Zertifikate beantragen
Zertifikate der Verwaltungs-PKI
Für FIT-Connect benötigen Sie Zertifikate,
die von der Verwaltungs-PKI (V-PKI) ausgestellt werden.
Diese Seite beschreibt,
wie Sie Zertifikate der Verwaltungs-PKI für die Stage- und Produktiv-Umgebung von FIT-Connect beantragen.
Sie werden Ihr Zertifikat in einer sogenannten PKCS12-Datei erhalten.
Diese Datei nutzen Sie für die Erzeugung von JSON Web Keys,
die Sie für FIT-Connect benötigen. Die Seite Zertifikate umwandeln zeigt,
wie Sie aus einer PKCS12-Datei die JSON Web Keys (JWKs) für FIT-Connect ableiten.
Für die Anbindung an die Testumgebung von FIT-Connect können Sie selbst-generierte Zertifikate verwenden.
Die Seite JSON Web Keys zeigt,
wie Sie für die Testumgebung selbst-generierte Zertifikate erzeugen.
Zusammenfassung der Schritte zum Zertifikat
Um Zertifikate der Verwaltungs-PKI zu erhalten, sind die folgenden Arbeitsschritte erforderlich:
- Login-Daten beantragen
Beantragen Sie Login-Daten für das Webportal der Telekom Security (Trust Center) bei der zuständigen Registrierungsstelle (siehe Kapitel Wo erhalten Sie die Login-Daten für das Webportal?). - Antrag für ein V-PKI-Zertifikat erstellen
Erstellen Sie auf dem Webportal der Telekom Security einen Antrag für ein V-PKI-Zertifikat (Wo erstellen Sie den Antrag für ein Zertifikat?). - Antrag stellen
Senden Sie Ihren Antrag auf ein V-PKI-Zertifikat an die zuständige Registrierungsstelle (Antrag herunterladen und bei der Registrierungsstelle einreichen). - Zertifikat erhalten
Zertifikat vom Webportal der Telekom Security (Trust Center) laden (Abruf des Zertifikats).
Aufgabe für Verantwortliche für Verwaltungssystemen
Das Beantragen von Zertifikaten ist eine der Aufgaben, die Verantwortliche für Verwaltungssysteme beachten müssen, um Verwaltungssysteme an die Stage- und Produktiv-Umgebung von FIT-Connect anzubinden. Die Seite Fachverfahren registrieren zeigt alle Aufgaben der Verantwortlichen im Überblick.
Warum verwendet FIT-Connect Zertifikate?
Zertifikate dienen der Verschlüsselung: Sie enthalten öffentliche und private Schlüssel für die Ver- und Entschlüsselung von Anträgen. Öffentliche Schlüssel ermöglichen es den sendenden Systemen (Onlinediensten), Anträge verschlüsselt zu übersenden. Private Schlüssel erlauben es dem Empfänger, die verschlüsselten Anträge zu entschlüsseln. Private Schlüssel dürfen nicht an unberechtigte Dritte weitergegeben werden.
Wer stellt Zertifikate für die Verwaltung aus?
Sie erhalten Zertifikate für die Verwaltung vom Trust Center der Telekom Security, einer Tochtergesellschaft der Deutschen Telekom. Das Trust Center stellt Zertifikate für die Deutschland Online Infrastruktur (DOI) aus. Das Trust Center arbeitet als Zertifizierungsstelle (Certificate Authority, CA) für die Deutschland Online Infrastruktur. Die DOI ist in die Verwaltungs-PKI (V-PKI) integriert. Die Abkürzung PKI steht für Public Key Infrastructure.
Kontakt zur Telekom Security
Sie erreichen den Support der Telekom Security (Trust Center) unter:
Tel.: 0800/2255742 1557
E-Mail: smc-berlin.tsi@telekom.de
Fax: 0800/2255742 1559
Wo erstellen Sie den Antrag für ein Zertifikat?
Sie beantragen ein Zertifikat auf dem Webportal der Telekom Security.
Das folgende Bild zeigt die Login-Seite des Webportals.
Sie gelangen zur Login-Seite,
wenn Sie den folgenden Link anklicken: Webportal der Telekom Security.
Das Webportal wird auch DOI CA Portal genannt.
Klicken Sie auf das folgende Bild,
um es zu vergrößern:

