Beantragung eines Softwarezertifikates für das EGVP-Backend · Nachdem der Download bestätigt...

Beantragung eines Softwarezertifikates für das

EGVP-Backend

– Anleitung –

Version 1.3

Stand 23.10.2009

Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen (LSKN) Fachgebiet 243 – Beratung –

Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen (LSKN) Seite 2 von 20 Fachgebiet 243 - Beratung - 20091023_ZertAntrag_EUDLR_DOI-NDS-CA_V1-3.doc

Niedersächsisches Ministerium für Inneres, Sport und Integration

INHALTSVERZEICHNIS

1. ZUGANG ZUR ANTRAGSSEITE (DOI-PORTAL)........................................................................3 2. BEANTRAGUNG EINES ZERTIFIKATES....................................................................................4 3. ABHOLEN EINES ZERTIFIKATES.............................................................................................11 4. PRÜFEN DES ZERTIFIKATES AUF FREISCHALTUNG...........................................................17 5. BESCHREIBUNG DER ROLLE DES "SCHLÜSSELVERANTWORTLICHEN" UND DER

"VOLLMACHT GEBENDEN STELLE".......................................................................................19 6. KONTAKTDATEN DES SIGNATURCARD SERVICE ...............................................................20 7. ANHANG .....................................................................................................................................20


1. ZUGANG ZUR ANTRAGSSEITE (DOI-PORTAL)

⇒ Nachdem Ihnen eine eMail mit den Zugangsdaten zugestellt wurde, kann die Anmeldung am DOI-Portal erfolgen.

Abbildung 1: Login auf der Antragsseite



2. BEANTRAGUNG EINES ZERTIFIKATES

⇒ Auswahl von "Software-Zertifikate".

Abbildung 2: Antragsstellung für Software-Zertifikate.



⇒ Auswahl von "beantragen".

Abbildung 3: Durchführen der Beantragung.

⇒ Auswahl von "gruppen-/funktionsbezogen".

Abbildung 4: Zertifikatstyp ist "gruppen- und funktionsbezogen".



Füllen Sie das Formular bitte nach folgenden Vorgaben aus (Teil1):

Sub-Domäne: "EU-DLR-NDS"

Gruppen-/Funktionsname (CN): Die Bezeichnung sollte mit dem Eintrag im Feld Name der EGVP-Visitenkarte übereinstimmen (vgl. Installationsleitfaden des niedersächsischen EGVP-Backends, Kap. 6); z.B.: - "GRP: Große selbständige Stadt Celle" oder - "GRP: Samtgemeinde Nenndorf" oder - "GRP: Nds. Ministerium für Wirtschaft, Arbeit und Verkehr" oder - "GRP: Industrie- und Handelskammer Hannover" Hinweis: "GRP: " ist das Identifikationsmerkmal für Gruppen-/Funktionszertifikate und darf nicht gelöscht werden.

E-Mail-Adresse: eMail-Adresse Ihrer Organisation

Dienstort: Die Bezeichnung sollte mit dem Eintrag im Feld Ort der EGVP-Visitenkarte übereinstimmen (vgl. Installationsleitfaden des niedersächsischen EGVP-Backends, Kap. 6)

Dienststelle (OU2): Die Bezeichnung sollte mit dem Eintrag im Feld Organisation der EGVP-Visitenkarte übereinstimmen (vgl. Installationsleitfaden des niedersächsischen EGVP-Backends, Kap. 6); z.B.: - "Kommunalverwaltungen ZB NI" oder - "Kommunalverwaltungen EA NI" oder - "Oberste Landesbehörden EA NI" oder - "Industrie- und Handelskammern ZB NI"

bleibt frei

Abbildung 5: Antragsformular ausfüllen Teil1.




