Zertifikate beantragen
Zertifikate der Verwaltungs-PKI beantragen
Verantwortliche für Fachverfahren benötigen für das Produktivsystem von FIT-Connect Zertifikate der Verwaltungs-PKI.
Die Zertifikate enthalten öffentliche und private Schlüssel für Verschlüsselung und Signatur. Öffentliche Schlüssel werden bei Zustellpunkten hinterlegt und ermöglichen es den sendenden Systemen in FIT-Connect, Anträge oder Berichte Ende-zu-Ende verschlüsselt an den Zustellpunkt zu übersenden bzw. signierte Empfangsbestätigungen und Empfangsablehnungen seitens des Empfängers zu überprüfen. Private Schlüssel dienen der Entschlüsselung und Signatur auf Seiten der Empfänger und dürfen niemals veröffentlicht bzw. an unberechtigte Dritte weitergegeben werden.
Überblick
Das Beantragen von Zertifikaten ist eine Aufgabe, die Verantwortliche für Fachverfahren beachten müssen, um Fachverfahren an FIT-Connect anzubinden.
Alle Aufgaben sind hier im Überblick aufgelistet.
Pro Fachverfahren ist ein Zertifikat der Verwaltungs-PKI erforderlich, um ein Fachverfahren an das Produktivsystem anzubinden.
Für die Anbindung an die Testumgebung sind keine Zertifikate der Verwaltungs-PKI erforderlich. In der Testumgebung können auch selbstgenerierte Zertifikate genutzt werden. Das Vorgehen ist im Artikel Erstellen von JSON Web Keys für Testzwecke beschrieben.
Sie erhalten Zertifikate von der Zertifizierungsstelle (Certification Authority, CA) „Deutschland Online Infrastruktur-Certification Authority“ (DOI-CA), die von der Deutsche Telekom Security GmbH betrieben wird.
Die DOI-CA ist in die Verwaltungs-Public Key Infrastructure (V-PKI, auch Verwaltungs-PKI) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) integriert.
Vorgaben für Zertifikate der Verwaltungs-PKI
Da Zertifikate der Verwaltungs-PKI für Behörden ausgestellt werden, ist es erforderlich, dass die im Zertifikat angegebenen Daten sicher überprüft werden.
Hierzu ist eine Identifizierung durch die siegelführende Stelle Ihrer Behörde erforderlich („Behörden-Ident“).
Der von der siegelführenden Stelle gegengezeichnete Antrag muss dann zu einer Registrierungsstelle (Registration Authority, RA) gesendet werden, die nach einer Überprüfung der Daten die Zertifikatserzeugung freigibt.
Weitere Vorgaben für die eingesetzten X.509-Zertifikate sind unter Vorgaben für kryptographische Verfahren in FIT-Connect dokumentiert.
Web-Portal der DOI-CA
Um Zertifikate der Verwaltungs-PKI zu beantragen, melden Sie sich im Webportal der DOI-CA an. Nach der erfolgreichen Anmeldungen sehen Sie die folgende Startseite:
Klicken Sie in der Navigation auf der linken Seite auf den Menü-Punkt Software-Zertifikat.
Dann klicken Sie auf den Untermenü-Punkt beantragen.
Nun wird eine Seite angezeigt, auf der Sie eine Domäne auswählen können, die dann im Zertifikat als "Organizational Unit" (OU) übernommen wird. Je nachdem, ob Sie eine Smartcard oder ein Software-Zertifikat beantragen, stehen Ihnen nur bestimmte Domänen zur Auswahl. Wählen Sie hier die Sub-Domäne DOI_OSCI aus und bestätigen Sie Ihre Auswahl mit Weiter.
Bei der Beantragung von Zertifikaten über die Thüringer Registrierungsstelle beim TLRZ wählen Sie stattdessen die Sub-Domäne Kommunikation Thüringen.
