Newsfeed / Q&A

Aktuell gibt es auf folgenden PKI Systemen eine Störung:

Ausstellplattform für Zertifikate der Klasse A
- LRA-Station Klasse A

Ausstellplattform für Zertifikate der Klasse B
- LRA-Station Klasse B
- Swiss Government PKI Toolset:
- Certificate Renewal
- Key Recovery
- PIN Reset
- Token Unseal
- Revokation

Ausstellplattform für Zertifikate der Klasse C
- Certificate Request Wizard
- Gruppenmailbox
- SSO Portal EJPD

RA as a Service
- ZKV
- sedex
- edoc
- DFS-FKR

PKI Systeme
- OCSP
- TSA (inkl. Local Signer)

Aus diesem Grund können Sie Zertifikate weder ausstellen noch revozieren.

Die Spezialisten/-innen arbeiten intensiv an der Behebung der Störung.
            
Für die entstandenen Unannehmlichkeiten bitten wir Sie um Entschuldigung.

>>> Nächste Information: 28.02.2022 13:30 Uhr  

02.12.2012: Störung ist behoben

Aufgrund von Umstellungen im AdminDir sind die Zertifikate der Gruppenmailboxen leider nicht verfügbar. Dies bedeutet für Sie, dass es aktuell zu Problemen mit verschlüsselten Mails an Gruppenmailboxen kommen kann.

Ablauf:

·        Person X versendet verschlüsseltes Mail an eine Gruppenmailbox

·        Person X erhält eine Fehlermeldung

·        Person X sende ein unverschlüsseltes Mail an diese Gruppenmailbox und bitte um eine Rückantwort mittels signierter Mail

·        Person X kann danach auf diese Mail verschlüsselt Antworten

Dieses Problem wird mit höchster Priorität behandelt. Entsprechende Korrekturen werden aktuell bereits geprüft.

Wir danken Ihnen herzlich für Ihre Unterstützung und Ihr Verständnis.

INFO für Nicht-Bundeskunden: Preise verstehen sich zzgl. MwSt.

Beispiel: Das Prestaging der Smartcards Klasse B kosten CHF 9.- plus MWST.

Wie haben betreffend der Beschaffung der Gemalto Smartcard IDPrime MD830 FIPS 140/2 Level 3 RevB mit dem Lieferant Kontakt aufgenommen und folgende verbindliche Information von Avantec (Thales Group) am 30.04.2021 erhalten:

• 30.07.2021: Last-Time-Buy (LTB)
• 31.07.2021: End-Of-Sales (EOS)
• Avantec (Thales Group) will make every effort to fulfill all orders placed during the LTB period.
• Orders placed during the LTB period will be processed on a first-come first-served basis.
• Orders will not be accepted after the LTB end date .
• 31.07.2022: End-Of-Life (EOL)
• End-of-Support für Middleware à Gemäss individueller Lizenzierung (in der Regel 3 Jahre).
• Der Support d.h. der Garantieaustausch defekter Karten entspricht der Standardgarantie von 1 Jahr. Solange hält Avantec (Thales Group) Material vor um ggf. Karten zu ersetzen.
• Avantec (Thales Group) hat KEINE Abkündigung für den Support der Middleware kommuniziert. Praktisch heißt das, dass sie keinen Plan haben diesen Support innerhalb der nächsten 3 Jahre zu beenden. Da ein Mischbetrieb der IDPrime MD 830 und IDPrime 930 problemlos möglich ist, kann der Kunde von einer mindestens 3-jährigen Nutzung der Karte ausgehen. 

Information Swiss Government PKI

• Bitte beachten Sie das End-Of-Sales (EOS) Datum, welches bereits in 3 Monaten ist.
• Die SG-PKI Wizards werden die MD830-er noch mindestens weitere 3 Jahre unterstützen.

***WICHTIG***
Konsequenzen für Sie, bestellen Sie die Planmengen für 2021 bis spätestens 31.07.2021.

18:09h: Die Störung auf den PKI Systemen konnte behoben werden. Ab sofort stehen Ihnen wieder alle PKI- Systeme zur vollen Verfügung.

