Bundesamt für Informatik und Telekommunikation BIT
Bundesamt für Informatik und Telekommunikation BIT
-»Diese Ausgabe ist für Browser ohne zureichende CSS-Unterstützung gedacht und richtet sich vor allem an Sehbehinderte. Alle Inhalte sind auch mit älteren Browsern voll nutzbar. Für eine grafisch ansprechendere Ansicht verwenden Sie aber bitte einen modernen Browser wie z.B. Mozilla 1,4 oder Internet Explorer 6.«-
Beginn Inhaltsbereich
CodeSigning-Zertifikate
Schritt 1: Sind Sie berechtigt, ein CodeSigning-Zertifikat zu beantragen?
Schritt 2: Antragstellung
Schritt 3: Publikation des Zertifikats
Schritt 4: Erzeugen des Schlüsselpaares und des Certificate Signing Request
Schritt 5: Erzeugen des Zertifikats
Schritt 6: Identifikation des Antragstellers
Schritt 7: Übergabe des Zertifikats
Schritt 8: Installieren des Root-Zertifikats beim Client
(Kunde)
Schritt 1: Sind Sie berechtigt, ein CodeSigning-Zertifikat zu beantragen?
Wenn Sie bei uns als berechtigte Person eingetragen sind, können Sie direkt mit Schritt 2 weiterfahren.
Sind Sie nicht berechtigt, eine solche Anfrage zu starten, dann erkundigen Sie sich bitte bei Ihrem Informatikverantwortlichen, ob in Ihrem Amt bereits jemand berechtigt ist. Wenn dies nicht der Fall ist, dann können Sie diese Berechtigung (siehe rechte Spalte) beantragen. Der Antrag muss vom Amtsvorsteher unterschrieben und an uns gesendet werden. Folgende Ämter haben eine registrierte Person:
| BAV | Fin BE |
| BBT | ISC-BK |
| BIT | ISC-EJPD |
| BLW | Kt. ZH (Volkswirtschaftsdirektion) |
| EDA | SECO |
| METAS | WEKO |
| ESTV |
Der Antragsteller stellt einen schriftlichen Antrag an den PKI‑Betriebsverantwortlichen (z.B. per Mail) für die Ausstellung eines CodeSigning-Zertifikats (siehe rechte Spalte).
(AdminPKI)
Der PKI‑Betriebsverantwortliche prüft den Antrag und vereinbart mit dem Antragsteller einen Termin zur Ausstellung des Zertifikats beim BIT.
Der RA-Officer exportiert aus dem Keystore das Zertifikat (ohne private Key) mit dem CommonName.cer als Filename und publiziert das Zertifikat mit dem Admin Directory Administrator Tool unter dem entsprechenden DN des Zertifikats im Admin Directory.
Zusätzlich überträgt der RA-Officer mit ftp das Zertifikat auf den Http-Server unter: http://www.pki.admin.ch/codeSigning/
Das Schlüsselpaar und der Certificate Signing Request (CSR) werden auf einer speziellen LRA-Station des Admin-PKI-Betriebs erzeugt. In Ausnahmefällen kann der Antragsteller auch sein eigenes Keyfile auf einem Datenträger (CD, Memory-Stick) mitbringen.
Schritt 5: Erzeugen des Zertifikates
Der RA-Officer exportiert das Schlüsselpaar und das von ihm erzeugte Zertifikat in eine PKCS#12 Datei. Er schützt die Datei, indem er ein Passwort für diese Datei eingibt.
Schritt 6: Identifikation des Antragstellers und
Der Antragsteller erscheint persönlich mit einem offiziellen Ausweispapier (gültige Identitätskarte oder Pass; diese Liste ist abschliessend). Die Identität des Antragstellers wird überprüft und das Ausweisdokument wird kopiert.
Schritt 7: Übergabe des Zertifikats
Der RA-Officer schreibt diese PKCS#12-Datei auf CD und übergibt diese dem Antragsteller. Er löscht mit einem Wiping-Tool den Keystore und die Arbeitsdateien von der LRA-Station.
Auf Wunsch können die Schlüssel und das Zertifikat auch auf einen Memory-Stick des Antragstellers oder auf eine Smartcard gespeichert werden.
Der Zertifikatsinhaber unterschreibt die Empfangsbestätigung. Der RA-Officer sendet dem Account Manager eine Kopie der Empfangsbestätigung zur Rechnungsstellung und legt das Original im Kundendossier ab.(Kunde)
Schritt 8: Installieren des Rootzertifikats beim Client
Das Root-Zertifikat kann im Browser des Anwenders unter «Vertrauenswürdige Zertifizierungsstellen» installiert werden. Es ist die Aufgabe des Antragstellers bzw. des Anwendungsverantwortlichen, die Anwender entsprechend zu informieren und zu unterstützen.
Ende Inhaltsbereich