Wo erhalten Sie die Login-Daten für das Webportal?
Sie erhalten die Zugangsdaten für das Webportal bei der Registrierungsstelle Ihres Bundeslandes. Schreiben Sie eine E-Mail an die für Ihre Behörde zuständige Registrierungsstelle. Die E-Mail-Adressen der Registrierungsstellen sind im Kapitel Registrierungsstellen angeben. Fügen Sie Ihrer E-Mail den folgenden Betreff hinzu: „Zugangsdaten für DOI Zertifikat“.
Vorgaben für Zertifikate der Verwaltungs-PKI
Die Verwaltungs-PKI stellt Zertifikate für Behörden aus. Deshalb ist es erforderlich, die im Zertifikat angegebenen Daten sicher zu überprüfen. Zunächst lassen Sie sich bei der siegelführenden Stelle Ihrer Behörde identifizieren („Behörden-Ident“). Senden Sie dann den von der siegelführenden Stelle gegengezeichneten Antrag zu der Registrierungsstelle, die für Ihre Behörde zuständig ist, siehe das Kapitel Registrierungsstellen. Das Kapitel Antrag bei der Registrierungsstelle stellen beschreibt dieses Vorgehen. Die Registrierungsstelle gibt dann nach Überprüfung der Daten die Erstellung des Zertifikats frei. Weitere Vorgaben für die eingesetzten X.509-Zertifikate enthält die Seite Vorgaben für eingesetzte X.509-Zertifikate.
Wie viele Zertifikate benötigen Sie?
Sie sollten für Ihre Behörde ein Zertifikat der Verwaltungs-PKI beantragen.
Dieses Zertifikat nutzen Sie dann für die Anbindung von bis zu 30 Verwaltungssysteme Ihrer Behörde an FIT-Connect (unter Voraussetzung der Sicherheitseinhaltung).
Verwenden Sie ein und dasselbe V-PKI-Zertifikat für die Anbindung an die Stage- und Produktiv-Umgebung von FIT-Connect.
Das Zertifikat muss in Ihrer Behörde verbleiben.
Zertifikate enthalten private Schlüssel zum Entschlüsseln von Anträgen.
Private Schlüssel müssen geheim gehalten werden.
Geben Sie das Zertifikat nicht an unberechtigte Dritte weiter.
Es sind die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu beachten,
siehe Sicherheitsleitlinien.
Für die Anbindung von Verwaltungssystemen an die Testumgebung von FIT-Connect sind keine Zertifikate der Verwaltungs-PKI erforderlich.
Sie können für die Testumgebung selbst-generierte Zertifikate verwenden (nicht aber für die Stage- und Produktiv-Umgebung).
Die Seite JSON Web Keys beschreibt, wie Sie selbst-generierte Zertifikate erzeugen.
Gültigkeit der Zertifikate
Zertifikate sind nur für eine bestimmte Dauer gültig, beispielsweise für ein Jahr. Deshalb müssen Sie regelmäßig Zertifikate beantragen (nicht nur einmalig). Vor Ablauf des Zertifikats erhalten Sie eine E-Mail mit Informationen zur Rezertifizierung.
Startseite des Web-Portals
Nach der Anmeldung zum Webportal der Telekom Security (Trust Center), sehen Sie die folgende Startseite:

Auswahl der Domäne
Klicken Sie in der Navigation auf der linken Seite auf Software-Zertifikat und dann auf beantragen. Nun wird die folgende Seite angezeigt, auf der Sie die Sub-Domäne auswählen können. Wählen Sie hier die Sub-Domäne aus, die im Kapitel Registrierungsstellen für Ihr Bundesland angegeben ist. Wählen Sie zum Beispiel NDS-eGovernment aus, wenn für Sie die Registrierungsstelle für Niedersachsen zuständig ist. Die Sub-Domäne wird dann im Zertifikat unter Organizational Unit (OU) zu sehen sein. Bestätigen Sie Ihre Auswahl mit Weiter.

