Zum Hauptinhalt springen

Zertifikate beantragen

Zertifikate der Verwaltungs-PKI

Für FIT-Connect benötigen Sie Zertifikate, die von der Verwaltungs-PKI (V-PKI) ausgestellt werden. Diese Seite beschreibt, wie Sie Zertifikate der Verwaltungs-PKI für die Stage- und Produktiv-Umgebung von FIT-Connect beantragen.
Sie werden Ihr Zertifikat in einer sogenannten "PKCS12-Datei" erhalten. Diese Datei nutzen Sie für die Erzeugung von JSON Web Keys, die Sie für FIT-Connect benötigen. Die Seite Zertifikate umwandeln zeigt, wie Sie aus einer PKCS12-Datei die JSON Web Keys (JWKs) für FIT-Connect ableiten.
Für die Anbindung an die Testumgebung von FIT-Connect können Sie selbst-generierte Zertifikate verwenden. Die Seite JSON Web Keys zeigt, wie Sie für die Testumgebung selbst-generierte Zertifikate erzeugen.

Zusammenfassung der Schritte zum Zertifikat

Um Zertifikate der Verwaltungs-PKI zu erhalten, sind die folgenden Arbeitsschritte erforderlich:

Aufgabe für Verantwortliche für Fachverfahren

Das Beantragen von Zertifikaten ist eine der Aufgaben, die Verantwortliche für Fachverfahren beachten müssen, um Fachverfahren an die Stage- und Produktiv-Umgebung von FIT-Connect anzubinden. Die Seite Fachverfahren registrieren zeigt alle Aufgaben der Verantwortlichen im Überblick.

Warum verwendet FIT-Connect Zertifikate?

Zertifikate dienen der Verschlüsselung: Sie enthalten öffentliche und private Schlüssel für die Ver- und Entschlüsselung von Anträgen. Öffentliche Schlüssel ermöglichen es den sendenden Systemen (Onlinediensten), Anträge verschlüsselt zu übersenden. Private Schlüssel erlauben es dem Empfänger, die verschlüsselten Anträge zu entschlüsseln. Private Schlüssel dürfen nicht an unberechtigte Dritte weitergegeben werden.

Wer stellt Zertifikate für die Verwaltung aus?

Sie erhalten Zertifikate für die Verwaltung vom Trust Center der Telekom Security, einer Tochtergesellschaft der Deutschen Telekom. Das Trust Center stellt Zertifikate für die Deutschland Online Infrastruktur (DOI) aus. Das Trust Center arbeitet als Zertifizierungsstelle (Certificate Authority, CA) für die Deutschland Online Infrastruktur. Die DOI ist in die Verwaltungs-PKI (V-PKI) integriert. Die Abkürzung PKI steht für "Public Key Infrastructure".

Kontakt zur Telekom Security

Sie erreichen den Support der Telekom Security (Trust Center) unter:
Tel.: 0800/2255742 1557
E-Mail: smc-berlin.tsi@telekom.de
Fax: 0800/2255742 1559

Wo erstellen Sie den Antrag für ein Zertifikat?

Sie beantragen ein Zertifikat auf dem Webportal der Telekom Security.
Das folgende Bild zeigt die Login-Seite des Webportals.
Sie gelangen zur Login-Seite, wenn Sie den folgenden Link anklicken: Webportal der Telekom Security. Das Webportal wird auch "DOI CA Portal" genannt. Klicken Sie auf das folgende Bild, um es zu vergrößern:

Management von Zertifikaten der DOI-CA

Wo erhalten Sie die Login-Daten für das Webportal?

Sie erhalten die Zugangsdaten für das Webportal bei der Registrierungsstelle Ihres Bundeslandes. Schreiben Sie eine E-Mail an die für Ihre Behörde zuständige Registrierungsstelle. Die E-Mail-Adressen der Registrierungsstellen sind im Kapitel Registrierungsstellen angeben. Fügen Sie Ihrer E-Mail den folgenden Betreff hinzu: „Zugangsdaten für DOI Zertifikat“.