Füllen Sie bitte das Formular weiter nach folgenden Vorgaben aus (Teil 2, Screenshot s. nächste Seite):

HWS-Dienststellennummer: Dienststellen des Landes Niedersachsen: bitte die HWS-Dienststellennummer eintragen Liste unter: http://intra.lskn.niedersachsen.de/live/intranet/dokukategorien/dokumente/psfile/docfile/39/Aktive_HWS4ac4970403331.pdf Kommunen: bitte den 8-stelligen amtlichen Gemeindeschlüssel Ihrer Behörde eintragen (z.B. "03241020" für Einheitsgemeinde Wennigsen) Kammern: eine Zuordnungsnummer wird vom SignaturCard Service ´des LSKN vergeben (i. d. R. zusammen mit dieser Anleitung übermittelt)

Abrechnungsgruppe: "EU-DLR-NDS"

Sperrpasswort: wird vom System vergeben, kann aber überschrieben werden

Rechnungsanschrift: Sofern das Zertifikat im Rahmen der EU-Dienstleistungsrichtlinie zentral finanziert wird, tragen Sie hier bitte Folgendes ein:

Name: EU-Dienstleistungsrichtlinie Niedersachsen - SCS -

Behörde/Dienststelle: Landesbetrieb für Statistik und Kommunikationstechnologie Nds.

Straße/Postfach: Göttinger Chaussee

Nr.: 259

PLZ: 30459

Dienstort: Hannover

Telefon Ansprechpartner: 0511/120-3999

http://intra.lskn.niedersachsen.de/live/intranet/dokukategorien/dokumente/psfile/docfile/39/Aktive_HWS4ac4970403331.pdf





Abbildung 6: Antragsformular ausfüllen Teil2.

⇒ Zum Abschluss bitte "Beantragen" auswählen.


⇒ "Zertifikatsantrag herunterladen" auswählen.

Abbildung 7: Zertifikatsantrag herunterladen.



⇒ Bitte "Speichern" auswählen.

Abbildung 8: Speichern des PDF-Dokumentes.

⇒ Verzeichnis für die Ablage der Datei aussuchen und "Speichern" auswählen.

Abbildung 9: Verzeichnis für die Ablage auswählen.

⇒ Nachdem das Dokument gespeichert wurde, bitte das Dokument ausdrucken, ausfüllen, mit Unterschriften sowie Dienstsiegel versehen und versenden.

Weitere Hinweise finden Sie auf dem Deckblatt des Ausdrucks. Bitte beachten Sie auch die Informationen im Kap. 5 zur Rolle des

"Schlüsselverantwortlichen" und der "Vollmacht gebenden Stelle". Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen (LSKN) Seite 10 von 20 Fachgebiet 243 - Beratung - 20091023_ZertAntrag_EUDLR_DOI-NDS-CA_V1-3.doc


3. ABHOLEN EINES ZERTIFIKATES

Nachdem Sie eine eMail von [email protected] mit dem Betreff „DOI: Genehmigung des Zertifikatsantrags“ erhalten haben, können Sie das Zertifikat einschl. Schlüsselpaar (P12-Container) wie nachfolgend beschrieben von der Webseite herunterladen:

⇒ Das Login erfolgt zunächst wie oben bereits beschrieben (gleiche Zugangsdaten).

⇒ Wählen Sie dann bitte den Link "abholen".

Abbildung 10: Abholen des Software-Zertifikates


mailto:[email protected]


⇒ Geben Sie bitte Ihre Referenznummer und das Download-Passwort ein. Beides finden Sie in Ihrem Zertifikatsantrag.

⇒ Wählen Sie dann "Suchen"

Abbildung 11: Referenznummer und Download-Passwort aus dem Antragsformular eingeben.



⇒ Die Zertifikatsdaten werden Ihnen angezeigt. Bitte prüfen Sie diese. ⇒ Wählen Sie dann "Herunterladen"

Abbildung 12: Referenznummer prüfen.


Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen (LSKN) Seite 14 von 20


⇒ Speichern Sie die Datei in Ihrem Filesystem (s. folgende Screenshots).

Abbildung 13: Speichern des Software-Zertifikates.

Abbildung 14: Auswahl des Verzeichnisses für die Ablage

Fachgebiet 243 - Beratung - 20091023_ZertAntrag_EUDLR_DOI-NDS-CA_V1-3.doc


⇒ Stellen Sie sicher, dass die P12-Datei (Zertifikat + Schlüsselpaar) in Ihrem Filesystem gespeichert wurde. Falls etwas nicht geklappt haben sollte, wählen Sie "Erneut herunterladen".

⇒ Betätigen Sie dann den Button "Bestätigen".

Abbildung 15: Bestätigen des Erhalts.