Auswahl des Zertifikatstyps
Im nächsten Schritt gilt es, den Zertifikatstyp auszuwählen. Wählen Sie hier Gruppen-/Funktions-Zertifikat und bestätigen Sie die Auswahl. Beachten Sie hier (wie auch in den folgenden Schritten) das Kapitel Registrierungsstellen. Überprüfen Sie, ob für Ihr Bundesland andere Einträge erforderlich sind.

Kontaktdaten
Hier tragen Sie Ihre Kontaktdaten ein, beziehungsweise die Daten des Schlüsselverantwortlichen. Der Schlüsselverantwortliche ist der Repräsentant einer Gruppe und verantwortlich für die sichere Verteilung, Nutzung und gegebenenfalls Sperrung der Schlüssel, die im beantragten Zertifikat enthalten sein werden.

Zertifikatsdaten: Name und E-Mail-Adresse
Geben Sie den Gruppen-/Funktionsnamen an. Der Name muss mit "GRP: " beginnen und sollte "_FIT-Connect" am Wortende enthalten, zum Beispiel GRP: Baubehörde Musterstadt_FIT-Connect. Im Feld E-Mail-Adresse tragen eine zentrale E-Mail-Adresse beziehungsweise ein Funktionspostfach ein. An diese E-Mail-Adresse werden Informationen zur Zertifikatserstellung und vor dem Ablauf des Zertifikats eine Erinnerung gesendet (siehe oben Gültigkeit der Zertifikate).

Optionale Daten
In das Zertifikat können weitere Angaben zu Ihrer Behörde aufgenommen werden (optional). Im Feld Dienstort können Sie den Dienstort Ihrer Behörde erfassen. Im Feld Kennung 1 tragen Sie den Namen Ihrer Behörde ein, sofern sich dieser nicht aus dem Gruppennamen ergibt.

Veröffentlichung, Hash-Algorithmus, Schlüsseltyp und Sperrung des Zertifikats
Sie können hier festlegen,
ob das Zertifikat (mit dem öffentlichen Schlüssel) auch für nicht-öffentliche Stellen im Internet auffindbar sein soll.
Die Voreinstellung ist hier Nein,
also keine Veröffentlichung im allgemeinen Internet,
nur im DOI-Verzeichnisdienst (VöD).
Behalten Sie diese Voreinstellung bei.
Wählen Sie beim Feld Hash-Algorithmus den Algorithmus SHA-512 aus, beim Schlüsseltyp wählen Sie RSA-4096.
Das Sperrpasswort wird benötigt,
um das Zertifikat vor Ende seiner Laufzeit zu sperren.
Die Sperrung ist beispielsweise erforderlich bei Kompromittierung des privaten Schlüssels
oder bei Auflösung der Organisationseinheit.

Abrechnungsanschrift
In diesem Schritt geben Sie Anschrift des zuständigen Rechnungsempfängers an.

Mitteilung an die Registrierungsstelle
Im nächsten Schritt haben Sie die Möglichkeit, der Registrierungsstelle eine Mitteilung zum Antrag zu übermitteln.

Zusammenfassung der Daten
Im letzten Schritt werden alle Antragsdaten angezeigt. Überprüfen Sie die Angaben. Falls notwendig, klicken Sie auf die Schaltfläche Zurück, um zu den vorherigen Seiten zurückzukehren. Schließen Sie die Erstellung Ihres Antrags mit Absenden ab. Ihr Antrag wird nun vom Trust Center erstellt.

