docBedienungsanleitung - OpenVPKI der KDVZ Citkomm
download 
Report Transcription
Bedienungsanleitung - OpenVPKI der KDVZ Citkomm
VERWALTUNGS-PKI-ZERTIFIKATE Antragsstellung Installation Erstellt durch: KDVZ Citkomm Sonnenblumenallee 3 58675 Hemer IHR KONTAKT Auskunft erteilt: Citkomm Trustcenter Kundendienst: 02372 5520 333 FAX: 02372 5520 61 333 Email: pki@citkomm.de Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 1 Inhalt Seite 1 VORBEMERKUNG .......................................................................................................................... 3 2 ÜBERSICHT DER HANDLUNGSABLÄUFE ................................................................................... 4 3 ANTRAG ÜBER INTERNET EXPLORER ODER MICROSOFT EDGE ......................................... 5 3.1 Antragstellung .................................................................................................................................. 5 3.1.1 Microsoft Internet Explorer ......................................................................................................... 5 3.1.2 Microsoft EDGE .......................................................................................................................... 7 4 Drucken des Namensvergabedokumentes ................................................................................... 14 4.1 Genehmigung des Antrages .......................................................................................................... 15 4.2 Herunterladen des Zertifikats nach Mail vom Trust Center ........................................................... 17 4.3 Installation des Zertifikates im Internet Explorer und / oder EDGE ............................................... 21 4.4 Sicherung des Zertifikates im Internet Explorer bzw. EDGE ......................................................... 23 5 ANTRAG ÜBER FIREFOX ............................................................................................................ 28 5.1 Antragstellung ................................................................................................................................ 28 5.2 Drucken des Namensvergabedokumentes ................................................................................... 35 5.3 Genehmigung des Antrages .......................................................................................................... 36 5.4 Herunterladen des Zertifikats nach Mail vom Trust Center ........................................................... 38 5.5 Installation des Zertifikates Firefox ................................................................................................ 40 5.6 Sicherung des Zertifikates Firefox ................................................................................................. 42 6 ALLG. HINWEISE .......................................................................................................................... 44 6.1 Dialogabbruch ................................................................................................................................ 44 6.2 Kontaktdaten .................................................................................................................................. 44 6.3 Servicezeiten ................................................................................................................................. 45 6.4 Tipps und Tricks ............................................................................................................................ 45 6.5 Glossar .......................................................................................................................................... 