.
Unter Zertifikate: Formular-/Dokumentenbibliothek finden Sie alle Formulare und Dokumente.
Inhalt des Zertifikats
Das von der Swiss Government PKI ausgestellte Zertifikat enthält folgende Informationen:
- Zertifikatinhaber (Vollständiger Name, E-Mail-Adresse)
- Zertifizierungsstelle (Herausgeber)
- Fingerprint des Zertifikats
- Gültigkeit des Zertifikats
- Seriennummer
Die Informationen im Zertifikat können nicht geändert werden. Ändert sich z.B. der Name oder die E-Mail-Adresse, müssen die Schlüssel und das Zertifikat neu erstellt werden.
Zertifikatinhaber
Der Zertifikatinhaber ist die Person, für die ein qualifiziertes Zertifikat ausgestellt worden ist. Sie handelt im Auftrag einer Organisation (Bundesverwaltung oder Kanton) und benötigt aufgrund ihrer Tätigkeit ein nach ZertES (Bundesgesetz über die elektronische Signatur) ausgestelltes Zertifikat der Swiss Government PKI.
Überprüfung des Antragstellers
- Um die Korrektheit der Beziehung zwischen einem öffentlichen Schlüssel und einem Antragsteller garantieren zu können, muss die Swiss Government PKI die Identität des Antragsstellers anhand einer persönlichen Identifikation sowie offiziellen Dokumenten (gültiger Pass oder gültige Identitätskarte) überprüfen.
- Die lokale Registrierstelle ist mit der Aufgabe betraut, den Antragsteller zu identifizieren und die notwendigen Informationen für die Ausstellung eines Zertifikates zusammenzustellen.
- Zur Identifikation dürfen ID’s aus unseren «direkt angrenzenden Ländern (Deutschland, Österreich, Frankreich, Italien und Lichtenstein) akzeptiert werden. Weitere ID’s, welche von der Schweiz als gültige Reisedokumente anerkannt sind, finden Sie auf der Internet Site des Staatssekretariat für Migration SEM unter Alphabetische Liste der Länder».
- Überprüfung Identität Antragsteller Klasse B (PDF, 1 MB, 19.01.2024)Verbindliche, detaillierte Vorgaben zur Überprüfung der Identität von Antrag-stellern für Zertifikate der Klasse B der Swiss Government PKI
Besitz des privaten Schlüssels
- Auf Smartcard
Der Signierschlüssel wird innerhalb einer Smartcard generiert. Die Erzeugung des Schlüssels und die Definition der beiden PIN und PUK werden durch den Antragssteller selber initialisiert. Diese Daten und der Signierschlüssel befinden sich in seinem alleinigen Besitz.
- Auf dem Signaturserver
Für Angestellte der Bundesverwaltung besteht die Möglichkeit, den privaten Schlüssel des qualifizierten Zertifikats auf einem Server der SG-PKI, einem sog. Hardwaresicherheitsmodul (HSM) zu speichern. Das Definieren von zusätzlichen PIN und PUK entfällt. Auch eine zusätzliche Smartcard ist in diesem Fall nicht notwendig.
Verwendung des Schlüssels und des Zertifikats durch den Inhaber
Der Signierschlüssel und das zugehörige qualifizierte Zertifikat dürfen ausschliesslich für die Erzeugung und Verifikation elektronischer qualifizierter Signaturen von Dokumenten verwendet werden. Die Liste der Applikationen, mit welchen die Zertifikate benutzt werden dürfen, ist unter der Rubrik «Standards und Vorgaben» publiziert.
Die Verwendung des Schlüssels durch den Inhaber unterliegt den in der Benutzervereinbarung und Nutzungsbedingungen für Zertifikate der Klasse A aufgeführten Bedingungen, insbesondere:
- Der Inhaber darf seinen privaten Schlüssel nur für die vorgesehenen Zwecke mit genehmigter Anwendung (DesktopSigner) einsetzen.
- Der Inhaber verfügt über das nötige Grundwissen für die angemessene Verwendung des Signierschlüssels und des Zertifikates.
- Der Inhaber muss über seine Verantwortungen und Pflichten, die im Certificate Practice Statement festgelegt sind, auf dem Laufenden sein.