Download des Antragformulars
Klicken Sie nun auf die Schaltfläche Zertifikatsantrag herunterladen, siehe folgendes Bild:

Der Download beinhaltet neben dem Antrag auch eine Kopie des Antrags für Ihre Unterlagen,
einen PIN-Brief sowie gegebenenfalls weitere Blätter.
Drucken Sie den Antrag aus,
unterschreiben Sie ihn und lassen Sie sich in einer siegelführenden Stelle Ihrer Behörde identifizieren.
Beachten Sie die Hinweise,
die Sie mit dem Download erhalten.
Antrag bei der Registrierungsstelle stellen
Senden Sie den Antrag an die für Ihre Behörde zuständige Registrierungsstelle. Die Postanschrift finden Sie im Antragsformular. Mit dem Versand an die Registrierungsstelle haben Sie den Antrag gestellt. Nachdem Ihr Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail mit weiteren Informationen zur Abholung Ihres Zertifikats.
Abruf des Zertifikats
Nachdem das Trust Center der Telekom Ihr Zertifikat erstellt hat,
werden Sie per E-Mail darüber informiert. Zum Abholen des Zertifikats rufen Sie die Startseite des Webportals der DOI-CA auf.
Klicken Sie dann in der Navigation auf der linken Seite auf Software-Zertifikat
und dann auf abholen.
Geben Sie anschließend die Referenznummer und das Download-Passwort ein,
das Sie dem Antragsformular beziehungsweise dem PIN-Brief entnehmen.
Bestätigen Sie Ihre Eingaben mit Suchen.

Bei erfolgreicher Eingabe wird Ihr Zertifikat angezeigt. Klicken Sie auf Herunterladen und speichern Sie die geladene Datei auf der Festplatte Ihres Rechners oder auf einem anderen Datenträger. Sie erhalten eine PKCS12-Datei, in der ein Schlüsselpaar enthalten ist. Das Schlüsselpaar umfasst einen öffentlichen Schlüssel und dem dazugehörigen privaten Schlüssel, siehe dazu Verschlüsselte Übertragung in FIT-Connect. Zudem enthält die PKCS12-Datei das eigentliche Zertifikat mit dem öffentlichen Schlüssel. Bestätigen Sie, dass die Datei erfolgreich geladen werden konnte.
Download begrenzt
Der Download ist auf drei Versuche begrenzt. Sollten Sie nach dem dritten Versuch nicht bestätigen, dass der Download erfolgreich war, dann wird beim nächsten Versuch das Zertifikat gesperrt und der private (geheime) Schlüssel gelöscht. Die PKCS12-Datei kann dann nicht mehr heruntergeladen werden und ein Zugriff auf die Schlüssel ist nicht mehr möglich. In diesem Fall stellen Sie einen neuen Antrag.

Download bestätigen
Nach dem Speichern der PKCS12-Datei,
müssen Sie bestätigen,
dass Sie die Datei heruntergeladen haben.
Dadurch wird Ihr Zertifikat freigeschaltet. Nach der Freischaltung kann es bis zu einem Tag dauern, bis das Zertifikat einsatzbereit ist.
Das Webportal informiert Sie anschließend darüber,
siehe folgendes Bild.
Sie können nun das Zertifikat selbst (nicht aber die PKCS12-Datei) nochmals herunterladen.

