Gebrauchsanleitung für qualifizierte S-TRUST Personenzertifikate Anleitung für Download, Sperrung, Suche und Onlineprüfung von Zertifikaten Version 2.0 Stand 25.02.2008 Deutscher Sparkassen Verlag GmbH
Impressum Deutscher Sparkassen Verlag GmbH Postanschrift: 70547 Stuttgart Hausanschrift: Am Wallgraben 115, 70565 Stuttgart Telefon: +49 711 782-0 Telefax: +49 711 782-1635 E-Mail: info@s-trust.de Aufsichtsratsvorsitzender: Dr. Siegfried Naser, Sitz der Gesellschaft: Stuttgart, Registergericht: Stuttgart, Handelsregister: Nr. B/748, Bankverbindung: Baden-Württembergische Bank (BW-Bank), BLZ: 600 501 01, Konto: 1366860, USt. ID-Nr.: DE 147830796, Geschäftsführung: Dr. Bernd Kobarg (Vorsitzender), Wilhelm Gans, Dr. Detlef Haaks, Jürgen Schneider 2008 Deutscher Sparkassen Verlag GmbH, Stuttgart Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
INHALT 1 Einleitung 4 1.1 Systemvoraussetzungen 6 1.2 Notwendige Installation vor Download der Zertifikate 7 1.3 Was Sie vor dem Download der Zertifikate beachten sollten 9 2 Zertifikatsdownload 10 3 Zertifikate sperren 26 4 Suchen und Herunterladen von Zertifikaten 30 5 Onlineprüfung von Zertifikaten 34 6 CSA-PIN entsperren 36 7 Begriffserklärungen 42 Seite 3
1 Einleitung Dieses Dokument ist die Anleitung für Download, Sperrung, Suche und Onlineprüfung von qualifizierten S-TRUST Personenzertifikaten. Um ein qualifiziertes S-TRUST Personenzertifikat zu erhalten, müssen Sie dieses bei einer von S-TRUST autorisierten Registrierungsstelle beantragen. Das qualifizierte S-TRUST Personenzertifikat wird von Ihnen über das Internet entweder auf Ihre SparkassenCard oder Ihre kontounabhängige GeldKarte mit Vorbereitung für die elektronische Signatur heruntergeladen. Alle weiteren kompatiblen Chipkarten können Sie anhand des S-TRUST Logos auf der Karterückseite erkennen. Mit dem Download erhalten Sie gleichzeitig auch ein Verschlüsselungs-/Authentisierungszertifikat zur Erstellung fortgeschrittener Signaturen. Abbildung 1: SparkassenCard mit Vorbereitung für die elektronische Signatur Abbildung 2: Kontounabhängige GeldKarte mit Vorbereitung für die elektronische Signatur Mit dem qualifizierten S-TRUST Personenzertifikat können Sie qualifizierte elektronische Signaturen nach 2 Abs. 3 des deutschen Signaturgesetzes (SigG) erstellen. Die qualifizierte elektronische Signatur ist der eigenhändigen Unterschrift in ihrer rechtlichen Bedeutung gleichgestellt. Nach 126 Abs. 3 BGB kann die gesetzliche Schriftform Seite 4
(eigenhändige Unterschrift) durch die elektronische Form ersetzt werden, wenn sich aus dem jeweiligen Gesetz nichts anderes ergibt. 1 Außerdem können Sie mit dem zusätzlichen Verschlüsselungs-/Authentisierungszertifikat vertrauliche Daten, wie z. B. E-Mails oder Dokumente verschlüsseln und sich gegenüber Anwendungen authentisieren. Die Gültigkeit Ihrer Zertifikate endet immer mit Ablauf Ihrer Kartenlaufzeit. Das heißt, die Gültigkeit der Zertifikate endet mit Ablauf des 30.12. des Verfalljahres Ihrer Karte. Rechtzeitig vor Ablauf der Zertifikate werden Sie per E-Mail informiert, dass die Gültigkeit Ihrer Zertifikate in Kürze endet. Hinweis: Aus technischen Gründen ist die Anzahl möglicher Signaturen bzw. Entschlüsselungen bei einer Standardkarte (Einzelsignaturkarte) wie z. B. der SparkassenCard auf jeweils 65.535 beschränkt. 1 Nicht in elektronischer Form möglich sind z. B. Verbraucherdarlehensverträge ( 492 Abs. 1 Satz 2 BGB), die Kündigung von Arbeitsverhältnissen ( 623 BGB), die Erteilung eines Arbeitszeugnisses ( 630 Satz 3 BGB), eine Bürgschaftserklärung ( 766 Satz 2 BGB), ein Schuldversprechen ( 780 BGB) sowie ein Schuldanerkenntnis ( 781 BGB). Ist eine notarielle Beglaubigung oder Beurkundung erforderlich, genügt die elektronische Form ebenso nicht (z. B. Grundstücksgeschäfte). Seite 5
