Zum Hauptinhalt springen

Anleitung zur Beantragung eines DOI-Zertifikats für das DVDV-Testsystem

Dieses Dokument richtet sich an Behörden oder an von Behörden beauftragte Dienstleister, deren Kommunikationsparameter auf dem offiziellen Kunden-Testsystem des Deutschen Verwaltungsdiensteverzeichnisses (DVDV) eingetragen werden sollen. Für das DVDVTestsystem benötigen Sie Zertifikate, die von der Verwaltungs-Public Key Infrastructure (VPKI) ausgestellt werden. Diese Anleitung beschreibt, wie Sie Zertifikate der Verwaltungs-PKI für das DVDV-Testsystem beantragen. Sie erhalten Ihr Zertifikat in einer sogenannten PKCS12-Datei.

Das Trust Center der Telekom Security, einer Tochtergesellschaft der Deutschen Telekom, fungiert als Zertifizierungsstelle (Certificate Authority, CA) für die Deutschland Online Infrastruktur (DOI). Die DOI ist in die V-PKI integriert. Die Telekom Security betreibt neben der produktiven DOI-CA auch die CA einer DOI-Testumgebung.

Das vorliegende Dokument bietet eine Anleitung für die Beantragung von Zertifikaten für diese DOI-Testumgebung.

Bitte stellen Sie sicher, dass Zertifikate für das DVDV-Testsystem und Zertifikate für das produktive DVDV immer getrennt behandelt werden. Zertifikate für das DVDV-Testsystem dürfen unter keinen Umständen auch im produktiven DVDV-System verwendet werden.

Die Beantragung von Zertifikate für das Testsystem sind für alle Teilnehmer kostenlos.

Wir danken der FITKO und dem Trust Center der Telekom Security für die Überlassung der Abbildungen in der folgenden Anleitung.

1 Übersicht der Prozessschritte

Für die Beantragung von Zertifikaten aus der DOI-Testumgebung befolgen Sie bitte die hier beschriebenen Schritte.

  1. Fordern Sie die Zugangsdaten für das Webportal des Trust Center bei der für Sie zuständigen Registrierungsstelle (Registration Authority, RA) an.

  2. Nachdem Sie Ihre Login-Daten von der zuständigen Registrierungsstelle erhalten haben, können Sie einen Antrag für ein V-PKI-Zertifikat erstellen.

  3. Laden Sie den fertigen Antrag herunter, drucken Sie ihn aus und unterzeichnen Sie das Antragsformular. Lassen Sie sich von der für die Behörde zuständigen siegelführenden Stelle identifizieren. Reichen Sie Ihren Antrag auf das Zertifikat aus der DOITestumgebung anschließend bei der zuständigen Registrierungsstelle ein.

  4. Nachdem die Unterlagen auf ihre Richtigkeit überprüft wurden, gibt die Registrierungsstelle der Zertifizierungsstelle die Freigabe zur Erstellung der Schlüssel und Zertifikate. Sie werden per E-Mail informiert, dass Ihr Zertifikat erstellt wurde und über die Webseite der CA der DOI-Testumgebung heruntergeladen werden kann.

  5. Laden Sie das Zertifikat in Form einer „PKCS#12“-Datei herunter und senden Sie uns ausschließlich den öffentlichen Schlüssel zu.

2 Kontaktaufnahme mit der Registrierungsstelle

Im ersten Schritt ist die für die Ausstellung von Zertifikaten der DOI-Testumgebung zuständige Registrierungsstelle zu kontaktieren, um Zugangsdaten zum Trust Center zu erhalten.