Bitte beachten Sie, dass das V-PKI-Zertifikat bestätigt werden muss. Bei Problemen mit den JWKs überprüfen Sie bitte zuerst den Aktivierungsstatus Ihres Zertifikats. Ihr Zertifikat können Sie auf der DOI-CA-Webseite überprüfen.
JWKs aus der PKCS12-Datei ableiten
Sie haben vom Webportal des Trust Centers eine PKCS12-Datei erhalten. Diese Datei verwenden Sie nun für die Erzeugung von JSON Web Keys (JWKs), die Sie für die Stage- und Produktiv-Umgebung von FIT-Connect benötigen. Die Seite JSON Web Keys zeigt, wie Sie aus einer PKCS12-Datei die JSON Web Keys (JWKs) für FIT-Connect ableiten.
Registrierungsstellen
Bevor Sie sich an die jeweilige Registrierungsstelle wenden, prüfen Sie bitte, ob Ihre Einrichtung oder das zu verwendende Verfahren vertraglich an eine Registrierungsstelle gebunden ist. Besteht keine Bindung, kann alternativ immer die Registrierungsstelle "öffentliche Verwaltung" (smc-berlin.tsi@telekom.de) genutzt werden.
Berlin
Vorgehen für Anbindungsprojekte:
- Senden Sie eine Email an DOI-XhD@labo.berlin.de mit dem Betreff "Zugangsdaten für DOI Zertifikat“.
- Die folgenden Informationen mitsenden: Welche Stelle betrifft es? Welche Datenkategorien sollen empfangen werden? Zu welchem Zweck?
- Subdomäne für das DOI-Zertifikat anfragen
Baden-Württemberg, Bayern, Hamburg, Hessen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein (Registrierungsstelle 'Öffentliche Verwaltung')
Vorgehen für Anbindungsprojekte:
- Senden Sie eine Email an smc-berlin.tsi@telekom.de mit dem Betreff „Zugangsdaten für DOI V-PKI Zertifikat“.
- Abfragen von Registrierungsstelle, Subdomäne und Abrechnungsgruppe
- Zugangsdaten werden für das DOI-CA-Portal gesendet
- Beantragung des Zertifikats über das Portal: DOI | Anmelden (telesec.de)
- Rechnungsdaten sind die des Landkreises
Brandenburg
Vorgehen für Anbindungsprojekte:
- Senden Sie eine Email an zit-bb.kundenmanagement@zit-bb.brandenburg.de mit dem Betreff "Zugangsdaten für DOI Zertifikat“.
- Erst nach Beauftragung erhalten Sie die Zugangsdaten zum Webportal der DOI-CA.
- Zugangsdaten werden mit Anleitung und Handout für das DOI-CA-Portal gesendet
- Beantragung des Zertifikats über das Portal: DOI | Anmelden (telesec.de)
- Subdomäne: FIT-Connect
Mecklenburg-Vorpommern
Vorgehen für Anbindungsprojekte:
- Falls keine Leitfäden zur Beantragung eines Zertifikats bei Ihrer Behörde ausliegen, dann senden Sie eine Email an virtuelle-poststelle@dvz-mv.de,
- Sie erhalten Leitfäden zurück mit URLs, die Sie für den Antrag benötigen.
- Domäne: Landesverwaltung MV
Niedersachsen
Vorgehen für Anbindungsprojekte:
- Senden Sie eine Email an SignaturCard-Service@it.niedersachsen.de mit dem Betreff „Zugangsdaten für DOI Zertifikat“.
- Zugangsdaten werden vom Signaturcard-Service für das DOI-CA-Portal gesendet
- Beantragung des Zertifikats über das Portal: DOI | Anmelden (telesec.de)
- Registrierungsstelle: IT.Niedersachsen SignaturCard Service
- Sub-Domäne (OU) = NDS-eGovernment
- Gruppen-/Funktionsname (CN) = GRP: [Name/Bezeichnung der Kommune_FitKo] (hier ist der „Unterstrich FitKo“ wichtig, damit der Prüfer des Antrags im SignaturCard Service IT.N weiß, dass der Hash-Algorithmus auf „SHA-512“ gesetzt sein muss.).
- Abrechnungsgruppe: G2G
- Rechnungsdaten sind die des Landkreises
Sachsen-Anhalt und Bremen
Vorgehen für Anbindungsprojekte:
- Senden Sie eine Email an dataportzentraleregistrierungsstellepki@dataport.de mit dem Betreff „Zugangsdaten für DOI Zertifikat“.
- Direktbeauftragung und eine Ausfüllhilfe dazu werden Ihnen zugesendet
- Nach Vorlage der Direktbeauftragung erhalten Sie eine Auftragsbestätigung sowie Informationen und Zugangsdaten zur Online-Beantragung.
- Beantragung des Zertifikats über das Portal: DOI | Anmelden (telesec.de)
Thüringen
Vorgehen für Anbindungsprojekte:
- Senden Sie eine Email an TLRZPKI@tlrz.thueringen.de mit dem Betreff „Zugangsdaten für DOI Zertifikat FITKO“.
- Subdomäne: Kommunikation Thüringen auswählen
- Hash-Algorithmus: SHA-512 auswählen