1.1 Systemvoraussetzungen Die folgende Seite zeigt die generellen Voraussetzungen für den Download bzw. Einsatz von qualifizierten S-TRUST Personenzertifikaten. Eine detaillierte Liste kompatibler Betriebssystemversionen, Kartenleser und Anwendungen finden Sie stets aktuell auf www.s-trust.de. Generelle Systemvoraussetzungen für den Download der Zertifikate Marktüblicher windowsbasierter PC mit einer Bildschirmauflösung von mindestens 1024 x 768 Pixel CD-ROM- oder DVD-Laufwerk Bei Mehrplatzsystemen und administrierten Netzwerken: temporäre lokale PC- Administrationsrechte für die Installation des Kartenlesers und weiterer Software Maximal ein angeschlossener Chipkartenleser mit installierter ZKA-Sig-API 2 Internetzugang E-Mail-Adresse Microsoft Internet Explorer oder Mozilla Firefox SUN Java Runtime Environment 3 ab Version 6 Generelle Systemvoraussetzungen für den Einsatz der Zertifikate Zusätzlich zu den beschriebenen Software- und Hardware-Komponenten für den Download benötigen Sie für den Einsatz der Zertifikate in diversen Anwendungen, wie z. B. für das ELSTEROnline-Portal oder für die sichere E-Mail-Kommunikation, die Signaturanwendungskomponente S-TRUST Sign-it oder OPENLiMiT CC-Sign. 4 Einsetzbare Chipkartenleser Zum Download der qualifizierten S-TRUST Zertifikate wird ein Chipkartenleser der Geräteklasse 2 oder 3 benötigt. Ein Chipkartenleser der Geräteklasse 2 verfügt über eine eigene Tastatur und ermöglicht somit die sichere PIN-Eingabe. Ein Chipkartenleser der Geräteklasse 3 verfügt neben einer eigenen Tastatur über ein eigenes Display. Des Weiteren muss der Chipkartenleser die ZKA-Sig-API unterstützen und gemäß IT-SEC oder Common Criteria evaluiert sein. Aktuell von S-TRUST freigegebene Chipkartenleser finden Sie auf www.s-trust.de. 2 Einheitliche Schnittstelle zur Nutzung der elektronischen Signatur der deutschen Kreditwirtschaft. Für die Nutzung der qualifizierten elektronischen Signatur von S-TRUST muss diese Schnittstelle zwingend auf dem Rechner des Anwenders vorhanden sein. Die CD-ROM Qualifizierte Signatur von S-TRUST enthält die Kartenlesertreiber inkl. der ZKA-Sig-API für die genannten Kartenleser. 3 Ist Bestandteil der CD-ROM Qualifizierte Signatur von S-TRUST. 4 Eine 30-Tage-Testversion der Produkte ist auf der CD-ROM Qualifizierte Signatur von S-TRUST enthalten. Seite 6
1.2 Notwendige Installation vor Download der Zertifikate Für einen erfolgreichen Download der Zertifikate müssen Sie zuerst die Softwarekomponenten der CD-ROM Qualifizierte Signatur von S-TRUST installieren. Gehen Sie hierzu wie folgt vor: Beenden Sie alle aktiven Programme und legen Sie die S-TRUST CD-ROM in Ihr CD/DVD- Laufwerk ein. Das Setup-Programm startet automatisch. Sollte dies nicht der Fall sein, greifen Sie bitte mit Ihrem Dateimanager (z. B. Windows-Explorer) auf Ihr CD/DVD-Laufwerk zu und starten Sie die Datei Setup.exe. Es startet der Installationsassistent, der Sie Schritt für Schritt durch den Installationsprozess führt. Abbildung 3: Installationsassistent Seite 7