  • Falls es hinsichtlich der zuständigen Registrierungsstelle Vorgaben aus dem verwendeten Verfahren gibt, ist die dort genannte Registrierungsstelle zuständig.
  • Falls das Verfahren keine Vorgaben zur Zuständigkeit macht, Ihre Behörde bzw. Ihr Dienstleister jedoch bereits vertraglich an eine bestimmte Registrierungsstelle gebunden ist, so ist diese auch in diesem Fall zuständig.
  • Sollten bei Ihnen weder Vorgaben des Verfahrens noch vertragliche Bindungen Ihrer Behörde oder Ihres Dienstleisters vorliegen, so nutzen Sie bitte die Registrierungsstelle „Oeffentliche Verwaltung“ (smc-berlin.tsi@telekom.de).

Senden Sie eine Mail mit dem Betreff „Zugangsdaten für Zertifikat in der DOITestumgebung“ an Ihre zuständigen Registrierungsstelle. Bitte verwenden Sie unbedingt diesen Betrefftext, damit eine Verwechslung mit der Beantragung eines produktiven, kostenpflichtigen Zertifikats ausgeschlossen wird.

Dieser Schritt muss nur einmalig durchgeführt werden. Die erhaltenen Zugangsdaten können dann zur Beantragung weiterer Zertifikate genutzt werden.

3 Erhebung der Antragsdaten

3.1 Anmelden

Rufen Sie das Webportal der Telekom Security (Trust Center) unter https://doi.test.telesec.de/doi auf und geben Sie die Zugangsdaten ein. Bestätigen Sie die Eingabe mit dem Button „Anmelden“.

Bitte stellen Sie sicher, dass Sie ausschließlich diese URL für die Beantragung des Zertifikats der DOI-Testumgebung verwenden und nicht eine URL für die Beantragung eines produktiven, kostenpflichtigen Zertifikats. Prüfen Sie deshalb bitte vor dem Fortfahren, dass Sie sich auf der richtigen Seite befinden.

Anmeldung

Nach der Anmeldung werden Sie auf die Startseite weitergeleitet.

Management_von_Zertifikaten

3.2 Auswahl des Zertifikatstyps

Navigieren Sie auf der linken Seite zur Option „Software-Zertifikat“ und klicken Sie dann auf „beantragen“ Software_Zertifikat

3.3 Auswahl der Domäne

Anschließend wird die Seite „Auswahl der Domäne“ angezeigt, auf der Sie die Sub-Domäne auswählen können. Für das DVDV-Testsystem stehen Ihnen zwei Möglichkeiten zur Verfügung: Bitte wählen Sie die Sub-Domäne „Meldewesen“, wenn Sie den XÖV-Standard XMeld nutzen wollen, und „DOI-OSCI“ für alle anderen Fachstandards. Bestätigen Sie Ihre Auswahl mit „Weiter“. In jedem der folgenden Schritte kann über die Schaltfläche „Weiter“ mit dem darauffolgenden Schritt fortgefahren werden.

Auswahl_der_Domäne

3.4 Auswahl des Zertifikatstyps (Personen-/Gruppen-Zertifikat)

Im diesen Schritt wählen Sie den Zertifikatstyp „Gruppen-/Funktions-Zertifikat“ aus. Bitte bestätigen Sie Ihre Auswahl.

Für das DVDV-Testsystem benötigen Sie ein Gruppen-Zertifikat, da die Nachrichten nicht für einen bestimmten Empfänger, sondern für eine Gruppe von Empfängern verschlüsselt und von einer Gruppe signiert werden.

Gruppen-Zertifikate unterscheiden sich von personenbezogenen Zertifikaten nur im „Common Name“ (CN) und werden durch das Präfix „GRP:“ gekennzeichnet (z.B. „GRP: Musterbehörde XY“).

Auswahl_der_Zertifikatstypen

3.5 Daten des Antragstellers/Schlüsselverantwortlichen

Bitte tragen Sie hier die Kontaktdaten des Schlüsselverantwortlichen ein. Der Schlüsselverantwortliche ist in diesem Fall der Vertreter einer Gruppe und trägt die Verantwortung für die sichere Verteilung, Nutzung und ggf. Sperrung der Schlüssel, die im beantragten Zertifikat integriert sind.