46 Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 2 1 VORBEMERKUNG Die hier beschriebenen Arbeitsabläufe beziehen sich auf die Funktionen für die Antragstellung von Zertifikaten im System der Verwaltungs- Public-Key-Infrastruktur (V-PKI) der KDVZ Citkomm. Die Citkomm stellt die Dienstleistung eines Zertifizierungsdiensteanbieters der PKI-1-Verwaltung für Mitarbeiter von Behörden aus dem Bereich der öffentlichen Verwaltung zur Verfügung. Im Übrigen gelten die Ausführungen in der CP (Sicherheitsleitlinie) in der jeweils gültigen Fassung. Die Registrierungsstelle ist per E-Mail erreichbar unter pki@citkomm.de. Der Zugang zur V-PKI der Citkomm geschieht über einen Internet-Browser über das Webportal http://cas.citkomm.de Copyright (c) 2007 KDVZ Citkomm Permission is granted to copy distribute and/or modify this document under the terms of the GNU Free Documentation License Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections no Front-Cover Texts and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation KDVZ Ergänzung des Copyright: Der vollständige Lizenztext ist aus Gründen der Praktikabilität im Hauptdokument hinterlegt. Das Hauptdokument ist die Certificate Policy (CP,Sicherheitsleitlinie) der PKI der KDVZ Citkomm. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 3 2 ÜBERSICHT DER HANDLUNGSABLÄUFE Das Webportal wird über http://cas.citkomm.de aufgerufen – ohne www. Die Beantragung eines Zertifikats ist aus technischen Gründen über einen Internet-Explorer Version 6.0 möglich oder über Firefox Opera Browser ab . sowie andere Browser werden für die Beantragung nicht unterstützt. Es wird nur das Betriebssystem MS/Windows unterstützt. Wir nutzen den MS-Store für die Verwaltung des privaten Schlüssels. Bei einem Antrag über Firefox muss zum installieren des Zertifikats eine EXE-Datei ausgeführt werden.. Schritt 1 o Antrag stellen über cas.citkomm.de o Browser: Internet Explorer oder Firefox Schritt 2 o Drucken des Namensvergabedokumentes o Versand an das Trust Center der Citkomm per Fax oder Mail Schritt 3 o Genehmigung durch den Registrator vor Ort oder o Genehmigung durch die Citkomm (meist nach POSTIDENT® Schritt 4 o Mail vom Trust Center pki@citkomm.de zum Herunterladen des Zertifikates Schritt 5 o Installation des Zertifikates auf dem Rechner, auf dem beantragt wurde Schritt 6 o Sichern des Zertifikates auf einem Datenträger oder sicherem Laufwerk Die einzelnen Schritte sind auf den folgenden Seiten erläutert. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 4 3 ANTRAG ÜBER INTERNET EXPLORER ODER MICROSOFT EDGE 3.1 Antragstellung 3.1.1 Microsoft Internet Explorer Schritt 1: Antrag stellen Wählen Sie im nächsten Schritt den Menüpunkt: Beantragen – Benutzerzertifikat HINWEIS: Für die Anträge JMD, WASKIQ, ESF und StipG gibt es eine gesonderte Beschreibung zur Anleitung eines Gruppenzertifikates in den jeweiligen Webportalen. Beispiel JMD: http://doku.impuls-jmd.de Einige Angaben sind anders als hier in dieser Anleitung dargestellt. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 5 Ab Internet Explorer Version 11 kann es zu dem obigen Fehlerhinweis bezgl. der Kompatibilitätsansicht kommen. Dieses Problem wird wie folgt behoben: Extras aufrufen Bitte anklicken Einstellungen der Kompatibilitätsansicht Autor: Trustcenter Status: freigegeben Version: 2.0.2 Bitte hinzugüfgen citkomm.de Datum: 12.8.2016 Seite 6 3.1.2 Microsoft EDGE Wenn sie mit Win10 und dem EDGE Browser von Microsoft arbeiten und die genannte Fehlernachricht erscheint, ist die folgende Vorgehensweise zu wählen: Über die Punke öffnen sie weitere Einstellungen. Bitte wählen sie „Mit Internet Explorer öffnen“. Im nächsten Fenster klicken sie auf Hauptmenü. Die Seite zur Beantragung wird wieder geöffnet und die weitere Schritte entsprechen denen der Beantragung mit dem Internet Explorer (insbesondere die Einstellungen der Kompatibilitätsansicht sowie ActivX-Steuerelemente). Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 7 Für die Identitätsprüfung muss ein schriftliches Antragsdokument an das Trust Center der Citkomm gegeben werden. Bei der nachfolgenden elektronischen Beantragung wird dieses Begleitdokument automatisch erzeugt. Bevor Sie die weiteren Schritte ausführen, stellen Sie sicher, dass an Ihrem Arbeitsplatz ein Drucker angeschlossen ist und funktionsbereit zur Verfügung steht. Wenn Sie für die Identitätsfeststellung am Postident®-Verfahren der Deutschen Post AG teilnehmen, erhalten Sie in Kürze ein Schreiben bzw. eine Mail (mit pdf-Anhang) des Trust-Centers der Citkomm für das weitere Vorgehen. Geben Sie als Räumliche Ordnung an: Citkomm Auswahl aus dem