Störungsinfo: SG-PKI-Systeme, Zertifikate Kl. A-D

Sehr geehrte Damen und Herren

Aktuell gibt es auf folgenden PKI Systemen eine Störung:

Ausstellplattform für Zertifikate der Klasse A
- LRA-Station Klasse A

Ausstellplattform für Zertifikate der Klasse B
- LRA-Station Klasse B
- Swiss Government PKI Toolset:
- Certificate Renewal
- Key Recovery
- PIN Reset
- Token Unseal
- Revokation

Ausstellplattform für Zertifikate der Klasse C
- Swiss Government PKI Toolset:
- Certificate Request Wizard

Ausstellplattform für Zertifikate der Klasse C
- Swiss Government PKI Toolset:
- Certificate Request Wizard

Ausstellplattform für Zertifikate der Klasse D
- ZKV/ sedex/ edoc/ DFS-FKR/ EJPD-SSO-Portal-Zertifikate

TSA

Signaturservice

Aus diesem Grund können Sie Zertifikate weder ausstellen noch revozieren.
Wir sind bemüht das Problem so schnell wie möglich zu beheben und halten Sie über den weiteren Fortschritt auf dem Laufenden.

Nächste Information um 12:00 Uhr

Für Rückfragen stehen wir Ihnen unter der pki-info@bit.admin.ch Inbox gerne zur Verfügung.

Ihre Swiss Government PKI

TSA-Info: Aufgrund des Wechsels der Root-CA für die Klasse A, muss für eine korrekte Validierung der Signatur dem neuen TSA-Zertifikat vertraut werden.

Neue CA-Kette: 

Swiss Government Root CA IV und Swiss Government Regulated CA 02

Sie finden die entsprechenden Zertifikate ab dem 27.3.2019 zum Dowload unter "Rootzertifikate".

Wichtige Information betreffend dem SAC (Safenet Authentication Client): Version 10.5 ist für die Gemelato Karten von der Swiss Government PKI  NICHT freigegeben. Die Evaluation von V 10.6 ist im Gange.

Die aktuell gültige Version ist die 10.4.40

Dürfen wir Sie bitten zu beachten, dass die offizielle Freigabe für die Ausstellung der Klasse A Zertifikate auf den BAB-Clients noch nicht erfolgt ist. Benutzen Sie für die Ausstellung der Klasse A Zertifikate weiterhin die LRA-Station.

Sobald die Ausstellung auch mittels BAB-Client freigegeben ist, werden wir Sie informieren.

Die "Swiss Government Root CA IV" ist seit dem 30.10.2019 in der Adobe Trust List (AATL). Das bedeutet, dass die qualifizierten Signaturen und die Siegel im Adobe als gültig (grünes Häkchen) angezeigt werden. Einzige Bedingung – ein Update der AATL

1) Die Kommunikation zur neuen Klasse A Root und Ausstellende CA wurde am 17.5.2019 den LRAOs der Klasse A und den entsprechenden Integrationsmanager und ISDB der betroffenen Ämter versendet. Zusätzlich wurden die Zertifikatsinhaber separat am 17.5.2019 von der SG-PKI schriftlich informiert. Lesen Sie die versendete Kommunikation auf der Klasse A Seite im geschlossenen Kundenbereich nach.

2) Die Dokumente und Formulare, sowie die SG-PKI Homepage zur Klasse A wurden komplett überarbeitet. Bitte haben Sie Geduld, wenn diese auf FR und IT noch nicht zur Verfügung stehen. Wir werden diese sobald wie möglich aufschalten.

3) Bitte nehmen Sie insbesondere die neuen Benutzervereinbarungen, Guidelines und die neue CP/CPS zur Root IV zur Kenntnis. Die Registrierrichtlinien zur Klasse A für natürliche Personen finden Sie ebenfalls im geschlossenen Kundenbereich.

TSA-Info: Aufgrund des Wechsels der Root-CA für die Klasse A, muss für eine korrekte Validierung der Signatur dem neuen TSA-Zertifikat vertraut werden.

Neue CA-Kette: 

Swiss Government Root CA IV und Swiss Government Regulated CA 02

Sie finden die entsprechenden Zertifikate ab dem 27.3.2019 zum Dowload unter "Rootzertifikate".

Abschlussmeldung- Status: 17 Uhr

Die Nachpublikation aller Zertifikate ist erfolgt und die Nachbearbeitungen sind abgeschlossen.

******************************

Störungsmeldung - Status: 14 Uhr

Die am 30.03.2022 um 12 Uhr gemeldete Störung wurde behoben. Die Nachpublikation aller Zertifikate ist erfolgt, es laufen jedoch noch Nachbearbeitungen.