Hinweis: Nachdem der Download bestätigt wurde, wird das Zertifikat für den Verzeichnisdienst frei geschaltet und kann nicht erneut heruntergeladen werden. Die P12-Datei und der Private-Key werden automatisch auf dem Server gelöscht (s. nächsten Screenshot).



Abbildung 16: Bestätigung der Freischaltung.



4. PRÜFEN DES ZERTIFIKATES AUF FREISCHALTUNG

⇒ Gehen Sie über den Link "Zertifikate prüfen" auf folgende Webseite und geben Sie die Seriennummer (sofern bekannt) oder die Referenznummer (aus dem Zertifikatsantrag) in das entspr. Formularfeld.

⇒ Betätigen Sie anschließend den Button "Suchen".

Abbildung 17: Prüfen des freigeschalteten Software-Zertifikates.



Der Status des Zertifikats wird Ihnen angezeigt. "Aktiv" bedeutet, dass das Zertifikat freigeschaltet ist und eingesetzt werden kann.

Abbildung 18: Ergebnis: Zertifikat ist aktiv, d. h. freigeschaltet.




5. BESCHREIBUNG DER ROLLE DES "SCHLÜSSELVERANTWORTLICHEN" UND DER "VOLLMACHT GEBENDEN STELLE"

Ausführliche Informationen können dem Dokument "DOI-CA / Niedersachsen: Erläuterungen zum Antrag für Gruppen-Zertifikate" in der jeweils aktuellen Version entnommen werden. Nachfolgend werden in Kurzform die Funktionen des Schlüsselverantwortlichen und der Vollmacht gebenden Stelle erläutert. Nach der Policy der Verwaltungs-PKI (BSI) müssen bei der Vergabe von Gruppen-Zertifikaten ein Schlüsselverantwortlicher und eine Vollmacht gebende Stelle eingesetzt werden.

Der Schlüsselverantwortliche Das BSI stellt in [BSI2003-1] folgende Anforderungen an die Vergabe von Gruppen-Zertifikaten: Für jedes Gruppenzertifikat ist eine natürliche Person als Schlüsselverantwortlicher zu benennen. Diese Person muss ein entsprechendes Zertifikat beantragen und die geforderten Identitäts- und Authentisierungsnachweise erbringen. Die Person muss die Berechtigung zur Beantragung des Gruppenschlüssels nachweisen. Der Schlüsselverantwortliche nimmt die entsprechenden Schlüssel und Zertifikate in Empfang und verpflichtet sich gegenüber der Zertifizierungsstelle zur Einhaltung der Regelungen für Gruppenzertifikate [BSI2002-3]. Wird die Verantwortung an einen neuen Schlüsselverantwortlichen übergeben, muss dieser ebenfalls die geforderten Nachweise zur Identifizierung erbringen und sich gegenüber der Zertifizierungsstelle zur Einhaltung der Regelungen für Gruppenzertifikate verpflichten. Grundsätzlich gelten für den Schlüsselverantwortlichen die Vorgaben des BSI [BSI2002-3], die teilweise auch in den ausführlichen Erläuterungen (s.o.) aufgelistet sind.