Für den Download der Zertifikate müssen Sie, wie in Abbildung 3 dargestellt, mindestens die ersten zwei ausgewählten Komponenten sowie einen der angebotenen Kartenleser installieren. Schließen Sie Ihren Chipkartenleser erst nach Aufforderung durch das Treibersetup an Ihren Rechner an. Optional: Wenn Sie ergänzend die Software S-TRUST Sign-it oder OPENLiMiT CC-Sign with OPENLiMiT Batch installieren möchten, wählen Sie bitte die Installation als Testlizenz aus. Die Installation als Vollversion ist erst nach erfolgreichem Zertifikatsdownload möglich. Klicken Sie auf Installation starten und folgen Sie den einzelnen Schritten der Installationsroutine. Technischer Support Bei technischen Fragen zur Installation der Software der CD-ROM Qualifizierte Signatur von S-TRUST sowie zum Download Ihrer Zertifikate steht Ihnen unsere Supporthotline Montag bis Freitag von 8 bis 20 Uhr zur Verfügung: 0900 1 858000 (0,99 /Min. aus dem Festnetz der Deutschen Telekom). Bei technischen Fragen zur Nutzung von S-TRUST Sign-it oder OPENLiMiT CC-Sign with Batch 25 steht Ihnen eine Supporthotline Montag bis Sonntag von 8 bis 22 Uhr zur Verfügung: 0900 1 478877 (1,99 /Min. aus dem Festnetz der Deutschen Telekom). Seite 8
1.3 Was Sie vor dem Download der Zertifikate beachten sollten Bevor Sie mit dem Download Ihrer Zertifikate starten, gehen Sie bitte die folgende Checkliste durch: Checkpunkt 1 Haben Sie den Treiber Ihres Kartenlesermodells sowie die Java Runtime Environment von der CD-ROM Qualifizierte Signatur von S-TRUST installiert? Siehe dazu Kapitel 1.2 2 Haben Sie die zehnstellige Referenznummer Ihres Einmalpasswort-Briefs zur Hand? Die Referenznummer ist im Adressfenster Ihres Einmalpasswort-Briefs aufgedruckt. 3 Haben Sie sich schon eine aus Ziffern bestehende sechsstellige bis maximal zwölfstellige Signatur-PIN überlegt? Sie benötigen diese als Ersatz für die im Auslieferungszustand der Karte gesetzte Transport-PIN. Eine genaue Erläuterung zur Transport-PIN und Signatur-PIN finden Sie in Kapitel 7. 4 Haben Sie sich schon eine aus Ziffern bestehende sechsstellige bis maximal achtstellige CSA-PIN überlegt? Sie benötigen diese als Ersatz für die im Auslieferungszustand der Karte gesetzte Transport-PIN. Eine genaue Erläuterung zur Transport-PIN und CSA-PIN finden Sie in Kapitel 7. 6 Haben Sie sich schon ein mindestens 5 bis maximal 32-stelliges Sperrpasswort für Ihre Zertifikate überlegt? Sie benötigen dieses um später ggf. Ihre Zertifikate zu sperren. 7 Haben Sie Ihre signaturvorbereitete Karte in den Chipkartenleser gesteckt und die Download-Benachrichtigungs-E-Mail von S-TRUST erhalten? OK? Haben Sie alle oben stehenden Punkte erledigt, können Sie mit dem Download Ihrer Zertifikate beginnen. Kapitel 2 führt Sie dabei Schritt für Schritt zum Ziel. Seite 9
2 Zertifikatsdownload Starten Sie den Download über den persönlichen Download-Link aus Ihrer Benachrichtigungs-E-Mail von S-TRUST. Als Alternative zum oben empfohlenen Direktdownload können Sie den Downloadvorgang auch manuell über den Bereich Zertifikatsmanagement auf der Internetseite www.strust.de starten. Im Laufe des Downloadvorgangs müssen Sie dann manuell den E-Mail- Bestätigungscode aus Ihrer Benachrichtigungs-E-Mail angeben. Gegebenenfalls wird Ihnen nach Klick auf Ihren persönlichen Download-Link von Ihrem Browser eine Warnung angezeigt, dass eine Anwendung (Applet) installiert werden muss. Abbildung 4: Download-Anwendung Bestätigen Sie mit einem Klick auf die Schaltfläche Ausführen. Der Download Ihrer Zertifikate umfasst neun Schritte. Bitte lesen Sie sich die Anweisungen zu den einzelnen Schritten sorgfältig durch. Zu jedem Schritt erhalten Sie weitere Informationen in der Hilfefunktion. Sollte der Download vor Beendigung der neun Schritte unterbrochen werden, können Sie jederzeit ohne Wiederholung bereits erfolgreich durchgeführter Schritte fortfahren. Seite 10