• Nächste Information um 17:00 Uhr

******************************

Störungsmeldung - Status: 9 Uhr

Die am 30.03.2022 um 12 Uhr gemeldete Störung wurde behoben. Die Nachpublikation aller Zertifikate ist erfolgt, es laufen jedoch noch Nachbearbeitungen.

• Nächste Information um 14:00 Uhr

******************************

Störungsmeldung - Status: 17 Uhr

Die am 30.03.2022 um 12 Uhr gemeldete Störung besteht weiterhin. Wir sind an der Nachpublikation der Zertifikate und bemüht, dass Problem so schnell wie möglich mit unseren Partner des Directory Service zu beheben.

Die Auswirkungen daraus können folgende sein:

• Mails können nicht verschlüsselt werden (aus Outlook)
• Login Probleme auf Applikationen oder Systeme des Bundes (Login mit Klasse B)

Die Ausstellung, Erneuerung und Revokation der Zertifikate Klasse B ist weiterhin möglich.

• Nächste Information um 31.03.2022 um 09:00 Uhr

******************************

Störungsmeldung: Status: 14 Uhr

In Anlehnung an die heute Morgen versendete Störungsinformation «Störung bei Smartcard Login» weisen wir Sie darauf hin, dass es «nur» zu Verzögerung bei der Publikation oder Bereinigung nach einer Revokation der Zertifikate Klasse B im Directory kommen kann.

Die Auswirkungen daraus können folgende sein:

·       Mails können nicht verschlüsselt werden (aus Outlook)

·       Login Probleme auf Applikationen oder Systeme des Bundes (Login mit Klasse B)

Die Ausstellung, Erneuerung und Revokation der Zertifikate Klasse B ist weiterhin möglich.

Wir sind bemüht das Problem so schnell wie möglich mit unseren Partner des Directory Service zu beheben und halten Sie über den weiteren Fortschritt auf dem Laufenden.

• Nächste Information heute um 17:00 Uhr

******************************
Störungsmeldung - Initial: 12 Uhr

In Anlehnung an die heute Morgen versendete Störungsinformation «Störung bei Smartcard Login» weisen wir Sie darauf hin, dass es «nur» zu Verzögerung bei der Publikation oder Bereinigung nach einer Revokation der Zertifikate Klasse B im Directory kommen kann.

Die Ausstellung, Erneuerung und Revokation der Zertifikate Klasse B ist weiterhin möglich.

Wir sind bemüht das Problem so schnell wie möglich mit unseren Partner des Directory Service zu beheben und halten Sie über den weiteren Fortschritt auf dem Laufenden.

• Nächste Information heute um 14:00 Uhr

Verschärfte PIN Regeln für 930-er Smartcards (Link)

Neu stehten folgende zwei Renewal Wizards zur Verfügung:

• Certificate Renewal --> Für alle ohne EFD-BAZG
• Renewal2 --> Ausschliesslich für EFD-BAZG

Die Störung auf dem PKI Service (Renewal)konnte behoben werden. 

WICHTIG: Wir überwachen jedoch den Certificate Renewal Service und informieren Sie am 16.02.2022 um 09:00h weiter.

--> Nächste Information 16h

Aktuell gibt es auf folgenden PKI Systemen eine Störung:

Ausstellplattform für Zertifikate der Klasse B
- Certificate Renewal

Wir sind bemüht das Problem so schnell wie möglich zu beheben und halten Sie über den weiteren Fortschritt auf dem Laufenden.

Nächste Information um um  13:00 Uhr

PIN-Reset -  Nach 4x falschen PIN Eingaben = gesperrt (ehemals 5x möglich)

Am 2. September 2021 fand der LRAO-Summit statt, an welchem wir Ihnen die Information betreffend der geänderten PIN Reset Regelung mitteilen durften (Link).

·        Gerne möchten wir Sie erinnern, dass 830-er prestaged Smartcards, welche von uns seit Dezember 2021 prestaged werden, neu nach 4 falschen PIN Eingaben gesperrt werden.

·        Bei allen 930-er Smartcards wird nach 4 falschen PIN Eingaben die Karte gesperrt.

Informationen zum PIN Reset Prozess finden Sie auf unserer PKI Homepage (Link).

Besten Dank für Ihre Kenntnisnahme.