Pulldown-Menü Für die Verwaltungen Citkomm, MK, Iserlohn, Halver, Schalksmühle, Kreis Soest, HSK, Sundern, Schwerte, SIT, KDZ Siegen steht ein Registrator lokal in Ihrer Verwaltung zur Verfügung (Name steht auf dem Antragsdokument als sog. LRA, Local-Registration-Authority). Dieser bekommt das Antragsdokument. Wählen Sie dann bitte den Namen Ihrer Verwaltung aus dem Pulldown-Menü. Danach drücken Sie die Taste Weiter >>> Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 8 Geben Sie als Organisationseinheit I an: Name Ihrer Kommune, hier als Beispiel „Stadt Geseke“ Auswahl aus dem Pulldown-Menü Sollte der Name Ihrer Kommune nicht angezeigt werden, melden Sie sich bitte bei der Citkomm, der Eintrag wird dann vorgenommen. Danach drücken Sie die Taste Weiter >>> Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 9 Geben Sie als Organisationseinheit II an: Amtsbezeichnung bzw. spezifische Auswahl der Verwaltung, hier als Beispiel „Standesamt“ Auswahl aus dem Pulldown-Menü Danach drücken Sie die Taste Weiter >>> Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 10 HINWEIS: Für die Anträge JMD, AiR, StipG, ESF Monitoring und WASKIQ gibt es an dieser Stelle ein Sonderformat. Die Beschreibung zur Anleitung eines Gruppenzertifikates ist in den jeweiligen Webportalen hinterlegt. Beispiel JMD: http://doku.impuls-jmd.de Als Kennung ist im Sonderformat bei JMD eine 4-stellige Ziffer bzw. bei WASKIQ eine 5-stellige Ziffer und eine Mailadresse einzugeben. Kennung bleibt unverändert. Das Feld „Zusätze“ bleibt in der Regel leer. Hier wird die Titelangabe, z.B. Dr., eingegeben. Bitte beachten Sie, dass Sie die Felder ausfüllen müssen, die mit einem Stern * gekennzeichnet sind, also Anrede entsprechend anklicken. Der Antragsteller trägt seinen Namen, Vornamen und E-Mail-Adresse ein. Die Felder Name, Vorname und E-Mail sind gleichzeitig Pflichtfelder und werden im Zertifikat enthalten sein. Name und Vorname müssen immer mit einem Großbuchstaben beginnen. Es ist zu beachten, dass keine Umlaute bzw. Sonderzeichen wie ä, ö, ü, ß eingegeben werden. Wichtig: Qualifizierte Signaturkarte bleibt unverändert auf „nein“! Wie eine Signaturkarte beantragt wird, steht unter Dokumente – Anleitung Signaturkarten. Sicherheitsrichtlinien akzeptieren (Häckchenfeld anklicken) Danach drücken Sie die Taste beantragen Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 11 Bitte bestätigen Sie Ihre getroffenen Angaben. Die Eingaben werden zur Prüfung angezeigt und können korrigiert werden. Durch abbrechen kommen Sie wieder in den Eingabemodus. Drücken Sie die Taste bestätigen Nach Bestätigung der Antragsdaten wird der private Schlüssel als Teil des Zertifikats auf diesem Rechner gespeichert. Hier muss nach Fertigstellung des Zertifikats durch das Trust-Center auch die Installation erfolgen. Bitte beachten Sie, dass zwischen Antrag und Installation keine Änderungen am Benutzerprofil des Betriebssystems (insbes. Kennwortänderung) vorgenommen werden dürfen. Es kann vorkommen, dass Sie eine Fehlermeldung bekommen, die je nach dem installierten Betriebssystem anders lautet und auch andere Reaktionen erfordert. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 12 Beim Betriebssystem MS / Win 7 und Win 10 lautet die Meldung: Auch hier finden Sie weitere Hinweise zur Fehlerbehebung auf dem Portal cas.citkomm.de unter „Dokumente“ und „Tipps und Tricks“. Sind die Daten der Eingabe korrekt und abgesendet, erfolgt je nach Version von Windows eine Microsoft Sicherheitsabfrage, die mit Ja zu bestätigen ist. Der private Schlüssel wird standardmäßig mit einer mittleren Sicherheitsstufe erstellt. Es wird aus Sicherheitsgründen empfohlen, die hohe Stufe zu wählen. Dies bedingt, dass bei jeder Nutzung des Zertifikates ein Kennwort einzugeben ist. Drücken Sie dann die Taste OK Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 13 4 Drucken des Namensvergabedokumentes Schritt 2: Drucken des Namensvergabedokumentes Es folgt nun ein Hinweis, dass der Zertifikatsantrag (Namensvergabedokument) gedruckt wird. Spätestens jetzt sollte der angeschlossene Drucker betriebsbereit sein. Ohne diesen Ausdruck kann Ihr Zertifikat nicht erstellt werden. Bitte unterschreiben Sie das Dokument als Antragsteller auf der 2. Seite unten. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 14 4.1 Genehmigung des Antrages Schritt 3: Genehmigung POSTIDENT® Sie erhalten in Kürze ein Schreiben bzw. eine Mail der KDVZ Citkomm, in dem die weitere Vorgehensweise erläutert wird. Die persönliche Authentisierung kann auch in einer beliebigen Filiale der Deutschen Post AG vorgenommen werden. Die KDVZ bietet dafür das Verfahren POSTIDENT® an. Dieser zertifizierte Dienst der Deutschen Post AG übernimmt dann Teilaufgaben einer LRA-Instanz. Der dafür notwendige Post-Coupon wird Ihnen zugeschickt. Lokale Registrierung vor Ort: Der ausgedruckte Zertifikatsantrag muss der zuständigen lokalen Vertrauens-Person (LRA) zur Prüfung und Genehmigung vorgelegt werden. Der Common Name (CN) ist um einen verschlüsselten Zeitstempel erweitert worden. Im obigen Beispiel steht hinter Mustermann Erika der Stempel 8477efa9. Bei jedem neuen Antrag gibt es einen anderen Zeitstempel. Sie erhalten eine maschinell erzeugte Mail an die angegebene e-Mail-Adresse, dass ein Antrag gestellt worden ist. Antrags-ID: 1234 Sehr geehrte/r Frau Erika Mustermann, Ihr Zertifikatsantrag wurde erfasst. Wenn Sie zur Identifikation Ihrer Person das Verfahren POSTIDENT(R) nutzen, werden Ihnen in den nächsten Tagen die dazu notwendigen Unterlagen vom Trust Center der KDVZ Citkomm zugeschickt. Nutzen Sie das Verfahren nicht, nehmen Sie bitte innerhalb der nächsten Tage Kontakt zu Ihrer lokalen Registrierungsstelle (LRA) in Ihrem Hause auf, damit Ihr Antrag weiter bearbeitet werden kann. Sollten Sie diese Mail erhalten haben, ohne dass Sie persönlich einen Antrag gestellt haben, wenden Sie sich bitte an ihre zuständige lokale Registrierungsstelle (LRA) oder die KDVZ Citkomm, pki@citkomm.de. Mit freundlichem Gruß V-PKI der KDVZ Citkomm Trust Center Damit ist der Dialog zur Beantragung eines Zertifikates für den Antragsteller beendet. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 15 Ob LRA oder Postident - in beiden Fällen muss Ihr Antrag genehmigt werden, um weiter bearbeitet zu werden. Darüber erhalten Sie eine Mail: Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 16 4.2 Herunterladen des Zertifikats nach Mail vom Trust Center Schritt 4: Mail vom Trust Center Nachdem der Zertifikatsantrag von allen Instanzen der PKI bearbeitet wurde, steht für diesen Antrag ein Zertifikat zur Verfügung. Der Antragsteller erhält automatisch eine entsprechende E-Mail an die im Zertifikatsantrag angegebene Adresse. Diese E-Mail enthält Informationen, die der Antragsteller braucht, um sein persönliches Zertifikat zu erhalten. *V-PKI der KDVZ Citkomm --------------------------------------------------------------------Sehr geehrte Antragstellerin, sehr geehrter Antragsteller, Sie koennen Ihr beantragtes Zertifikat mit der Nummer 3364 nun von unserem Server direkt unter folgender Adresse herunterladen: http://cas.citkomm.de/html/petitionLdapUserServerDownloadGet.php?attr=ser=33 64,CN=Mustermann~Erika~8477efa9,OU=Standesamt,OU=Stadt Geseke,O=Citkomm,C=DE Eine Anleitung zur Installation und Sicherung des Zertifikats finden Sie unter folgender Adresse: http://cas.citkomm.de/dokument/Install_Zert.pdf Bitte beachten Sie, dass Sie eine Sicherungskopie Ihres Zertifikates mit Ihrem privaten Schluessel erzeugen. Wenn der private Schluessel verloren geht, sind Sie nicht mehr in der Lage, mit diesem Zertifikat zu arbeiten. Sollten Sie diese Mail erhalten haben, obwohl Sie persoenlich kein Zertifikat beantragt haben, senden Sie bitte diese Mail an pki@citkomm.de der KDVZ Citkomm. Mit freundlichem Gruss Ihr CA KDVZ Citkomm PKI-Team Wenn der angegebene Link in der Mail (siehe oben blau unterlegt) nicht läuft und es zu einer Fehlermeldung kommt, können Sie das Zertifikat über unser Webportal cas.citkomm.de herunterladen. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 17 In diesem Fall wird der Dialog durch Klick auf Hauptmenü fortgesetzt. Das Herunterladen erfolgt nun über das Webportal. Wählen Sie bitte Herunterladen Benutzerzertifikate und geben Ihre E-Mail-Adresse ein, die Sie bei der Antragstellung benutzt haben. Sie können die Suche auch mit * (Stern) und einem Namensbestandteil sowohl beim Namen als auch der Mail durchführen. Drücken Sie die Taste Suchen Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 18 Nach klicken auf den Inhaber Namen werden sie zum Öffnen oder Speichern einer Datei aufgefordert. Das Layout aller Dialoge ist im EDGE Browser abweichend, die Funktionalität ist aber Identisch. Drücken Sie die Taste Speichern Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 19 Speichern Sie die Transport-Datei userCertificate.p7b (bei Nutzung des IE oder EDGE) auf dem Desktop ab. Beim Firefox ist die Transportdatei Teil einer .ZIP-Datei. Nach dem Ende des Downloads können Sie das Fenster schließen. Suchen Sie jetzt auf dem Desktop oder dort, wo Sie die Datei gespeichert haben, nach Mit der rechten Maustaste rufen Sie den Installationsassistenten auf. Klicken Sie dazu auf Zertifikat installieren Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 20 4.3 Installation des Zertifikates im Internet Explorer und / oder EDGE Schritt 5: Installation Folgen sie dem Import Assistent Drücken Sie die Taste Weiter > Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 21 Ohne Änderung drücken Sie die Taste Weiter > Drücken Sie die Taste Fertig stellen Danach erhalten sie die Information Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 22 Drücken Sie die Taste OK Das private Zertifikat steht jetzt im Microsoft Zertifikatspeicher des angemeldeten Benutzers unter dem Eintrag Eigene Zertifikate. 4.4 Sicherung des Zertifikates im Internet Explorer bzw. EDGE Schritt 6: Sichern Zur Sicherung Ihrer Zertifikatsdaten gehen Sie folgendermaßen vor: Zertifikatspeicher über den Internet Explorer auswählen Extras Internetoptionen Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 23 Inhalte Zertifikate Unter Eigene Zertifikate muss Ihr Zertifikat angezeigt werden: Mit Hilfe des Zertifikatexport-Assistenten wird die Sicherung durchgeführt. Dazu ist das Zertifikat auszuwählen und die Taste Exportieren zu drücken. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 24 Bitte den privaten Schlüssel exportieren. Dazu ist der Button Ja anzuklicken, der standardmäßig auf nein steht. Wenn der private Schlüssel nicht exportiert wird, ist die Datei als Sicherung unbrauchbar. Betätigen Sie die Taste Weiter > Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 25 Im Fenster Exportdateiformat setzen Sie den Haken bei Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen. Alle erweiterten Eigenschaften exportieren Betätigen Sie die Taste Weiter > Das Kennwort, das hier eingegeben wird, ist nicht zu verwechseln mit dem ZertifikatsKennwort, sondern schützt die erstellte Datei. Das Kennwort wird später abgefragt, wenn aus dieser Datei der private Schlüssel wieder hergestellt werden soll. Betätigen Sie die Taste Weiter > Geben Sie noch den Pfad zur Speicherung der Exportdatei an. Erzeugt wird eine Datei mit der Endung .pfx Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 26 Aus dieser Sicherungsdatei kann das Zertifikat und der private Schlüssel jederzeit wiederhergestellt werden. Diese Sicherungsdatei sollten sie auf einem externen Speichermedium ablegen. Das kann ein USB-Speicher oder ein Verzeichnis auf einem Netzlaufwerk sein. Betätigen Sie die Taste Weiter > Betätigen Sie die Taste Fertig stellen und danach die Taste OK für den privaten Schlüssel. Damit ist der Export des Zertifikats und des privaten Schlüssels erfolgreich abgeschlossen. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 27 5 5.1 ANTRAG ÜBER FIREFOX Antragstellung Schritt 1: Antrag stellen Wählen Sie im nächsten Schritt den Menüpunkt: Beantragen – Benutzerzertifikat HINWEIS: Für die Anträge JMD, WASKIQ, ESF und StipG gibt es eine gesonderte Beschreibung zur Anleitung eines Gruppenzertifikates in den jeweiligen Webportalen. Beispiel JMD: http://doku.impuls-jmd.de Einige Angaben sind anders als hier in dieser Anleitung dargestellt Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 28 Für die Identitätsprüfung muss ein schriftliches Antragsdokument an das Trust Center der Citkomm gegeben werden. Bei der nachfolgenden elektronischen Beantragung wird dieses Begleitdokument automatisch erzeugt. Bevor