Hinweis zu Gruppenzertifikaten: Bei Gruppenzertifikaten entspricht der Antragsteller dem „Schlüsselverantwortlichen“, welcher immer eine natürliche Person sein muss!

Daten des Antragstellers/Schlüsselverantwortlichen

3.6 Zertifikatsdaten: Name und E-Mail-Adresse

Im diesen Schritt geben Sie den Gruppen-/Funktionsnamen (CN) an, der mit „GPR:“ beginnen muss. Bitte geben Sie im Feld „E-Mail-Adresse“ (SAN) entweder eine zentrale E-Mail-Adresse oder ein Funktionspostfach an. An diese Adresse werden im weiteren Verlauf vom Trust Center Informationen zu Erstellung und Ablauf gesendet werden.

Zertifikatsdaten

3.7 Weitere Angaben im Zertifikat

Im nächsten Schritt können weitere (optionale) Daten zu Ihrer Behörde (bzw. Ihrem Dienstleister) eingetragen werden. Der Standort Ihrer Behörde und der Name Ihrer Behörde, falls dieser nicht bereits aus dem Gruppennamen hervorgeht, können in den Feldern „Dienstort“ und „Kennung 1“ erfasst werden.

Zertifikatsdaten: Weitere Angaben

3.8 Veröffentlichung VöD, Hash-Algorithmus, Zertifikatslaufzeit, Sperrpasswort, PIN

An dieser Stelle können Sie festlegen, ob Ihr Zertifikat im Veröffentlichungsdienst (VöD) im Internet zugänglich sein soll. Standardmäßig ist dies auf „Nein“ gesetzt, was bedeutet, dass keine Veröffentlichung im allgemeinen Internet erfolgt, sondern nur im DOI-Verzeichnisdienst (VöD). Bitte belassen Sie diese Voreinstellung, da es sich nur um Zertifikate für ein Testsystem handelt.

In den nachfolgenden Feldern sind der Hash-Algorithmus „SHA-256“ und die Zertifikatslaufzeit „3 Jahre“ voreingestellt. Sie sollten diese Angaben nur ändern, sofern das von Ihnen verwendete Verfahren bzw. der im DVDV zu hinterlegende Dienst dies unterstützt.

Das Sperrpasswort wird für den Fall benötigt, dass Sie das Zertifikat vor Ablauf seiner Gültigkeit sperren wollen. Bitte wählen Sie ein einzigartiges, sicheres Passwort und notieren sich dieses in geeigneter Weise.

Die Angabe der PIN ist nur im Zusammenhang mit der Beantragung von Zertifikaten auf Smartcards relevant und hat für die Software-Zertifikate der DOI-Testumgebung keine Bedeutung.

Weitergehende Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Erstellung sicherer Passwörter finden Sie hier:

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-undEmpfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoertererstellen/sichere-passwoerter-erstellen_node.html

Veröffentlichung und Sperrung Zertifikate

3.9 Abrechnungsdaten

In diesem Schritt tragen Sie bitte die Anschrift des verantwortlichen Rechnungsempfängers ein. Da die Zertifikate für das Testsystem kostenlos sind, werden Ihnen diese nicht in Rechnung gestellt. Wir bitten dennoch um korrektes Ausfüllen des Formulars.

Hintergrund dieser Angabe ist die Tatsache, dass die produktive Wirk-CA und die für Sie hier relevante CA der DOI-Testumgebung sowohl in ihrer technischen Struktur als auch ihrer organisatorischen Umgebung (inkl. Beantragungsprozess) identisch aufgebaut wurden. Weil der Beantragungsprozess für produktive DOI-Zertifikate die Angabe eines Rechnungsempfängers vorsieht, existiert diese Seite auch im Beantragungsprozess für Zertifikate der DOI-Testumgebung.

Abrechnungsdaten

3.10 Mitteilung an die Registrierungsstelle (RA)

Im nächsten Schritt können Sie der Registrierungsstelle eine optionale Mitteilung zu Ihrem Antrag übermitteln.