Mit freundlichen Grüssen
Ihre Swiss Government PKI

Pretest Renewal Wizard jetzt verfügbar

Wenn Sie die Aufforderung via Mail für das Renewal Ihres Zertifikat Klasse B erhalten (90 Tage und 30 Tage vor Ablauf), empfehlen wir Ihnen folgendes Vorgehen:

• Testen Sie Ihre Smartcard mittels der Anwendung «Pretest Renewal»
  • -Bundesinterne Kunden: Diese Anwendung finden Sie auf dem Bundesclient unter den «Swiss Government PKI – End User Tools».
  • -Bundesnahe Organisationen: Diese Anwendung sollten von Ihrer IT auf Ihrem Client/PC installiert worden sein. Wenn nicht ist diese Anwendung auf unserer PKI Homepage unter Downloads verfügbar.
• Die Anwendung testet, ob Ihre Smartcard bzw. die Zertifikate erneuert (Renewal) werden können. Sie erhalten eine entsprechende Meldung.
• Wichtig: Bitte beachten Sie, dass ein Renewal der Zertifikate frühestens 200 Tage vor Ablauf möglich ist.
• Ist das Pretest Ergebnis:
  • -erfolgreich können Sie die Erneuerung mittels dem «Renewal Wizard» durchführen.
  • -nicht erfolgreich, müssen Sie sich an Ihre LRA-Officer wenden, damit man Ihnen eine neuen Karte/Zertifikate ausstellen kann.

Am 4. Mai 2021 haben wir Sie über die Situation betreffend die Beschaffung der Gemalto Smartcard IDPrime MD830 und deren Nachfolger informiert. Die armasuisse hat die Gemalto IDPrime MD930 als Nachfolger definiert und freigegeben. Diese kann ab sofort bestellt werden. Mit einer Auslieferung (inkl. Prestaging durch die Swiss Government PKI) ist frühestens ab Ende Oktober 2021 zu rechnen.

Aus diesem Grund empfehlen wir Ihnen den Bedarf für das Jahr 2021 noch mit der «Gemalto IDPrime MD 830 FIPS 140/2 Level 3 RevB mit dem armasuisse Protection-Profile» abzudecken.

Die Beschaffung der beiden Karten erfolgt weiterhin über die bestehenden Bestellwege. Die Firma Avantec hat für die Bundesverwaltung, inkl. den bundesnahen Organisationen, genügend 830-er Karten vorrätig. D.h. Sie können diesen Kartentyp auch nach dem 31.07.2021 bestellen.

Prestaging

• Die 930-er Karten müssen, analog den 830-er Karten, durch die Swiss Government PKI prestaged werden. Bitte verwenden Sie dafür den entsprechenden Remedy-MAC (Zertifikate Klasse B / Prestaging / Bestellung ohne SmartCard). Die Karten werden uns von der Firma Avantec direkt zum prestagen zugestellt.
• Die Kosten für das prestaging betragen CHF 9.-/Karte.

WICHTIG: Bitte leiten Sie diese Informationen an weitere Interessensvertreter in Ihrer Organisation weiter.

Die Störung auf den PKI Systemen konnte behoben werden. Ab sofort stehen Ihnen wieder die Systeme:

Ausstellplattform für Zertifikate der Klasse A

Ausstellplattform für Zertifikate der Klasse B

zur vollen Verfügung. Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Geduld.

Aktuell gibt es auf folgenden PKI Systemen eine Störung:

Ausstellplattform für Zertifikate der Klasse A

Ausstellplattform für Zertifikate der Klasse B

Aus diesem Grund können Sie Zertifikate weder ausstellen noch revozieren.

Wir sind bemüht das Problem so schnell wie möglich zu beheben und halten Sie über den weiteren Fortschritt auf dem Laufenden.

Nächste Information spätestens um 16:30 Uhr

Die Störung auf den PKI Systemen konnte behoben werden. Ab sofort stehen Ihnen wieder die Systeme:

Die Ausstellplattform für Zertifikate der Klasse B
- Key Recovery
- PIN Reset

zur vollen Verfügung. Wir entschuldigen uns für die Unannehmlichkeiten und danken Ihnen für Ihre Geduld.

Aktuell gibt es auf dem folgenden PKI System eine Störung:

Swiss Government PKI Tool:
- PIN-Reset Wizard

Momentan können keine PIN-Resets auf den Tokens durchgeführt werden.