Sie die weiteren Schritte ausführen, stellen Sie sicher, dass an Ihrem Arbeitsplatz ein Drucker angeschlossen ist und funktionsbereit zur Verfügung steht. Wenn Sie für die Identitätsfeststellung am Postident®-Verfahren der Deutschen Post AG teilnehmen, erhalten Sie in Kürze ein Schreiben bzw. eine Mail (mit pdf-Anhang) des Trust-Centers der Citkomm für das weitere Vorgehen. Geben Sie als Räumliche Ordnung an: Citkomm Auswahl aus dem Pulldown-Menü Für die Verwaltungen Citkomm, MK, Iserlohn, Halver, Schalksmühle, Kreis Soest, HSK, Sundern, Schwerte, SIT, KDZ Siegen steht ein Registrator lokal in Ihrer Verwaltung zur Verfügung (Name steht auf dem Antragsdokument als sog. LRA). Dieser bekommt das Antragsdokument. Wählen Sie dann bitte den Namen Ihrer Verwaltung aus dem Pulldown-Menü. Danach drücken Sie die Taste Weiter >>> Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 29 Geben Sie als Organisationseinheit I an: Name Ihrer Kommune, hier als Beispiel „Stadt Geseke“ Auswahl aus dem Pulldown-Menü Sollte der Name Ihrer Kommune nicht angezeigt werden, melden Sie sich bitte bei der Citkomm. Danach drücken Sie die Taste Weiter >>> Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 30 Geben Sie als Organisationseinheit II an: Amtsbezeichnung bzw. spezifische Auswahl der Verwaltung, hier als Beispiel „Standesamt“ Auswahl aus dem Pulldown-Menü Danach drücken Sie die Taste Weiter >>> Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 31 HINWEIS: Für die Anträge JMD, AiR, StipG, ESF Monitoring und WASKIQ gibt es an dieser Stelle ein Sonderformat. Die Beschreibung zur Anleitung eines Gruppenzertifikates ist in den jeweiligen Webportalen hinterlegt. Beispiel JMD: http://doku.impuls-jmd.de Als Kennung ist im Sonderformat bei JMD eine 4-stellige Ziffer bzw. bei WASKIQ eine 5-stellige Ziffer und eine Mailadresse einzugeben. Kennung bleibt unverändert. Das Feld „Zusätze“ bleibt in der Regel leer. Hier wird die Titelangabe, z.B. Dr., eingegeben. Bitte beachten Sie, dass Sie die Felder ausfüllen müssen, die mit einem Stern * gekennzeichnet sind, also Anrede entsprechend anklicken. Der Antragsteller trägt seinen Namen, Vornamen und E-Mail-Adresse ein. Die Felder Name, Vorname und E-Mail sind gleichzeitig Pflichtfelder und werden im Zertifikat ebenso wie Zusätze enthalten sein. Name und Vorname müssen immer mit einem Großbuchstaben beginnen. Es ist zu beachten, dass keine Umlaute bzw. Sonderzeichen wie ä, ö, ü, ß eingegeben werden. Wichtig: Qualifizierte Signaturkarte bleibt unverändert auf „nein“! Sicherheitsrichtlinien akzeptieren (Häckchenfeld anklicken) Danach drücken Sie die Taste beantragen Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 32 Bitte bestätigen Sie Ihre getroffenen Angaben. Die Eingaben werden zur Prüfung angezeigt und können korrigiert werden. Durch abbrechen kommen Sie wieder in den Eingabemodus. Drücken Sie die Taste bestätigen Nach Bestätigung der Antragsdaten wird der private Schlüssel als Teil des Zertifikats auf diesem Rechner gespeichert. Hier muss nach Fertigstellung des Zertifikats durch das Trust-Center auch die Installation erfolgen. Bitte beachten Sie, dass zwischen Antrag und Installation keine Änderungen am Benutzerprofil des Betriebssystems (insbes. Kennwortänderung) vorgenommen werden dürfen. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 33 Es wird der Schlüssel generiert, nach Abschluss kommt folgende Meldung: Drücken Sie die Taste OK Drücken Sie die Taste Abbrechen Es wichtig, dass Sie hier abbrechen drücken, damit Ihr Zertifikatsantrag (Namensvergabedokument) im Druckdialog erscheint und gedruckt werden kann. Es sollte ein betriebsbereiter Drucker zur Verfügung stehen. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 34 5.2 Drucken des Namensvergabedokumentes Schritt 2: Namensvergabedokument Ohne diesen Ausdruck kann Ihr Zertifikat nicht ausgestellt werden. Bitte unterschreiben Sie das Dokument als Antragsteller auf der 2. Seite unten. