach dem Recovery wird dieses Element zuoberst in der Liste angezeigt 4/13
2.2 Vorgehen für das Key Recovery 1.Mittels Windows Expolorer auf https://key-rec.admin.ch/clm verbinden, der folgende Bildschirm wird angezeigt. 1a.Mit CLICK TO ENTER weiterfahren. 2. SHOW DETAILS OF MY CERTIFICATE anklicken 5/13
3 Das unterste Certificate Profile anklicken. Am Einfachsten macht man ein Key Recovery von allen aufgeführten Profile Templates Am Besten fängt man mit dem untersten Profile Tempate an. Nach dem Recovery wird dieses Element zuoberst in der Liste angezeigt 6/13
4. RECOVER A PROFILE THAT WAS LOST OR IS NO LONGER AVAILABLE anklicken 5. Die 1. von 3 erscheinenden Web Access Confirmation Meldungen bestätigen. Um digitale Zertifikats Aktivitäten auszuführen braucht die Web Seite Ihre Bewilligung. Bitte bestätigen Sie Ihre Bewilligung mit klicken auf [YES] 7/13
6. Für die Übertragung des pfx-files ein Passwort eingeben. Das Passwort muss komplex und der Weisung Informatiksicherheit (WISB) entsprechen. Dieses Passwort muss im Punkt 13 wieder eingegeben werden. http://intranet.isb.admin.ch/themen/sicherheit/00528/00838/index.html?lang=de 7. Die 2.von 3 erscheinenden Web Access Confirmation Meldungen bestätigen Um digitale Zertifikats Aktivitäten auszuführen braucht die Web Seite Ihre Bewilligung. Bitte bestätigen Sie Ihre Bewilligung mit klicken auf [YES] 8/13
8. Die letzte erscheinende Web Access Confirmation Meldung bestätigen Um digitale Zertifikats Aktivitäten auszuführen braucht die Web Seite Ihre Bewilligung. Bitte bestätigen Sie Ihre Bewilligung mit klicken auf [YES] 9. Das angezeigte Template anklicken. Next darf nicht gedrückt werden. 9/13
10. Mit anklicken von OPEN weiterfahren Achtung: An dieser Stelle darf der Save Befehl nicht verwendet werden 11. Welcome to the Certificate Import Wizzard mit NEXT weiterfahren. 12. Weiterfahren mit NEXT. W 10/13
13. Das unter Punkt 6 eingegebene Passwort eintragen.mit NEXT weitergehen. 14. Mit NEXT weitergehen. 11/13
15. Mit FINISH abschliessen.. 16. Mit OK abschliessen. 17. mit NEXT zur Hauptseite. 12/13
18. Zum Hauptmenu Main Menu zurückkehren und weitergehen nach Punkt 2 Show details of my certificate weiterfahren. Das eben zurückgeholte Profile nun zuoberst in der Liste angezeigt. Mit dem nächsten Profile Template weiterfahren. Am einfachsten sind die Profiles, welche bereits durch Key Recovery zurückgesichert wurden über das Datum und die Zeit zu Erkennen. Gemäss Punkt 3 weiterfahren bis alle Profiles in der Liste zurückgeholt wurden. 13/13