Wir sind bemüht das Problem so schnell wie möglich zu beheben und halten Sie über den weiteren Fortschritt auf dem Laufenden.

Nächste Information um ca. 13:00 Uhr

Aufgrund der am 18.05.2021 um 14:00 Uhr gemeldete Störung haben wir gestern Abend einen Emergency Change durchgeführt.        

Die REVOKATIONEN und RENEWALS, mit den WIZARDS oder via CMC, dürfen wieder durchgeführt werden.
Wir werden diese Services jedoch noch überwachen.

Nächste Information am 12:00 Uhr

Wie haben betreffend der Beschaffung der Gemalto Smartcard IDPrime MD830 FIPS 140/2 Level 3 RevB mit dem Lieferant Kontakt aufgenommen und folgende verbindliche Information von Avantec (Thales Group) am 30.04.2021 erhalten:

• 30.07.2021: Last-Time-Buy (LTB)
• 31.07.2021: End-Of-Sales (EOS)
• Avantec (Thales Group) will make every effort to fulfill all orders placed during the LTB period.
• Orders placed during the LTB period will be processed on a first-come first-served basis.
• Orders will not be accepted after the LTB end date.
• 31.07.2022: End-Of-Life (EOL)
• End-of-Support für Middleware à Gemäss individueller Lizenzierung (in der Regel 3 Jahre).
• Der Support d.h. der Garantieaustausch defekter Karten entspricht der Standardgarantie von 1 Jahr. Solange hält Avantec (Thales Group) Material vor um ggf. Karten zu ersetzen.
• Avantec (Thales Group) hat KEINE Abkündigung für den Support der Middleware kommuniziert. Praktisch heißt das, dass sie keinen Plan haben diesen Support innerhalb der nächsten 3 Jahre zu beenden. Da ein Mischbetrieb der IDPrime MD 830 und IDPrime 930 problemlos möglich ist, kann der Kunde von einer mindestens 3-jährigen Nutzung der Karte ausgehen. 

Information Swiss Government PKI

• Bitte beachten Sie das End-Of-Sales (EOS) Datum, welches bereits in 3 Monaten ist.
• Die SG-PKI Wizards werden die MD830-er noch mindestens weitere 3 Jahre unterstützen.

***WICHTIG***
Konsequenzen für Sie, bestellen Sie die Planmengen für 2021 bis spätestens 31.07.2021.

Information: SafeNet Authentication Client (SAC) Version

--> Für bundesexterne Organisationen empfehlen Ihnen den Einsatz der SAC Version 10.8 R2

18:09h: Die Störung auf den PKI Systemen konnte behoben werden. Ab sofort stehen Ihnen wieder alle PKI- Systeme zur vollen Verfügung.

Störungsinfo: SG-PKI-Systeme, Zertifikate Kl. A-D

Sehr geehrte Damen und Herren

Aktuell gibt es auf folgenden PKI Systemen eine Störung:

Ausstellplattform für Zertifikate der Klasse A
- LRA-Station Klasse A

Ausstellplattform für Zertifikate der Klasse B
- LRA-Station Klasse B
- Swiss Government PKI Toolset:
- Certificate Renewal
- Key Recovery
- PIN Reset
- Token Unseal
- Revokation

Ausstellplattform für Zertifikate der Klasse C
- Swiss Government PKI Toolset:
- Certificate Request Wizard

Ausstellplattform für Zertifikate der Klasse C
- Swiss Government PKI Toolset:
- Certificate Request Wizard

Ausstellplattform für Zertifikate der Klasse D
- ZKV/ sedex/ edoc/ DFS-FKR/ EJPD-SSO-Portal-Zertifikate

TSA

Aus diesem Grund können Sie Zertifikate weder ausstellen noch revozieren.
Wir sind bemüht das Problem so schnell wie möglich zu beheben und halten Sie über den weiteren Fortschritt auf dem Laufenden.

Nächste Information um 12:00 Uhr

Für Rückfragen stehen wir Ihnen unter der pki-info@bit.admin.ch Inbox gerne zur Verfügung.