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 35 5.3 Genehmigung des Antrages Schritt 3: Genehmigung POSTIDENT® Sie erhalten in Kürze ein Schreiben bzw. eine Mail der KDVZ Citkomm, in dem die weitere Vorgehensweise erläutert wird. Die persönliche Authentisierung kann auch in einer beliebigen Filiale der Deutschen Post AG vorgenommen werden. Die KDVZ Citkomm bietet dafür das Verfahren POSTIDENT® an. Dieser zertifizierte Dienst der Deutschen Post AG übernimmt dann Teilaufgaben einer LRA-Instanz. Der dafür notwendige Post-Coupon wird Ihnen zugeschickt. Lokale Registrierung vor Ort: Der ausgedruckte Zertifikatsantrag muss der zuständigen lokalen Vertrauens-Person (LRA) zur Prüfung und Genehmigung vorgelegt werden. Sie erhalten eine maschinell erzeugte Mail an die angegebene e-Mail-Adresse, dass Ihr Antrag gestellt worden ist. Antrags-ID: 1234 Sehr geehrte/r Frau Erika Mustermann, Ihr Zertifikatsantrag wurde erfasst. Wenn Sie zur Identifikation Ihrer Person das Verfahren POSTIDENT(R) nutzen, werden Ihnen in den nächsten Tagen die dazu notwendigen Unterlagen vom Trust Center der KDVZ Citkomm zugeschickt. Nutzen Sie das Verfahren nicht, nehmen Sie bitte innerhalb der nächsten Tage Kontakt zu Ihrer lokalen Registrierungsstelle (LRA) in Ihrem Hause auf, damit Ihr Antrag weiter bearbeitet werden kann. Sollten Sie diese Mail erhalten haben, ohne dass Sie persönlich einen Antrag gestellt haben, wenden Sie sich bitte an ihre zuständige lokale Registrierungsstelle (LRA) oder die KDVZ Citkomm, pki@citkomm.de. Mit freundlichem Gruß V-PKI der KDVZ Citkomm Trust Center Damit ist der Dialog zur Beantragung eines Zertifikates für den Antragsteller beendet. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 36 Ob LRA oder Postident - in beiden Fällen muss Ihr Antrag genehmigt werden, um weiter bearbeitet werden zu können. Darüber erhalten Sie eine Mail: Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 37 5.4 Herunterladen des Zertifikats nach Mail vom Trust Center Schritt 4: Mail vom Trust Center Nachdem der Zertifikatsantrag von allen Instanzen der PKI bearbeitet wurde, steht für diesen Antrag ein Zertifikat zur Verfügung. Der Antragsteller erhält automatisch eine entsprechende E-Mail an die im Zertifikatsantrag angegebene Adresse. Diese E-Mail enthält Informationen, die der Antragsteller braucht, um sein persönliches Zertifikat zu erhalten. *V-PKI der KDVZ Citkomm --------------------------------------------------------------------Sehr geehrte Antragstellerin, sehr geehrter Antragsteller, Sie koennen Ihr beantragtes Zertifikat mit der Nummer 3364 nun von unserem Server direkt unter folgender Adresse herunterladen: http://cas.citkomm.de/html/petitionLdapUserServerDownloadGet.php?attr=ser=33 64,CN=Mustermann~Erika~8477efa9,OU=Standesamt,OU=Stadt Geseke,O=Citkomm,C=DE Eine Anleitung zur Installation und Sicherung des Zertifikats finden Sie unter folgender Adresse: http://cas.citkomm.de/dokument/Install_Zert.pdf Bitte beachten Sie, dass Sie eine Sicherungskopie Ihres Zertifikates mit Ihrem privaten Schluessel erzeugen. Wenn der private Schluessel verloren geht, sind Sie nicht mehr in der Lage, mit diesem Zertifikat zu arbeiten. Sollten Sie diese Mail erhalten haben, obwohl Sie persoenlich kein Zertifikat beantragt haben, senden Sie bitte diese Mail an pki@citkomm.de der KDVZ Citkomm. Mit freundlichem Gruss Ihr CA KDVZ Citkomm PKI-Team Wenn der angegebene Link in der Mail (siehe oben blau unterlegt) nicht läuft und es zu einer Fehlermeldung kommt, können Sie das Zertifikat über unser Webportal cas.citkomm.de herunterladen. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 38 In diesem Fall wird der Dialog durch Klick auf Hauptmenü fortgesetzt. Das Herunterladen erfolgt nun über das Webportal. Wählen Sie bitte Herunterladen Benutzerzertifikate und geben Ihre E-Mail-Adresse ein, die Sie bei der Antragstellung benutzt haben. Sie können die Suche auch mit * (Stern) und einem Namensbestandteil sowohl beim Namen als auch der Mail durchführen. Drücken Sie die Taste Suchen Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 39 5.5 Installation des Zertifikates Firefox Schritt 5: Installation Wenn Sie einen Zertifikatsantrag mit einem Mozilla Browser (Firefox) gestellt haben, beachten Sie bitte folgende Hinweise zur Installation Ihres Zertifikats: Sie haben von der Zertifizierungsstelle der Citkomm einen Link erhalten. Über diesen Link laden Sie