Vorgaben für Zertifikate der Verwaltungs-PKI

Die Verwaltungs-PKI stellt Zertifikate für Behörden aus. Deshalb ist es erforderlich, die im Zertifikat angegebenen Daten sicher zu überprüfen. Zunächst lassen Sie sich bei der siegelführenden Stelle Ihrer Behörde identifizieren („Behörden-Ident“). Senden Sie dann den von der siegelführenden Stelle gegengezeichneten Antrag zu der Registrierungsstelle, die für Ihre Behörde zuständig ist, siehe das Kapitel Registrierungsstellen. Das Kapitel Antrag bei der Registrierungsstelle stellen beschreibt dieses Vorgehen. Die Registrierungsstelle gibt dann nach Überprüfung der Daten die Erstellung des Zertifikats frei. Weitere Vorgaben für die eingesetzten X.509-Zertifikate enthält die Seite Vorgaben für eingesetzte X.509-Zertifikate.

Wie viele Zertifikate benötigen Sie?

Sie sollten für Ihre Behörde ein Zertifikat der Verwaltungs-PKI beantragen. Dieses Zertifikat nutzen Sie dann für die Anbindung von bis zu 30 Fachverfahren Ihrer Behörde an FIT-Connect (unter Voraussetzung der Sicherheitseinhaltung). Verwenden Sie ein und dasselbe V-PKI-Zertifikat für die Anbindung an die Stage- und Produktiv-Umgebung von FIT-Connect.
Das Zertifikat muss in Ihrer Behörde verbleiben. Zertifikate enthalten private Schlüssel zum Entschlüsseln von Anträgen. Private Schlüssel müssen geheim gehalten werden. Geben Sie das Zertifikat nicht an unberechtigte Dritte weiter. Es sind die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu beachten, siehe Sicherheitsleitlinien.
Für die Anbindung von Fachverfahren an die Testumgebung von FIT-Connect sind keine Zertifikate der Verwaltungs-PKI erforderlich. Sie können für die Testumgebung selbst-generierte Zertifikate verwenden (nicht aber für die Stage- und Produktiv-Umgebung). Die Seite JSON Web Keys beschreibt, wie Sie selbst-generierte Zertifikate erzeugen.

Gültigkeit der Zertifikate

Zertifikate sind nur für eine bestimmte Dauer gültig, beispielsweise für ein Jahr. Deshalb müssen Sie regelmäßig Zertifikate beantragen (nicht nur einmalig). Vor Ablauf des Zertifikats erhalten Sie eine E-Mail mit Informationen zur Rezertifizierung.

Startseite des Web-Portals

Nach der Anmeldung zum Webportal der Telekom Security (Trust Center), sehen Sie die folgende Startseite:

Management von Zertifikaten der DOI-CA

Auswahl der Domäne

Klicken Sie in der Navigation auf der linken Seite auf "Software-Zertifikat" und dann auf "beantragen". Nun wird die folgende Seite angezeigt, auf der Sie die Sub-Domäne auswählen können. Wählen Sie hier die Sub-Domäne aus, die im Kapitel Registrierungsstellen für Ihr Bundesland angegeben ist. Wählen Sie zum Beispiel "NDS-eGovernment" aus, wenn für Sie die Registrierungsstelle für Niedersachsen zuständig ist. Die Sub-Domäne wird dann im Zertifikat unter "Organizational Unit" (OU) zu sehen sein. Bestätigen Sie Ihre Auswahl mit "Weiter".

Auswahl der Domäne

Auswahl des Zertifikatstyps

Im nächsten Schritt gilt es, den Zertifikatstyp auszuwählen. Wählen Sie hier "Gruppen-/Funktions-Zertifikat" und bestätigen Sie die Auswahl. Beachten Sie hier (wie auch in den folgenden Schritten) das Kapitel Registrierungsstellen. Überprüfen Sie, ob für Ihr Bundesland andere Einträge erforderlich sind.