Mitteilung an die Registrierungsstelle

3.11 Zusammenfassung Ihrer Antragsdaten

Im abschließenden Schritt werden Ihnen alle Antragsdaten angezeigt. Überprüfen Sie bitte alle Angaben. Bei Änderungsbedarf können Sie durch Klicken auf „Zurück“ zu den Eingabefeldern zurückzukehren. Bestätigen Sie die Erstellung Ihres Antrags, indem Sie auf „Absenden“ klicken.

Zusammenfassung der Antragsdaten

4 Download und Versand des Antragsformulars

Download des Antragsformulars

Klicken Sie auf „Zertifikatsantrag herunterladen“. Der Download beinhaltet neben dem Antragsformular auch den PIN-Brief und ggf. weitere Unterlagen.

Drucken Sie den Antrag aus, unterschreiben Sie ihn und lassen Sie sich in einer siegelführenden Stelle Ihrer Behörde identifizieren. Bitte berücksichtigen Sie dabei die Hinweise im Download sowie im Antrag selbst.

Reichen Sie den Antrag bei der für Ihre Behörde verantwortliche Registrierungsstelle ein. Die Anschrift befindet sich im Antragsformular.

Durch den Versand an die Registrierungsstelle haben Sie Ihren Antrag erfolgreich abgeschlossen. Nach der Ausstellung Ihres Zertifikats erhalten Sie eine E-Mail mit weiteren Informationen zum Versand oder zur Abholung Ihres Zertifikats.

5 Inbetriebnahme des Zertifikats

Sobald das Trust Center Ihr Zertifikat erstellt hat, werden Sie per E-Mail benachrichtigt, dass Ihr Zertifikat zum Herunterladen bereitsteht. Rufen Sie die Startseite des Webportals des Trust Center auf und navigieren Sie zu „Software-Zertifikat“ und darunter zu „abholen“.

Software-Zertfikat abholen

Nachdem Sie die Referenznummer und das Download-Passwort, welche Sie dem Antragsformular sowie dem PIN-Brief entnehmen können, eingegeben haben, klicken Sie auf „Suchen“, um fortzufahren.

Wenn Sie die Daten erfolgreich eingeben haben, wird Ihnen Ihr Zertifikat angezeigt. Klicken Sie nun auf „Herunterladen“. Klicken Sie nach erfolgreichem Download auf „Bestätigen“. Dadurch werden die PKCS12-Datei sowie der private Schlüssel beim Trust Center gelöscht, sodass ausschließlich Sie im Besitz dieser sind. Das Zertifikat mit dem öffentlichen Schlüssel in Form einer *.der- oder *.cer-Datei kann weiterhin heruntergeladen werden. Außerdem wird Ihr Zertifikat im Verzeichnisdienst veröffentlicht, sodass es ordnungsgemäß eingesetzt werden kann.

Software-Zertfikat abholen mit Daten

Sollte der Download nicht erfolgreich sein, können Sie insgesamt dreimal auf „Herunterladen“ klicken. Sollten Sie nach dem dritten Downloadversuch keinen erfolgreichen Download bestätigt haben, wird beim nächsten Versuch das Zertifikat gesperrt und gelöscht, sodass dieses nicht mehr genutzt werden kann und Sie einen neuen Antrag stellen müssen.

Downloads

Nach der Bestätigung wird Ihnen mitgeteilt, dass Ihr Zertifikat freigeschaltet wurde.

Herunterladen des Software-Zertfikats

Zum Abschluss senden Sie bitte das Zertifikat in Form einer *.der- oder *.cer-Datei an unser Funktionspostfach dvdv-testsystem@governikus.de.

6 Support

Sollten Sie im Zusammenhang mit der Beantragung von Testzertifikaten auf Probleme stoßen und Unterstützung benötigen, wenden Sie sich bitte an den Support des Trust Centers. Die Kontaktinformationen finden Sie auf https://doi.test.telesec.de/doi über die Schaltfläche „Kontakt“ oben rechts:

Support