.
Unter Formular-/Dokumentenbibliothek finden Sie alle Formulare und Dokumente.
Beschreibung
Verwaltungsstellen (Behörden) können amtliche Dokumente mit einem für die betreffende Amtsstelle ausgestellten Zertifikat, dem geregelten Behördenzertifikat, zusammen mit einem qualifizierten Zeitstempel (ZertES, Art. 2j) digital signieren. Bürger und Unternehmen sollen amtliche Dokumente, die von Behörden stammen und von diesen digital signiert worden sind, überprüfen können, um sicherzustellen, dass diese Dokumente tatsächlich von der entsprechenden Behörde stammen und dass die Dokumente zum Zeitpunkt der Überprüfung unverändert vorliegen.
Die Dokumente können kostenlos über die Seite Dokument validieren überprüft werden.
Inhalt des Zertifikates
Die inhabende Behörde wird in Form eines „Distinguished Name“ gemäss X.509 im Zertifikat beschrieben. Dabei wird für das geregelte Behördenzertifikat keinerlei Information über den Antragsteller ausserhalb der Swiss Government PKI gespeichert. Das Zertifikat an sich enthält die UID der Behörde und den offiziellen Namen der Behörde in den entsprechenden Attributen «O=» und «OI=».
Der «Distinguished Name» des Zertifikates wird gemäss folgenden Regeln bestimmt:
- C = CH oder LI Länderkürzel nach ISO 3166-1. Es bezeichnet das Land, der unter dem RDN «O» bezeichneten Behörde.
- O = Der O muss mit dem Namen im UID-Register übereinstimmen (wird von der CSP geprüft, max. 64 Charakteren, https://www.uid.admin.ch)
- CN = Allgemein gebräuchlicher Name der Verwaltungsstelle. Der Name muss nicht genau mit dem registrierten Namen übereinstimmen (Bezeichnung gemäss UID-Register.)
- OI = NTRCH-CHE-nnn.nnn.nnn (= UID Nummer der ausstellenden Behörde gemäss UID-Register), wie durch die ZertES verlangt wird
- OU1-2 = Nähere Bezeichnung der Organisationseinheit (Departement, Abteilung, etc.), die dem Zertifikat zugeordnet ist. Es können zwei OU Felder angegeben werden.
- OU3 = Behörden-Identifikation:
- -GE - 0220 - Amtskürzel oder -bezeichnung Bundesbehörde (Bundesamt)
- -GE - 0221 - Kantonskürzel - Amtskürzel oder -bezeichnung kantonale Behörde
- -GE - 0222 - Kantonskürzel - Hist. BFSNR - Amtskürzel oder -bezeichnung Behörde eines Bezirks
- -GE - 0223 - Hist. BFSNR - Amtskürzel oder -bezeichnung kommunale Behörde
- L = Bezeichnung der Gemeinde in der die Behörde Ihren Sitz hat
- SP = Bezeichnung des Kantons in dem die Behörde Ihren Sitz hat
- E-Mail = Mail-Adresse, die bei einer automatisierten Prüfung eines elektronisch gesiegelten Dokumentes ggf. in einem Prüfbericht aufgeführt wird, um die Auskunftstelle für den signierten Dokumententyp anzuzeigen.
Antragstellung
Grundvoraussetzung für den Erhalt eines geregelten Behördenzertifikates ist, dass die Organisation eine UID-Einheit im Sinne von Artikel 3 Absatz 1 Buchstabe c des Bundesgesetzes vom 18. Juni 2010 (Stand am 1. Januar 2022) über die Unternehmens-Identifikationsnummer (UIDG) besitzt. Der Antragsteller muss für die jeweilige UID-Einheit zeichnungsberechtigt sein. Diese Berechtigung muss er entweder durch einen beglaubigten Handelsregisterauszug oder durch eine rechtswirksam unterzeichnete Vertretungsermächtigung nachweisen können. Der Antragsteller muss für die Ausstellung des Zertifikats persönlich erscheinen.
Die beiden Formulare «Antragsformular für geregeltes Behördenzertifikat» und «Handlungsvollmacht zur Beantragung eines geregelten Behördenzertifikates der Klasse A» werden vom Antragsteller, resp. Vollmachtgeber mit einem elektronischen Signaturzertifikat unterschrieben und per Remedy-MAC der SG-PKI zugestellt.