Auswahl des Zertifikatstyps

Kontaktdaten

Hier tragen Sie Ihre Kontaktdaten ein, beziehungsweise die Daten des Schlüsselverantwortlichen. Der Schlüsselverantwortliche ist der Repräsentant einer Gruppe und verantwortlich für die sichere Verteilung, Nutzung und gegebenenfalls Sperrung der Schlüssel, die im beantragten Zertifikat enthalten sein werden.

Erfassung der Daten des Antragstellers/Schlüsselverantwortlichen

Zertifikatsdaten: Name und E-Mail-Adresse

Geben Sie den Gruppen-/Funktionsnamen an. Der Name muss mit "GRP: " beginnen und sollte "_FIT-Connect" am Wortende enthalten, zum Beispiel "GRP: Baubehörde Musterstadt_FIT-Connect". Im Feld "E-Mail-Adresse" tragen eine zentrale E-Mail-Adresse beziehungsweise ein Funktionspostfach ein. An diese E-Mail-Adresse werden Informationen zur Zertifikatserstellung und vor dem Ablauf des Zertifikats eine Erinnerung gesendet (siehe oben Gültigkeit der Zertifikate).

Zertifikatsdaten: Name und E-Mail-Adresse

Optionale Daten

In das Zertifikat können weitere Angaben zu Ihrer Behörde aufgenommen werden (optional). Im Feld "Dienstort" können Sie den Dienstort Ihrer Behörde erfassen. Im Feld "Kennung 1" tragen Sie den Namen Ihrer Behörde ein, sofern sich dieser nicht aus dem Gruppennamen ergibt.

Zertifikatsdaten: Optionale Zertifikatsdaten

Veröffentlichung, Hash-Algorithmus, Schlüsseltyp und Sperrung des Zertifikats

Sie können hier festlegen, ob das Zertifikat (mit dem öffentlichen Schlüssel) auch für nicht-öffentliche Stellen im Internet auffindbar sein soll. Die Voreinstellung ist hier "Nein", also keine Veröffentlichung im allgemeinen Internet, nur im DOI-Verzeichnisdienst (VöD). Behalten Sie diese Voreinstellung bei.
Wählen Sie beim Feld "Hash-Algorithmus" den Algorithmus "SHA-512" aus, beim Schlüsseltyp wählen Sie "RSA-4096". Das Sperrpasswort wird benötigt, um das Zertifikat vor Ende seiner Laufzeit zu sperren. Die Sperrung ist beispielsweise erforderlich bei Kompromittierung des privaten Schlüssels oder bei Auflösung der Organisationseinheit.

Veröffentlichung, Hash-Algorithmus, Schlüsseltyp und Sperrpasswort

Abrechnungsanschrift

In diesem Schritt geben Sie Anschrift des zuständigen Rechnungsempfängers an.

Zertifikatsdaten: Optionale Zertifikatsdaten

Mitteilung an die Registrierungsstelle

Im nächsten Schritt haben Sie die Möglichkeit, der Registrierungsstelle eine Mitteilung zum Antrag zu übermitteln.

Mitteilung an die Registrierungsstelle

Zusammenfassung der Daten

Im letzten Schritt werden alle Antragsdaten angezeigt. Überprüfen Sie die Angaben. Falls notwendig, klicken Sie auf die Schaltfläche "Zurück", um zu den vorherigen Seiten zurückzukehren. Schließen Sie die Erstellung Ihres Antrags mit "Absenden" ab. Ihr Antrag wird nun vom Trust Center erstellt.

Zusammenfassung der Antragsdaten

Download des Antragformulars

Klicken Sie nun auf die Schaltfläche "Zertifikatsantrag herunterladen", siehe folgendes Bild:

Download und Versand des Zertifikatsantrags

Der Download beinhaltet neben dem Antrag auch eine Kopie des Antrags für Ihre Unterlagen, einen PIN-Brief sowie gegebenenfalls weitere Blätter.
Drucken Sie den Antrag aus, unterschreiben Sie ihn und lassen Sie sich in einer siegelführenden Stelle Ihrer Behörde identifizieren. Beachten Sie die Hinweise, die Sie mit dem Download erhalten.