Download Schritt 1 Abbildung 5: Schritt 1 E-Mail-Bestätigungscode und Referenznummer Sollte das Feld E-Mail-Bestätigungscode nicht vorab ausgefüllt sein, geben Sie hier bitte den E-Mail-Bestätigungscode aus Ihrer Download-Benachrichtigungs-E-Mail ein. Tragen Sie in das zweite Feld die Referenznummer des Einmalpasswort-Briefs ein, den Sie bei der Zertifikatsbeantragung von Ihrer Registrierungsstelle erhalten haben. Die Referenznummer ist eine zehnstellige Nummer, die im Adressfenster des Einmalpasswort-Briefs aufgedruckt ist. Bestätigen Sie, dass sich Ihre Karte im Kartenleser befindet indem Sie das Kontrollkästchen durch Anklicken aktivieren. Klicken Sie anschließend auf die Schaltfläche weiter. Seite 11
Download Schritt 2 Abbildung 6: Schritt 2 Änderung Transport-PINs Als Nächstes müssen Sie die Transport-PINs Ihrer Karte in Ihre persönliche Signatur-PIN und Ihre persönliche CSA-PIN ändern. Lesen Sie den angezeigten Text aufmerksam durch. Klicken Sie anschließend auf die Schaltfläche weiter. Hinweis: Nach der Änderung der Transport-PINs in Ihre persönliche Signatur-PIN und Ihre persönliche CSA-PIN werden die Transport-PINs nicht mehr benötigt. ACHTUNG: Prägen Sie sich sowohl Ihre Signatur-PIN als auch Ihre CSA-PIN gut ein. Sie benötigen die Signatur-PIN zur Erstellung von rechtsverbindlichen qualifizierten elektronischen Signaturen. Die CSA- PIN benötigen Sie z. B. zur elektronischen Signierung und Entschlüsselung von E-Mails und zur Authentisierung bei Anwendungen wie z. B. bei ELSTER. Nach dreimaliger Falscheingabe der Signatur-PIN wird diese gesperrt. Ist die Signatur-PIN gesperrt, können Sie mit Ihrer Karte keine rechtsverbindlichen elektronischen Signaturen mehr erstellen. Eine Entsperrung der Signatur-PIN ist nicht möglich. Möchten Sie weiterhin rechtsverbindliche elektronische Signaturen erzeugen, müssen Sie bei Ihrer Registrierungsstelle eine neue Karte und ein neues qualifiziertes Zertifikat beantragen. Nach dreimaliger Falscheingabe der CSA-PIN wird diese gesperrt. Mithilfe Ihrer Signatur-PIN können Sie nach erfolgreichem Download der Zertifikate jedoch die CSA-PIN wieder entsperren (s. Kapitel 6). Seite 12
Download Schritt 3 Abbildung 7: Schritt 3a Änderung Transport-PIN in Signatur-PIN Zuerst müssen Sie die Transport-PIN in Ihre persönliche Signatur-PIN ändern. Die Transport-PIN wird grau hinterlegt am Bildschirm angezeigt. Drucken Sie diese Seite entweder aus oder notieren Sie die Transport-PIN. Klicken Sie auf die Schaltfläche weiter, um mit der Änderung zu beginnen. Seite 13
Abbildung 8: Schritt 3b Änderung Transport-PIN in Signatur-PIN Achten Sie auf die Anzeige im Display Ihres Kartenlesers oder im Pop-up-Fenster auf Ihrem Bildschirm. Sie werden zuerst aufgefordert, Ihre Alte Signatur-PIN einzugeben. Dies ist die vorgegebene fünfstellige Transport-PIN. Geben Sie die Transport-PIN über die Tastatur Ihres Kartenlesers ein und drücken Sie anschließend die Bestätigungstaste Ihres Kartenlesers. Wählen Sie im Anschluss eine neue Signatur-PIN, die Sie zweimal am Kartenlesers eingeben müssen. Die Signatur-PIN muss mindestens sechs und maximal zwölf Ziffern haben. Beenden Sie beide PIN-Eingaben durch Drücken der Bestätigungstaste Ihres Kartenlesers. Seite 14
Download Schritt 4 Abbildung 9: Schritt 4a Änderung Transport-PIN in CSA-PIN Anschließend müssen Sie die Transport-PIN in Ihre persönliche CSA-PIN ändern. Die Transport-PIN wird grau hinterlegt am Bildschirm angezeigt. Drucken Sie diese Seite entweder aus oder notieren Sie die Transport-PIN. Klicken Sie auf die Schaltfläche weiter, um mit der Änderung zu beginnen. Seite 15
Abbildung 10: Schritt 4b Änderung Transport-PIN in CSA-PIN Achten Sie auf die Anzeige im Display Ihres Kartenlesers oder im Pop-up-Fenster auf Ihrem Bildschirm. Sie werden zuerst aufgefordert, Ihre Alte CSA-PIN einzugeben. Dies ist die vorgegebene fünfstellige Transport-PIN. Geben Sie die Transport-PIN über die Tastatur Ihres Kartenlesers ein und drücken Sie anschließend die Bestätigungstaste Ihres Kartenlesers. Wählen Sie im Anschluss eine neue CSA-PIN, die Sie zweimal am Kartenlesers eingeben müssen. Die CSA-PIN muss mindestens sechs und maximal acht Ziffern haben. Beenden Sie beide PIN-Eingaben durch Drücken der Bestätigungstaste Ihres Kartenlesers. Seite 16