Wenn Ihnen Informationen zur Beantragung bei anderen Registrierungsstellen vorliegen, freuen wir uns über einen Hinweis an fit-connect <ät> fitko.de.
Im nächsten Schritt gilt, es den Zertifikatstyp auszuwählen. Zur Wahl stehen ein personenbezogenes Zertifikat (für eine konkrete Person) und ein Gruppen- bzw. Funktions-Zertifikat, das für Personengruppen, Funktionen, Rollen, Systeme oder IT-Prozesse Anwendung findet. In Abhängigkeit der zuvor gewählten Domäne kann auch nur eine der beiden Möglichkeiten zur Auswahl stehen.
Für unseren Anwendungsfall wählen Sie bitte Gruppen-/Funktions-Zertifikat und bestätigen sie Ihre Auswahl mit Weiter.
Es folgt die Erfassung der Anschrift und Kontaktdaten des Anstragsstellers bzw. des Schlüsselverantwortlichen. Der Schlüsselverantwortliche ist der Repräsentant einer Gruppe und verantwortlich für die sichere Verteilung, Nutzung und ggf. Sperrung des Schlüssels. Er wird wie ein Antragsteller für ein personenbezogenes Zertifikat identifiziert und registriert.
Bestätigen sie Ihre Eingaben mit Weiter.
Mit Eingabe der Zertifikatsdaten werden die eigentlichen zu beglaubigenden Inhalte erfasst.
Da zuvor als Zertifikatstyp Gruppen-/Funktions-Zertifikat gewählt wurde, ist jetzt im Common Name des Zertifikats der Gruppen-/Funktionsname zu benennen.
Gemäß der Zertifikats-Policy muss dieser mit Zusatz GRP: beginnen.
Im Feld E-Mail-Adresse sollten Sie zur Gewährleistung der Erreichbarkeit, sofern vorhanden, eine zentrale E-Mail-Adresse bzw. ein Funktionspostfach eintragen. An diese E-Mail-Adresse werden sowohl die Informationen über die Zertifikatserstellung als auch später eine Erinnerung vor Ablauf des Zertifikats zur Erneuerung gesendet.
Geben Sie jetzt den Gruppen-/Funktionsnamen sowie die E-Mail-Adresse ein und bestätigen Sie Ihre Eingaben mit Weiter.
Zusätzlich zum Namen und zur E-Mail-Adresse können weitere Daten zu Ihrer Behörde optional in das Zertifikat aufgenommen werden. Im Feld Dienstort können Sie den Dienstort Ihrer Behörde erfassen. Im Feld Kennung 1 tragen Sie bitte den Namen Ihrer Behörde ein, sofern sich dieser nicht bereits aus dem Gruppennamen ergibt.
Nach Eingabe der optionalen Angaben bestätigen Sie Ihre Eingaben mit Weiter.
Neben den Zertifikatsinhalten haben Sie als antragstellende Person auch die Möglichkeit, über einige technische Rahmenbedingungen zu entscheiden.
So können Sie wählen, ob das Zertifikat neben einer Veröffentlichung im DOI-Netz auch über einen im Internet verfügbaren Verzeichnisdienst veröffentlicht werden soll. Damit wird das Zertifikat auch für nicht öffentliche Stellen im Internet auffindbar.
Für die Verwendung der Zertifikate in FIT-Connect müssen gemäß den Vorgaben für kryptographische Verfahren der Hash-Algorithmus SHA-512 und der Schlüsseltyp 4096 Bit ausgewählt werden.
Das Sperrpasswort wird benötigt, wenn Sie Ihr Zertifikat vor Ende seiner Laufzeit sperren müssen. Notwendig kann das zum Beispiel sein bei Kompromittierung des geheimen Schlüssels, dem Ausscheiden einer Person aus der Behörde oder der Auflösung einer Organisationseinheit.
Haben Sie sich für die technischen Rahmenbedingungen entschieden, dann bestätigen Sie Ihre Eingaben mit Weiter.