Ihre Swiss Government PKI

Wir beziehen uns auf unsere am 8. Januar 2021 versendete Kommunikation (siehe Anhang) und geben Ihnen gerne unsere neusten Erkenntnisse und Fortschritte in diesem Zusammenhang weiter:

• Das Problem tritt ausschliesslich bei den prestaged Karten des Typs Gemalto ID Prime 830 Revision A auf;
• Eine neue Version des Renewal Wizards wurde erstellt und bereits zum Download in unserem geschlossenen Kundenbereich für unsere Kunden, die nicht vom BIT betreut werden und die SW ausrollen müssen, publiziert. Die aktuell gültige Version ist die 1.9.3.13759 (siehe auch Newsfeed vom 5.2.2021)
• Für Kunden, welche vom BIT betreut werden: Die neue Version des Renewal Wizards wird voraussichtlich Mitte März 2021 auf den BAB-Clients ausgerollt werden. Wir empfehlen unseren Kunden in diesem Fall mit dem Renewal noch zuzuwarten, sofern das Ablaufdatum der Zertifikate dies ermöglicht, oder im dringenden Fall direkt einen Termin mit dem LRAO zu vereinbaren
• Auf den LRA-Stationen wird bei jedem Start der Anwendung die Version des Renewal Wizards überprüft und ggf. die neue Version automatisch installiert.

Wichtig: Die neue Version des Renewal Wizards verhindert bei Karten mit Speicherplatzproblemen, dass die Karte unbrauchbar wird. In diesem Fall bricht der Renewal Prozess ab und die Karte kann weiterhin benutzt werden, jedoch werden auf der Karte keine neuen Zertifikate generiert. Dies bedeutet, dass der Kunde zwar momentan noch bis zum Ablauf der Zertifikate weiterarbeiten kann, jedoch für eine Erneuerung beim LRA-Officer erscheinen muss und eine neue Karte ausgesellt werden muss.

(Siehe auch den Link auf der rechten Seite, um die revision der Gemalto Karte zu erkennen)

Sollten Sie ein Zertifikat Klasse A oder B nicht mittels RevokeWizard revozieren können bitten wir Sie uns einen Revokationsauftrag mittels Ticket (Service Desk BIT 058 465 88 88 oder Webticket), mit folgenden Angaben in Auftrag zu geben:

• eMail
• Seriennummer des Zertifikat Klasse A bzw. B
• CA (z.B. CA01, CA02 …)

TSA-Info: Aufgrund des Wechsels der Root-CA für die Klasse A, muss für eine korrekte Validierung der Signatur dem neuen TSA-Zertifikat vertraut werden.

Neue CA-Kette: 

Swiss Government Root CA IV und Swiss Government Regulated CA 02

Sie finden die entsprechenden Zertifikate ab dem 27.3.2019 zum Dowload unter "Rootzertifikate".

Die neuen MSI-Pakete für die Version 1.9.1 der Wizards stehen auf der Download-Seite des Kundenbereichs zur Verfügung. 

ACHTUNG: Der KeyRecovery Wizard wurde in der vorangehenden publizierten Version 1.9.0 wegen Fehlern zurückgezogen. Die neue Version 1.9.1 wird nachgeliefert, sobald sie als MSI-Paket zur Verfügung steht.  

Release 1.9.0 wurde am Freitag, 23. November 2018 implementiert. Die MSI-Pakete zu den neuen Wizards stehen im Kundenbereich auf der Downloadseite bereit.

Es kommt vermehrt zu Problemen mit den Gruppenmailboxzertifikaten und Klasse C Zertifikaten bei Clients die sich ausserhalb des Bundesnetztes befinden. Dies liegt daran, dass die Klasse C, aufgrund eines Entscheids des DTI, nicht mehr auditiert wird. Falls Sie Meldungen erhalten über ungültige Zertifikate der Klasse C müssen Sie die Root manuell trusten. Hierfür können wir Ihnen folgende Anleitung zur Verfügung stellen:

Grundsätzlich besteht das Ganze aus folgenden Schritten:

Vorbereitungen (einmalig auf irgendeinem Gerät):

reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\C7F7CBE2023666F986025D4A3E313F29EB0C5B38" 3rdPartyRoot-TimestampedRootCAII.reg

reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\C7F7CBE2023666F986025D4A3E313F29EB0C5B38" Root-TimestampedRootCAII.reg

Remove the current “Swiss Government Root CA II” certificate from “Third-Party Root Certification Authorities” store by deleting the registry blob containing the timestamped Root CA certificate:

REG DELETE HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\C7F7CBE2023666F986025D4A3E313F29EB0C5B38 /f

A time stamped “Swiss Government Root CA II” certificate might be also present in the “Trusted Root Certification Authorities” certificate store.