Download Schritt 5 Abbildung 11: Schritt 5 Eingabe Einmalpasswort und Wahl Sperrpasswort Geben Sie das 16-stellige Einmalpasswort in das Feld Einmalpasswort ein. Das Einmalpasswort entnehmen Sie aus Ihrer Einmalpasswort-Mitteilung, die Sie von Ihrer Registrierungsstelle erhalten haben. Wählen Sie ein mindestens 5 und maximal 32-stelliges langes Sperrpasswort, das Sie in das Feld Sperrpasswort eingeben. Achten Sie bitte darauf, dass Sie keine Sonderzeichen oder Umlaute verwenden. Sie benötigen das Sperrpasswort zur Sperrung Ihrer Zertifikate, z. B. bei Verlust der Karte. Prägen Sie es sich gut ein. Klicken Sie anschließend auf die Schaltfläche weiter. Seite 17
Download Schritt 6 Abbildung 12: Schritt 6a Datenübersicht In Schritt 6 wird Ihnen eine Übersicht über die in den Schritten 1 bis 5 eingegebenen Daten sowie über die Zertifikatsangaben gemäß Ihrem Zertifikatsantrag angezeigt. Bitte überprüfen Sie, ob alle Angaben korrekt sind. Sollten Sie Abweichungen in den Zertifikatsangaben oder den Sonstigen Angaben zu Ihrem papiergebundenen Zertifikatsantrag finden, brechen Sie den Downloadvorgang ab und wenden Sie sich an Ihre Registrierungsstelle, um ein neues Zertifikat zu beantragen. Mit der Schaltfläche zurück gelangen Sie in das vorherige Menü und können Ihre Eingaben zum Einmalpasswort und Sperrpasswort korrigieren. Klicken Sie auf die Schaltfläche signieren, wenn die angezeigten Daten richtig sind. Achten Sie auf die Anzeige im Display Ihres Kartenlesers oder im Pop-up-Fenster auf Ihrem Bildschirm. Seite 18
Abbildung 13: Schritt 6b Hinweis Um die Daten zu signieren, müssen Sie am Kartenleser Ihre Signatur-PIN eingeben und mit der Bestätigungstaste am Kartenleser abschließen. Seite 19
Download Schritt 7 In Schritt 7 wird die Verbindung zu Ihrer Karte sowie zum Hintergrundsystem aufgebaut. Sobald dies geschehen ist, erhalten Sie die Meldung: Die Verbindung zum Hintergrundsystem ist aufgebaut. Abbildung 14: Schritt 7a Verbindung zum Hintergrundsystem ist aufgebaut Um mit der Ausstellung Ihrer Zertifikate beginnen zu können, müssen Sie zuerst Ihre eigens gewählte Signatur-PIN und danach Ihre eigens gewählte CSA-PIN eingeben. Klicken Sie auf die Schaltfläche weiter um mit der Ausstellung der Zertifikate zu beginnen. Seite 20
Abbildung 15: Schritt 7b Verbindung zum Hintergrundsystem ist aufgebaut Geben Sie Ihre Signatur-PIN am Kartenleser ein und beenden Sie Ihre Eingabe durch Drücken der Bestätigungstaste am Kartenleser. Geben Sie anschließend Ihre CSA-PIN am Kartenlesers ein und beenden Sie Ihre Eingabe durch Drücken der Bestätigungstaste am Kartenleser. Seite 21
Ihre Zertifikate werden nun ausgestellt und Sie erhalten die Meldung Warten auf Zertifikate. Abbildung 16: Schritt 7c Warten auf Zertifikate Seite 22
Download Schritt 8 Abbildung 17: Schritt 8a Zertifikate laden Klicken Sie auf die Schaltfläche weiter um mit dem Laden der Zertifikate in Ihre Karte zu beginnen. Seite 23
Zertifikate werden geladen Abbildung 18: Schritt 8b Zertifikate laden Ihre Zertifikate werden in Ihre Karte geladen. Sie müssen das Laden durch einmaliges Drücken der Bestätigungstaste am Kartenleser freigeben. Seite 24
Download Schritt 9 Wurden Ihre Zertifikate erfolgreich auf Ihre Karte geladen, erhalten Sie die Meldung Download beendet. Abbildung 19: Schritt 9 Download beendet Um den Vorgang abzuschließen, klicken Sie bitte auf die Schaltfläche fertig. Seite 25