Für die Abrechnung Ihres Zertifikats geben Sie bitte in diesem Schritt die Rechnungsanschrift des zuständigen Rechnungsempfängers an.
Im nächsten Schritt haben Sie die Möglichkeit, der zuständigen Registrierungsstelle eine Mitteilung zu Ihrem Antrag zu übermitteln.
Bestätigen Sie Ihre Eingabe mit Weiter.
Im letzten Schritt der Zertifikatsbeantragung werden die Antragsdaten in einer Zusammenfassung angezeigt. Überprüfen Sie die Angaben. Mithilfe von Zurück können Sie zu vorherigen Seiten zurück navigieren.
Schließen Sie Ihren Zertifikatsantrag mit Absenden ab. Ihr Antrag wird nun an das Trustcenter gesendet.
Klicken Sie nun auf die Schaltfläche Zertifikatsantrag herunterladen. Der Antrag beinhaltet neben dem eigentlichen Antrag für die Registrierungsstelle auch noch eine Kopie des Antrags für Ihre Unterlagen, einen PIN-Brief sowie ggf. weitere Blätter.
Drucken Sie den Antrag bitte aus, unterschreiben Sie ihn und lassen Sie sich gemäß den Vorgaben (siehe Antrag) in einer siegelführenden Stelle Ihrer Behörde identifizieren. Senden Sie den Antrag an die zuständige Registrierungsstelle. Die Anschrift finden Sie im Antragsformular. Mit dem Versand des Antrags an die Registrierungsstelle ist der Vorgang für Sie zunächst abgeschlossen. Nachdem Ihr Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail mit weiteren Informationen zu der Abholung Ihres Zertifikats.
Abruf des Zertifikats
Nachdem das Trust Center der Telekom Ihr Zertifikat erstellt hat, werden Sie per E-Mail darüber informiert, dass Ihr Zertifikat bereit zum Download steht.
Rufen Sie die Startseite des Webportals der DOI-CA auf. Nach erfolgreichem Login klicken Sie in der Navigation auf der linken Seite auf den Menü-Punkt Software-Zertifikat. Im Untermenü klicken Sie auf abholen.
Geben Sie anschließend die Referenznummer und das Download-Passwort ein, das Sie Ihrem Antragsformular bzw. dem PIN-Brief entnehmen, und bestätigen Sie Ihre Eingaben mit Suchen.
Bei erfolgreicher Eingabe wird Ihr Zertifikat angezeigt. Klicken Sie auf Herunterladen und speichern Sie die Datei auf Ihrer Festplatte oder einem Datenträger. Bei der PKCS-12-Datei handelt es sich um einen Container, in dem ein Schlüsselpaar (öffentlicher und geheimer Schlüssel, siehe dazu auch Verschlüsselte Übertragung in FIT-Connect) sowie das Zertifikat enthalten sind.
Hinweis: Die Anzahl der möglichen Downloads ist auf drei Versuche begrenzt! Sollten Sie nach dem 3. Versuch den erfolgreichen Download nicht bestätigt haben, wird beim nächsten Versuch das Zertifikat gesperrt und der geheime Schlüssel gelöscht. Die PKCS12-Datei kann dann nicht mehr heruntergeladen werden und ein Zugriff auf die Schlüssel ist nicht länger möglich. Sie müssen in dem Fall einen neuen Antrag stellen. Nach dem Herunterladen der Datei müssen Sie den erfolgreichen Download zwingend mit Bestätigen quittieren, damit die geheimen Schlüssel gelöscht werden und die Datei kein weiteres Mal heruntergeladen werden kann. Darüber hinaus wird mit dieser Bestätigung das Zertifikat in den Verzeichnissen veröffentlicht.
Sie erhalten nach der Bestätigung eine Meldung, dass Ihr Zertifikat freigeschaltet wurde.