Die Vollmacht gebende Stelle (VgS) Die Berechtigung zur Beantragung eines Gruppenschlüssels muss von der VgS vergeben werden. Die VgS wird durch die Policy in [BSI2002-3] als diejenige Stelle bezeichnet, die für den Einsatz der Gruppenzertifikate verantwortlich ist. Die Funktion der VgS wird im Rahmen der DOI-CA/Niedersachsen durch den Dienststellen-/Behördenleiter, bei größeren Institutionen auch durch Referats-/Abteilungsleiter wahrgenommen, für dessen Behörde/Dienststelle das jeweilige Gruppenzertifikat ausgestellt wird. Dieser kann die Funktion delegieren (z.B. an den IT-Verantwortlichen oder Sicherheitsbeauftragten). Die Funktion der VgS darf nicht auf den Schlüsselverantwortlichen übertragen werden. Die VgS genehmigt den Zertifikatsantrag durch Unterschrift. Durch diese Maßnahme ist gewährleistet, dass der Schlüsselverantwortliche den zuständigen Stellen bekannt und in die Abläufe eingebunden ist. Die VgS kann das Zertifikat sperren lassen, dazu wird ihr über den Zertifikats-Antrag das Sperrkennwort bekannt gemacht (für telefonische Sperrung, sonstige Sperrungen siehe Kap. Sperrverfahren). Der Schlüsselverantwortliche muss den Anforderungen entsprechend qualifiziert sein und entsprechende Befugnisse besitzen. Die diesbezügliche Verantwortung trägt die VgS. Ferner ist es Aufgabe der VgS, im Falle von Personalwechseln die Informationen über erteilte Berechtigungen für Gruppenschlüssel und die Sperrmodalitäten an den neuen Schlüsselverantwortlichen weiter zu geben. Ein Wechsel des Schlüsselverantwortlichen muss der zuständigen Registrierungsstelle (SignaturCard Service) mitgeteilt werden. Literaturhinweise [BSI2003-1] Bundesamt für Sicherheit in der Informationstechnik: Sicherheitsleitlinien der Wurzelzertifizierungsinstanz der Verwaltung; Version 3.2 vom 09.01.2003; Bonn. [BSI 2002-2] Bundesamt für Sicherheit in der Informationstechnik: Zertifizierungsinfrastruktur für die PKI-1-Verwaltung; Namensregeln und –formate; Version 1.3 vom 25.11.2002 [BSI2002-3] Bundesamt für Sicherheit in der Informationstechnik (BSI): Zertifizierungsinfrastruktur für die PKI-1-Verwaltung; Regelungen für Gruppenzertifikate, Version 1.3 vom 10.12.2002 [Telesec 1] Deutsche Telekom AG - T-Telesec -: Public-Key-Infrastruktur (PKI) für TESTA; Hinweise zur Nutzung von Gruppen-, Funktions- und Pseudonym-Zertifikaten [TESTA115]; Stand 17.09.02, Version 1.0 [BSI 2002-2] Bundesamt für Sicherheit in der Informationstechnik: Zertifizierungsinfrastruktur für die PKI-1-Verwaltung; Namensregeln und –formate; Version 1.3 vom 25.11.2002



6. KONTAKTDATEN DES SIGNATURCARD SERVICE

Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen -SignaturCard Service- Göttinger Chaussee 259 30459 Hannover eMail: [email protected]

Telefon: 0511 120-3990

Intranet: http://intra.lskn.niedersachsen.de/live/intranet/show.php3?id=17045&nodeid=17045&_psmand=153

oder über:

http://intra.lskn.niedersachsen.de/ Leistungen Services SignaturCard Service

7. ANHANG

Abbildung 1: Login auf der Antragsseite 3 Abbildung 2: Antragsstellung für Software-Zertifikate. 4 Abbildung 3: Durchführen der Beantragung. 5 Abbildung 4: Zertifikatstyp ist "gruppen- und funktionsbezogen". 5 Abbildung 5: Antragsformular ausfüllen Teil1. 6 Abbildung 6: Antragsformular ausfüllen Teil2. 8 Abbildung 7: Zertifikatsantrag herunterladen. 9 Abbildung 8: Speichern des PDF-Dokumentes. 10 Abbildung 9: Verzeichnis für die Ablage auswählen. 10 Abbildung 10: Abholen des Software-Zertifikates 11 Abbildung 11: Referenznummer und Download-Passwort aus dem Antragsformular eingeben. 12 Abbildung 12: Referenznummer prüfen. 13 Abbildung 13: Speichern des Software-Zertifikates. 14 Abbildung 14: Auswahl des Verzeichnisses für die Ablage 14 Abbildung 15: Bestätigen des Erhalts. 15 Abbildung 16: Bestätigung der Freischaltung. 16 Abbildung 17: Prüfen des freigeschalteten Software-Zertifikates. 17 Abbildung 18: Ergebnis: Zertifikat ist aktiv, d. h. freigeschaltet. 18

mailto:[email protected]

http://intra.lskn.niedersachsen.de/live/intranet/show.php3?id=17045&nodeid=17045&_psmand=153

http://intra.lskn.niedersachsen.de/

Beantragung eines Softwarezertifikates für das EGVP-Backend · Nachdem der Download bestätigt...

Documents

Transcript of Beantragung eines Softwarezertifikates für das EGVP-Backend · Nachdem der Download bestätigt...