3 Zertifikate sperren Sollten Sie Ihre Signaturkarte mit gültigen Zertifikaten verloren haben oder die Zertifikate aus anderen Gründen sperren müssen, können Sie die Sperrung über https://www.zvsuser.s-trust.de veranlassen. Voraussetzung für die Onlinesperrung ist die Kenntnis Ihres Sperrpasswortes. Bei Kenntnis Ihres Sperrpasswortes können Sie die Sperrung Ihrer Zertifikate auch über die Sperrhotline +49(0)1805/936000 (0,14 Euro je Minute aus dem deutschen Festnetz) veranlassen. Wenn Sie nicht mehr im Besitz Ihres Sperrpasswortes sind, müssen Sie die Sperrung der Zertifikate schriftlich bei Ihrer Registrierungsstelle beantragen. Das Antragsformular Sperrantrag S-TRUST Personenzertifikate können Sie unter http://www.s-trust.de herunterladen. Hinweis: Bei einer Sperrung werden immer gleichzeitig das Signatur- und das Verschlüsselungs-/ Authentisierungszertifikat gesperrt. Eine Sperrung einzelner Zertifikate auf der Karte ist nicht möglich. Eine Sperrung kann nicht rückgängig gemacht werden. Um wieder in den Besitz von gültigen Zertifikaten zu kommen, müssen Sie bei Ihrer Registrierungsstelle eine neue Karte und neue Zertifikate bestellen. Seite 26
Onlinesperrung von Zertifikaten Zur Onlinesperrung Ihrer Zertifikate rufen Sie bitte im Internet die Adresse auf https://www.zvs-user.s-trust.de und wählen Sie den Menüpunkt Zertifikate sperren. Alternativ können Sie auch über unsere Internetseite http://www.s-trust.de unter der Rubrik Zertifikatsmanagement dem Link Sperren folgen. Unter dem Menüpunkt Sperren von Zertifikaten wird Ihnen eine Eingabemaske angezeigt. Abbildung 20: Zertifikate sperren Geben Sie Ihre E-Mail-Adresse und Ihr Sperrpasswort in die entsprechenden Felder der Eingabemaske ein und klicken Sie anschließend auf weiter. Sie erhalten als Nächstes eine Übersicht über die Zertifikatsdetails sowie ein zusätzliches Feld mit Namen Sperrgrund. Hinweis: Sollten aufgrund Ihrer Angaben (E-Mail-Adresse, Sperrpasswort) zwei Zertifikatspaare gefunden werden, erhalten Sie zuerst eine Übersicht über die gefundenen Zertifikatspaare. In diesem Fall müssen Sie anhand des Verfalldatums das zu sperrende Zertifikatspaar auswählen. Seite 27
Abbildung 21: Zertifikate sperren Übersicht Wählen Sie einen Sperrgrund aus der Drop-down-Liste aus. Diese Angabe ist Pflicht und muss zwingend eingetragen werden. Klicken Sie auf sperren, um fortzufahren. Sie erhalten dann die Meldung Sperrung erfolgt. Hinweis: Die Durchführung der Sperre kann bis zu 90 Sekunden dauern. Seite 28
Abbildung 22: Zertifikate gesperrt Seite 29
4 Suchen und Herunterladen von Zertifikaten Um Zertifikate anderer Personen zu suchen und diese bei Bedarf herunterzuladen, rufen Sie im Internet die Adresse https://www.zvs-user.s-trust.de auf und wählen Sie den Menüpunkt Suchen von Zertifikaten. Alternativ können Sie auch über unsere Internetseite http://www.s-trust.de unter der Rubrik Zertifikatsmanagement dem Link Verzeichnisdienste folgen. Unter dem Menüpunkt Suchen von Zertifikaten wird Ihnen eine Suchmaske zur Suche von Zertifikaten angezeigt. Abbildung 23: Suchen von Zertifikaten Eingabemaske Geben Sie die Ihnen bekannten Daten des gesuchten Zertifikats in die entsprechenden Felder der Suchmaske ein. Klicken Sie anschließend auf die Schaltfläche suchen. Seite 30