Wird sowohl das Antragsformular als auch die Vollmacht mit einem qualifizierten Zertifikat signiert, kann beim serverbasierten Behördenzertifikat (Siegel) auf den persönlichen Termin verzichtet werden.
Bei einem Siegel auf Smartcard ist in jedem Fall ein Termin vor Ort notwendig.
Anwendung des Zertifikates
Für dieselbe Organisation (Behörde) können mehrere Zertifikate ausgestellt werden. Dabei können die Anträge von derselben Person der Behörde gestellt werden.
Ein geregeltes Behördenzertifikat kann sowohl auf einer Smartcard, als auch auf dem Signaturserver der SG-PKI (nur für bundesinterne Kunden) erstellt werden.
Die Smartcard mit dem Behördenzertifikat darf vom Antragsteller geordnet an Mitarbeitende abgegeben werden, wobei der Antragsteller im Namen der Behörde selbst die Verantwortung trägt, die Weitergabe der Zertifikate nachvollziehbar und lückenlos, schriftlich festzuhalten.
Bei einem serverbasierten Behördenzertifikat kann der Antragsteller weitere Personen über das Formular «Antrag Berechtigung für Siegelnutzung» berechtigen lassen, resp. die Berechtigung auch wieder entziehen lassen.
Wird das serverbasierte Siegel mittels Fachanwendung über eine TLS-Verbindung verwendet, findet die Berechtigungsvergabe über die Fachanwendung statt.
Revokation
Die Revokation kann direkt bei der Swiss Government PKI mittels Revokationsformular und Remedy-MAC beantragt werden. Für die Revokation gelten die gleichen Voraussetzungen wie bei der Antragstellung, oder die Revokation wird vom Antragsteller selbst beantragt.
- die Smartcard ist gestohlen worden oder kann nicht mehr gefunden werden
- die Smartcard ist defekt
- beide PINs und PUKs für die Smartcard sind verloren gegangen oder wurden vergessen
- Beendigung des Arbeitsverhältnisses
- Änderung von Daten, die im Zertifikat enthalten sind (Behördenname, E-Mail-Adresse, etc.)
- Verdacht auf Kompromittierung (Bekanntwerden) des privaten Schlüssels (eine andere Person könnte einen Dienst nutzen, z.B. eine Mail signieren)
- Reorganisation
- der bevollmächtigte, aktuelle Nutzer hält sich nicht an die Richtlinien (Nicht-Befolgen der CP/CPS)
- Der LRAO hält eine Revokation aus anderen Gründen für angebracht.
- der ursprüngliche Antragsteller selbst
- Zertifikatsinhaber: Unterzeichnungsberechtigte Personen gemäss Eintrag im UID oder Handelsregister
- Linienvorgesetzte
- der Swiss Government PKI- Verantwortliche
- der Swiss Government PKI- Security Officer
- der Swiss Government PKI-LRA-Officer
- Der ISBO des Amtes
- indem sich der ursprüngliche Antragsteller persönlich bei einer lokalen Registrierstelle meldet
- indem eine berechtigte Person einen Revokationsantrag per Post an eine lokale Registrierstelle sendet
- indem eine berechtigte Person einen Revokationsantrag mit dem Signierschlüssel unterschreibt, sofern nicht eine vermutete oder tatsächliche Kompromittierung dieses Signierschlüssels der Grund für den Revokationsantrag ist
Kommt die Revokation nicht vom ursprünglichen Antragsteller selbst, so muss dies immer schriftlich und signiert erfolgen.
Formulare/Auftragserteilung
- Handlungsvollmacht zur Beantragung eines geregelten Behördenzertifikates der Klasse A (PDF, 698 kB, 18.01.2024)
- Klasse A: Antrag Berechtigung für Nutzung eines Siegels (Nach ZertES geregeltes Behördenzertifikat für juristische Personen) (PDF, 780 kB, 18.01.2024)
- Berechtigungsantrag für die Ausstellung geregelter Behörden- Zertifikate der Swiss Government PKI (PDF, 270 kB, 18.01.2024)
- Klasse A: Antrag für die Einbindung eines TLS-Zertifikats zur Nutzung eines Siegels (PDF, 147 kB, 18.01.2024)
- Revokation von geregelten Behördenzertifikaten der Swiss Government PKI (PDF, 198 kB, 18.01.2024)
- Antragsformular für geregeltes Behördenzertifikat (PDF, 816 kB, 18.01.2024)