Antrag bei der Registrierungsstelle stellen

Senden Sie den Antrag an die für Ihre Behörde zuständige Registrierungsstelle. Die Postanschrift finden Sie im Antragsformular. Mit dem Versand an die Registrierungsstelle haben Sie den Antrag gestellt. Nachdem Ihr Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail mit weiteren Informationen zur Abholung Ihres Zertifikats.

Abruf des Zertifikats

Nachdem das Trust Center der Telekom Ihr Zertifikat erstellt hat, werden Sie per E-Mail darüber informiert. Zum Abholen des Zertifikats rufen Sie die Startseite des Webportals der DOI-CA auf. Klicken Sie dann in der Navigation auf der linken Seite auf "Software-Zertifikat" und dann auf "abholen".
Geben Sie anschließend die Referenznummer und das Download-Passwort ein, das Sie dem Antragsformular beziehungsweise dem PIN-Brief entnehmen. Bestätigen Sie Ihre Eingaben mit "Suchen".

Software-Zertifikat abholen

Bei erfolgreicher Eingabe wird Ihr Zertifikat angezeigt. Klicken Sie auf "Herunterladen" und speichern Sie die geladene Datei auf der Festplatte Ihres Rechners oder auf einem anderen Datenträger. Sie erhalten eine PKCS12-Datei, in der ein Schlüsselpaar enthalten ist. Das Schlüsselpaar umfasst einen öffentlichen Schlüssel und dem dazugehörigen privaten Schlüssel, siehe dazu Verschlüsselte Übertragung in FIT-Connect. Zudem enthält die PKCS12-Datei das eigentliche Zertifikat mit dem öffentlichen Schlüssel. Bestätigen Sie, dass die Datei erfolgreich geladen werden konnte.

Download begrenzt

Der Download ist auf drei Versuche begrenzt. Sollten Sie nach dem dritten Versuch nicht bestätigen, dass der Download erfolgreich war, dann wird beim nächsten Versuch das Zertifikat gesperrt und der private (geheime) Schlüssel gelöscht. Die PKCS12-Datei kann dann nicht mehr heruntergeladen werden und ein Zugriff auf die Schlüssel ist nicht mehr möglich. In diesem Fall stellen Sie einen neuen Antrag.

Software-Zertifikat herunterladen

Download bestätigen

Nach dem Speichern der PKCS12-Datei, müssen Sie bestätigen, dass Sie die Datei heruntergeladen haben. Dadurch wird Ihr Zertifikat freigeschaltet.
Das Webportal informiert Sie anschließend darüber, siehe folgendes Bild. Sie können nun das Zertifikat selbst (nicht aber die PKCS12-Datei) nochmals herunterladen.

Zertifikat als *.der-Datei herunterladen

JWKs aus der PKCS12-Datei ableiten

Sie haben vom Webportal des Trust Centers eine PKCS12-Datei erhalten. Diese Datei verwenden Sie nun für die Erzeugung von JSON Web Keys (JWKs), die Sie für die Stage- und Produktiv-Umgebung von FIT-Connect benötigen. Die Seite JSON Web Keys zeigt, wie Sie aus einer PKCS12-Datei die JSON Web Keys (JWKs) für FIT-Connect ableiten.

Registrierungsstellen

Bevor Sie sich an die jeweilige Registrierungsstelle wenden, prüfen Sie bitte, ob Ihre Einrichtung oder das zu verwendende Verfahren vertraglich an eine Registrierungsstelle gebunden ist. Besteht keine Bindung, kann alternativ immer die Registrierungsstelle "öffentliche Verwaltung" (smc-berlin.tsi@telekom.de) genutzt werden.