- Der Inhaber ist für seine Schlüssel und die Signiervorrichtung alleine verantwortlich. Er muss die notwendigen Vorkehrungen treffen, um Verlust, Verbreitung an Dritte, Veränderung und nicht autorisierte Verwendung zu verhindern-
- Bei vermuteter oder festgestellter Kompromittierung des privaten Schlüssels muss der Inhaber unverzüglich die lokale Registrierstelle informieren, um die Nutzung der kryptographischen Schlüssel (des Zertifikates) einzustellen.
- Der Inhaber muss sein Zertifikat revozieren lassen, falls die darin enthaltenen Informationen nicht mehr gültig sind
Erneuerung des Zertifikats
- Die Zertifikate sind, wenn sie nicht vorher revoziert werden, drei Jahre gültig.
- Die Erneuerung eines Zertifikates verläuft gleich wie die initiale Ausstellung eines Zertifikates.
Revokation
Was sind Gründe für eine Revokation?
Wer kann eine Revokation beantragen?
Wie kann eine Revokation beantragt werden?
- die Smartcard ist gestohlen worden oder kann nicht mehr gefunden werden
- die Smartcard ist defekt
- der Zertifikats-Inhaber hat den PIN und den PUK für die Smartcard vergessen
- Beendigung des Arbeitsverhältnisses
- Änderung der Daten (Name, Organisationseinheit, etc.)
- Verdacht auf Kompromittierung (Bekanntwerden) des privaten Schlüssels (eine andere Person könnte einen Dienst nutzen, z.B. eine Mail signieren)
- der Zertifikats-Inhaber hält sich nicht an die Richtlinien (Nicht-Befolgen der CPS)
- Der LRAO hält eine Revokation aus anderen Gründen für angezeigt
- der Zertifikats-Inhaber selbst
- Mitarbeiter des HR (Personaldienst)
- der Linienvorgesetzte
- der zuständige LRAO
- der Swiss Government PKI- Verantwortliche
- der Swiss Government PKI- Security Officer
- Der ISBO
- indem sich der Zertifikats-Inhaber persönlich bei einer lokalen Registrierstelle meldet
- indem er seinen Revokationsantrag per Post an eine lokale Registrierstelle sendet
- indem er seinen Revokationsantrag mit seinem Signierschlüssel unterschreibt, sofern nicht eine vermutete oder tatsächliche Kompromittierung seines Signierschlüssels der Grund für den Revokationsantrag ist
- indem er sich ausserhalb der Öffnungszeiten der lokalen Registrierungsstelle telefonisch an das Service Desk BIT wendet
Wird die Revoaktion nicht vom Inhaber beantragt, so muss dies immer auf schriftlicher und signierter Weise erfolgen.
Signaturdienst
- Beim Signaturdienst wird die Willensbekundung über das fortgeschrittene Zertifikat der Klasse B (persönliche Smartcard, die für das Login am PC verwendet wird) oder die MobileID ausgelöst.
- Bei einem Wechsel des Klasse B Zertifikats aufgrund einer Neuausstellung oder eines Renewal muss dies mittels des Formulars Antrag neues KL B Zertifikat für Willensbekundung auf Signaturserver (PDF, 294 kB, 18.01.2024) der SG-PKI gemeldet werden.
Formulare/Auftragserteilung
- Klasse A: Antrag LRA-Officer (PDF, 388 kB, 03.05.2024)
- Bestätigung Erhalt LRA-Officer Zertifikat (PDF, 183 kB, 18.01.2024)
- Klasse A: Antrag zum Bezug von qualifizierten Zertifikaten der Klasse A für natürliche Personen (PDF, 657 kB, 18.01.2024)
- Klasse A: Revokationsantrag für qualifizierte Zertifikate für natürliche Personen (PDF, 256 kB, 18.01.2024)
- Klasse A serverbasiert: Neues Klasse B Authentisierungszertifikat für Willens-bekundung auf Signaturserver hinterlegen (PDF, 294 kB, 18.01.2024)
Quickguide
Nutzungsbedingungen
- Guidelines zum LRAO-Zertifikat der Swiss Government PKI (PDF, 809 kB, 18.01.2024)Erläuterungen zum Bezug und Einsatz vom LRAO-Zertifikat der Klassen A und B der Swiss Government PKI
- Benutzervereinbarung und Nutzungsbedingungen für LRA-Officer der SG-PKI (PDF, 200 kB, 18.01.2024)
- Benutzervereinbarung und Nutzungsbedingungen für Zertifikate der Klasse A – Geregelte und qualifizierte Zertifikate gemäss ZertES (für juristische und natürliche Personen) (PDF, 344 kB, 18.01.2024)