Das Suchergebnis enthält alle zu den eingegebenen Suchkriterien gefundenen Zertifikate. Abbildung 24: Suchergebnis Durch Klick auf das Zertifikatssymbol am Ende der entsprechenden Zeile können Sie sich das gewünschte Zertifikat ansehen oder herunterladen. Durch Klick auf die Zertifikatssymbole am Ende der entsprechenden Zeile erhalten Sie ein P7M File, in dem das Zertifikat inklusive der gesamten Zertifikatskette abgebildet ist. Mit Klick auf das entsprechende Symbol öffnet sich ein Dateidownloadfenster (siehe Abbildung 25: Dateidownload Internet Explorer), das Ihnen bei der Ansicht oder beim Herunterladen des Zertifikats hilft. Sie können den aktuellen Status des Zertifikats abfragen, indem Sie in der Tabelle im Bereich Status auf prüfen klicken. Über die Schaltfläche abbrechen gelangen Sie auf die Anfangsseite zurück und können eine erneute Suche starten. Seite 31
Abbildung 25: Dateidownload Internet Explorer Abbildung 26: Dateidownload Mozilla Firefox Um das Zertifikat auf einer Diskette oder auf Ihrer Festplatte zu speichern, wählen Sie die Option Speichern bzw. Auf Diskette/Festplatte speichern. Wählen Sie zur Anzeige des Zertifikats die Option Öffnen bzw. Öffnen mit CERFile. Ihnen wird als Nächstes das Zertifikat angezeigt. Seite 32
Abbildung 27: Zertifikat Klicken Sie zur Speicherung des Zertifikats im Zertifikatsspeicher Ihres Browsers auf die Schaltfläche Zertifikat installieren... und folgen Sie den Anweisungen der Installationsroutine. Beim MS Internet Explorer finden Sie die Zertifikate unter dem Menüpunkt Extras, Internetoptionen. Wählen Sie bitte den Reiter Inhalte aus und dann die Schaltfläche Zertifikate. Sie finden das Zertifikat unter dem Reiter Andere Personen. Sie können sich nun durch Auswahl und Klick auf die Schaltfläche Anzeigen die Zertifikatsinhalte anschauen. Bei Mozilla Firefox finden Sie die Zertifikate unter dem Menüpunkt Werkzeuge, Einstellungen. Wählen Sie bitte die Rubrik Erweitert aus und öffnen Sie den Menüeintrag Zertifikate. Klicken Sie anschließend auf die Schaltfläche Zertifikatsmanager und wählen Sie unter dem Reiter Andere Personen das Zertifikat aus. Seite 33
5 Onlineprüfung von Zertifikaten Um den Status eines Zertifikats zu prüfen, rufen Sie im Internet die Adresse https://www.zvs-user.s-trust.de auf und wählen Sie den Menüpunkt Onlineprüfung von Zertifikaten. Unter dem Menüpunkt Onlineprüfung von Zertifikaten wird Ihnen eine Eingabemaske zur Abfrage des Status eines S-TRUST Zertifikats angezeigt. Sie benötigen dazu nur die ausstellende CA des Zertifikats und die Seriennummer in dezimaler oder hexadezimaler Form. Abbildung 28: Onlineprüfung von Zertifikaten Wählen Sie die ausstellende CA des Zertifikats aus dem Drop-down-Menü aus. Geben Sie anschließend in das Feld Seriennummer die Seriennummer des Zertifikats in dezimaler oder hexadezimaler Form ein. Markieren Sie hierfür das entsprechende Kästchen durch Anklicken im Feld Eingabe der Seriennummer. Mit einem Klick auf die Schaltfläche weiter erhalten Sie Auskunft über den Status des Zertifikats. Seite 34
Abbildung 29: Ergebnis Onlineprüfung Es können folgende Statusauskünfte angezeigt werden: unbekannt: Ein solches Zertifikat wurde von der gewählten CA nicht ausgestellt, es liegen daher keine Informationen zu dem Zertifikat vor nicht gesperrt: Das Zertifikat wurde erstellt, dem OCSP liegen keine Sperrinformationen vor gesperrt (mit Zeitpunkt): Das Zertifikat wurde zum angegebenen Zeitpunkt gesperrt ACHTUNG: Das Ergebnis der Onlineprüfung dient allein Informationszwecken. Eine rechtsverbindliche Auskunft über den Zertifikatsstatus können Sie nur mittels einer signaturgesetzkonformen Signaturanwendungskomponente wie z. B. S.-TRUST Sign-it erhalten. Seite 35