Berlin

Vorgehen für Anbindungsprojekte:

  • Senden Sie eine Email an DOI-XhD@labo.berlin.de mit dem Betreff „Zugangsdaten für DOI Zertifikat“.
  • Die folgenden Informationen mitsenden: Welche Stelle betrifft es? Welche Datenkategorien sollen empfangen werden? Zu welchem Zweck?
  • Subdomäne für das DOI-Zertifikat anfragen

Baden-Württemberg, Bayern, Bremen, Hamburg, Hessen, Nordrhein-Westfalen, Saarland, Sachsen, Schleswig-Holstein (Registrierungsstelle 'Öffentliche Verwaltung')

Vorgehen für Anbindungsprojekte:

  • Senden Sie eine Email an smc-berlin.tsi@telekom.de mit dem Betreff „Zugangsdaten für DOI V-PKI Zertifikat“.
  • Abfragen von Registrierungsstelle, Subdomäne und Abrechnungsgruppe
  • Zugangsdaten werden für das DOI-CA-Portal gesendet
  • Beantragung des Zertifikats über das Portal: DOI | Anmelden (telesec.de)
  • Rechnungsdaten sind die des Landkreises

Brandenburg

Vorgehen für Anbindungsprojekte:

  • Senden Sie eine Email an zit-bb.kundenmanagement@zit-bb.brandenburg.de mit dem Betreff "Zugangsdaten für DOI Zertifikat“.
  • Erst nach Beauftragung erhalten Sie die Zugangsdaten zum Webportal der DOI-CA.
  • Zugangsdaten werden mit Anleitung und Handout für das DOI-CA-Portal gesendet
  • Beantragung des Zertifikats über das Portal: DOI | Anmelden (telesec.de)
  • Subdomäne: FIT-Connect

Mecklenburg-Vorpommern

Vorgehen für Anbindungsprojekte:

  • Falls keine Leitfäden zur Beantragung eines Zertifikats bei Ihrer Behörde ausliegen, dann senden Sie eine Email an virtuelle-poststelle@dvz-mv.de,
  • Sie erhalten Leitfäden zurück mit URLs, die Sie für den Antrag benötigen.
  • Domäne: Landesverwaltung MV

Niedersachsen

Vorgehen für Anbindungsprojekte:

  • Senden Sie eine Email an SignaturCard-Service@it.niedersachsen.de mit dem Betreff „Zugangsdaten für DOI Zertifikat“.
  • Zugangsdaten werden vom Signaturcard-Service für das DOI-CA-Portal gesendet
  • Beantragung des Zertifikats über das Portal: DOI | Anmelden (telesec.de)
  • Registrierungsstelle: IT.Niedersachsen | SignaturCard Service
  • Sub-Domäne (OU) = NDS-eGovernment
  • Gruppen-/Funktionsname (CN) = GRP: [Name/Bezeichnung der Kommune_FitKo] (hier ist der „Unterstrich FitKo“ wichtig, damit der Prüfer des Antrags im SignaturCard Service IT.N weiß, dass der Hash-Algorithmus auf „SHA-512“ gesetzt sein muss.).
  • Abrechnungsgruppe: G2G
  • Rechnungsdaten sind die des Landkreises

Sachsen-Anhalt

Vorgehen für Anbindungsprojekte:

  • Senden Sie eine Email an dataportzentraleregistrierungsstellepki@dataport.de mit dem Betreff „Zugangsdaten für DOI Zertifikat“.
  • Direktbeauftragung und eine Ausfüllhilfe dazu werden Ihnen zugesendet
  • Nach Vorlage der Direktbeauftragung erhalten Sie eine Auftragsbestätigung sowie Informationen und Zugangsdaten zur Online-Beantragung.
  • Beantragung des Zertifikats über das Portal: DOI | Anmelden (telesec.de)

Thüringen

Vorgehen für Anbindungsprojekte:

  • Senden Sie eine Email an smc-berlin.tsi@telekom.de mit dem Betreff „Zugangsdaten für DOI Zertifikat“.
  • Subdomäne: "Kommunikation Thüringen" auswählen
  • Hash-Algorithmus: "SHA-512" auswählen