bitte eine ZIP Datei auf Ihren Computer, z.B. 10822.zip Bitte stellen Sie sicher, dass im Laufwerk C der Ordner Temp auf Ihrem Computer vorhanden ist, ein anderer Ordner ist nicht zulässig. Sollten Sie den Ordner C:/Temp nicht vorfinden, erstellen Sie bitte einen entsprechenden Ordner. In manchen Fällen muss ihre IT temporär die Berechtigung dafür erteilen! Entpacken (extrahieren) Sie bitte die ZIP-Datei in diesen Ordner. Es werden 5 Dateien in den Ordner geschrieben. Achten Sie darauf, dass kein Unterordner erzeugt wurde. Bitte alle Webportale im Firefox schließen. Bitte führen Sie die Anwendung „install_cert“ durch Doppelklick in C:/Temp aus. Wenn die Anwendung install_cert ausgeführt wurde, erscheint in manchen Fällen der „Programmkompatibilitätsassistent“. In der Regel ist ihr Zertifikat aber dennoch richtig installiert. Den Assistenten bitte mit „Das Programm wurde richtig installiert“ beenden. Es werden nun in den Zertifikatsspeicher Ihres Firefox Browser drei Zertifikate installiert: Ihre eigenes Zertifikat, welches Sie beantragt haben, das Zertifikat der Citkomm und das Zertifikat des BSI. Bitte prüfen Sie im Firefox Browser, ob die Zertifikate installiert wurden. Über Extras >> Einstellungen >> Erweitert >> Zertifikate anzeigen >> Ihre Zertifikate. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 40 Sollte ihr Zertifikat nicht unter Ihre Zertifikate angezeigt werden, beenden sie Firefox und öffnen Firefox erneut. Sollte es auch dann nicht angezeigt werden, fehlt der private Schlüssel. Es ist nicht möglich, die Zertifikatsdatei spkac.der manuell zu installieren. Es erscheint dann folgende Warnung: In diesem Fall wenden sie sich an das Trust Center der Citkomm. Autor: Trustcenter Status: freigegeben Sichern Sie bitte Ihr Zertifikat als P12-Datei. Bitte vergeben Sie einen Namen für die Datei und zum Schutz der Datei ein Kennwort. Mit dieser p12-Datei können Sie Ihr Zertifikat wieder herstellen oder auf anderen Computern nutzen. Version: 2.0.2 Datum: 12.8.2016 Seite 41 5.6 Sicherung des Zertifikates Firefox Schritt 6: Sichern Sichern des Zertifikates: Extras – Einstellungen – Erweitert – Zertifikate – Zertifikate anzeigen – Ihre Zertifikate Drücken Sie die Taste Zertifikate anzeigen Klicken Sie bitte das Zertifikat an und drücken dann die Taste Sichern … Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 42 Wählen Sie bitte einen sicheren Speicherplatz und einen geeigneten Namen. Drücken Sie die Taste Speichern Wählen Sie ein Kennwort für die Sicherungsdatei. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 43 6 6.1 ALLG. HINWEISE Dialogabbruch Der Dialog wird durch Klick auf Hauptmenu fortgesetzt. 6.2 Kontaktdaten Richten sie Ihre Fragen per Mail an pki@citkomm.de Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 44 6.3 Servicezeiten Montag - Donnerstag 08:00 - 12:30 Uhr 13:30 – 16:00 Uhr Freitag 08:00 - 12:00 Uhr (außer an Feiertagen in Nordrhein-Westfalen) 6.4 Tipps und Tricks Bitte beachten Sie die Hinweise zu Fragen und Fehlermeldungen in unserer Anleitung auf unserem Webportal: Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 45 6.5 Glossar BSI Bundesamt für Sicherheit in der Informationstechnik mit Sitz in Bonn. CN Der sog. Common Name ist ein wichtiger Namensbestandteil des Zertifikats. Er ist ein eindeutiger Name des Zertifikatsinhabers. Neben Name und Vorname wird deshalb noch ein verschlüsselter Zeitstempel angehangen. CP Certification Policy, d.h. die Sicherheitsleitlinien LRA Local Registration Authority: Lokale Vertrauensperson, die die Registrierung der Antragsteller übernimmt. POSTIDENT® Dieses Verfahren bietet eine zertifizierte Methode zur sicheren Identifikation des Antragstellers durch Mitarbeiter der Deutschen Post AG. Trust Center Dies ist eine vertrauenswürdige Instanz, die das Zertifikat ausstellt. V-PKI Verwaltungs-PKI (Public Key Infrastruktur) Allgemeine Beschreibung für die gesamte PKI des Bundes. Ein System, das die Vertrauensbeziehungen unter Nutzung der ÖffentlichenSchlüssel-Technologie verwaltet. Zertifikate im System der V-PKI können als vertrauenswürdig angesehen werden. Autor: Trustcenter Status: freigegeben Version: 2.0.2 Datum: 12.8.2016 Seite 46