6 CSA-PIN entsperren Wenn Sie dreimal hintereinander Ihre CSA-PIN falsch eingeben, wird diese gesperrt. In diesem Fall kann die Verschlüsselungs-/Authentisierungsfunktion Ihrer Karte nicht mehr genutzt werden. Sie können jedoch mithilfe Ihrer Signatur-PIN die CSA-PIN entsperren. Um die CSA-PIN zu entsperren, rufen Sie im Internet die Adresse https://www.zvs-user.strust.de auf. Alternativ können Sie auch über unsere Internetseite www.s-trust.de unter der Rubrik Zertifikatsmanagement dem Link Download qualifizierter Zertifikate folgen mit abschließendem Klick auf Downloadserver von S-TRUST. Stecken Sie Ihre Karte in den Kartenleser, wählen Sie den Menüpunkt Verwaltung und anschließend den Unterpunkt CSA-PIN entsperren. Abbildung 30: CSA-PIN entsperren Schritt 1a Lesen Sie den angezeigten Hinweistext aufmerksam durch. Klicken Sie dann auf weiter. Seite 36
Bitte folgen Sie den Anweisungen Ihres Kartenlesers Abbildung 31: CSA-PIN entsperren Schritt 1b Bitte folgen Sie den Anweisungen Ihres Kartenlesers. Seite 37
Abbildung 32: CSA-PIN entsperren Schritt 2 Um eine neue CSA-PIN in die Karte einzutragen, müssen Sie zuerst Ihre Signatur-PIN am Kartenleser eingeben und die Eingabe anschließend durch Drücken der Bestätigungstaste am Kartenleser abschließen. Im Anschluss wird Ihnen ein sechsstelliger Zufallswert angezeigt. Seite 38
Abbildung 33: Neue CSA-PIN Schritt 3a Bitte drucken Sie die Seite aus oder notieren Sie sich den sechsstelligen Zufallswert (= Alte CSA-PIN ). Nach der Änderung in Ihre neue persönliche CSA-PIN wird der sechsstellige Zufallswert nicht mehr benötigt. Klicken Sie auf weiter, um mit der Änderung des sechsstelligen Zufallswerts (= Alte CSA- PIN ) zu beginnen. Seite 39
Abbildung 34: CSA-PIN entsperren Schritt 3b Achten Sie auf die Anzeige im Display Ihres Kartenlesers oder im Pop-up-Fenster auf Ihrem Bildschirm. Sie werden zuerst aufgefordert, Ihre CSA-PIN (= Alte CSA-PIN ) einzugeben. Dies ist der vorgegebene sechsstellige Zufallswert. Sie müssen diesen sechsstelligen Zufallswert am Kartenlesers eingeben und die Eingabe mit der Bestätigungstaste abschließen. Wählen Sie im Anschluss eine neue persönliche CSA-PIN, die Sie zweimal am Kartenlesers eingeben müssen. Die CSA-PIN muss mindestens sechs und maximal acht Ziffern umfassen. Beenden Sie beide PIN-Eingaben durch Drücken der Bestätigungstaste Ihres Kartenlesers. Seite 40
Nach erfolgreicher Änderung des sechsstelligen Zufallswerts erhalten Sie die Meldung Ihre CSA-PIN wurde geändert. Abbildung 35: CSA-PIN entsperren Beenden Sie den Vorgang durch einen Klick auf die Schaltfläche fertig. Seite 41
7 Begriffserklärungen Transport-PIN: Ihre Karte wird mit einer fünfstelligen Transport-PIN für die elektronische Signatur ausgeliefert, die im Rahmen des Zertifikatsdownloads in einen jeweils von Ihnen zu bestimmen Wert geändert werden muss. Die Transport-PIN ist identisch für den Signaturschlüssel als auch den Verschlüsselungs-/Authentisierungsschlüssel. Signatur-PIN: PIN zur Erstellung einer rechtsverbindlichen elektronischen Signatur. Die PIN darf nur aus Zahlen bestehen und eine sechsstellige bis maximal zwölfstellige Länge haben. CSA-PIN: PIN zur Erstellung von fortgeschrittenen elektronischen Signaturen, zur Entschlüsselung von Daten oder E-Mails sowie zur Authentisierung. Die PIN darf nur aus Zahlen bestehen und eine sechsstellige bis maximal achtstellige Länge haben. Sperrpasswort: Geheimes Passwort, das vom Antragsteller im Rahmen des Downloadprozesses selbst gewählt. Das Sperrpasswort wird zur Onlinesperrung und zur telefonischen Sperrung von Zertifikaten benötig. Es muss aus 5 bis maximal 32 Zeichen ohne Umlaute und Sonderzeichen bestehen. Einmalpasswort-Brief Der Einmalpasswort-Brief enthält das geheime Einmalpasswort, das Sie für den Download Ihres qualifizierten S-TRUST Personenzertifikats benötigen. Sie erhalten den Einmalpasswort-Brief bei der Zertifikatsbeantragung. Nach erfolgreichem Download Ihres Zertifikats können Sie den Einmalpasswort-Brief vernichten. Seite 42