To delete the registry blob containing the timestamped “Swiss Government Root CA II” certificate from the “Trusted Root Certification Authorities” store run:

REG DELETE HKLM\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\C7F7CBE2023666F986025D4A3E313F29EB0C5B38 /f

In the administrative command prompt run the command below to add the original “Swiss Government Root CA II” certificate in the “Trusted Root Certification Authorities” certificate store:

certutil -addstore root RootCAII.cer

In the command above we assume that the copy of the original “Swiss Government Root CA II” certificate has been named RootCAII.cer

Once imported, the original “Swiss Government Root CA II” certificate can be exported from the “Trusted Root Certification Authorities” certificate store as a registry blob via the command:

reg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\C7F7CBE2023666F986025D4A3E313F29EB0C5B38" Root-OriginalRootCAII.reg

--> Output ist ein Registry Key als File, welches auf den weiteren Computern vorhanden sein muss.

Notwendige Schritte auf jedem Gerät:

              REG DELETE HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\C7F7CBE2023666F986025D4A3E313F29EB0C5B38 /f

REG DELETE HKLM\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates\C7F7CBE2023666F986025D4A3E313F29EB0C5B38 /f

              REG IMPORT Root-OriginalRootCAII.reg

--> Aktuell testen wir den Erfolg dieser Methode.

Laut Microsoft ist der «Trick», dass der Registry Key manuell im Pfad mit Root vor dem Pfad mit AuthRoot (durch die automatische Zertifikats-Update-Funktion) befüllt wird.

02.12.2021: Störung  ist behoben

Aufgrund von Umstellungen im AdminDir sind die Zertifikate der Gruppenmailboxen leider nicht verfügbar. Dies bedeutet für Sie, dass es aktuell zu Problemen mit verschlüsselten Mails an Gruppenmailboxen kommen kann.

Ablauf:

·        Person X versendet verschlüsseltes Mail an eine Gruppenmailbox

·        Person X erhält eine Fehlermeldung

·        Person X sende ein unverschlüsseltes Mail an diese Gruppenmailbox und bitte um eine Rückantwort mittels signierter Mail

·        Person X kann danach auf diese Mail verschlüsselt Antworten

Dieses Problem wird mit höchster Priorität behandelt. Entsprechende Korrekturen werden aktuell bereits geprüft.

Wir danken Ihnen herzlich für Ihre Unterstützung und Ihr Verständnis.

Die Gültigkeit der ausstellenden CA für Klasse C Zertifikate (Swiss Government Regular CA 01», Intermediate CA der Root CA II) läuft am 16.02.2025 ab.

Aus diesem Grund werden Zertifikate der Klasse C, die nach dem 16.02.2022 durch die Regular CA 01 ausgestellt werden, nur noch eine maximale Gültigkeit bis am 16.02.2025 aufweisen. Das bedeutet, dass die Gültigkeit aller Zertifikate, die nach dem 16.02.2022 ausgestellt werden, automatisch verkürzt wird.

Die Ablösung der Regular CA 01 durch die neue Regular CA 02 der Swiss Government Root CA III ist in der Umsetzungsphase. Wir werden Sie rechtzeitig vor der Umstellung der bisherigen Produkte auf die neue Issuing CA weiterhin regelmässig informieren.

Systeme, welche Zertifikate der «Swiss Government Regular CA01» zur Authentifizierung, Datenverschlüsselung und Datensignierung verwenden, müssen ab dem Zeitpunkt der Umstellung durch die Regular CA 02 ausgestellt werden. Die ausgestellten Zertifikate der «Regular CA 01» behalten ihre Gültigkeit bis zum Ablaufdatum und müssen nicht vorzeitig ersetzt werden.

Wie bereits die Root CA II wird auch die Root CA III nicht zertifiziert werden und somit nicht public trusted sein.

Wir bedanken uns für die Kenntnisnahme.

Information betr. Fehlermeldung «Gruppenmailboxzertifikate»:

Die Fehlermeldung welche bei der Benutzung der Gruppenmailboxzertifikaten auftritt ist in der nicht mehr vorhandenen Zertifizierung der ausstellenden CA und Root CA begründet. Das Zertifikat funktioniert weiterhin und ist gültig, jedoch nicht getrusted,

Um den Fehler zu beheben müssen Sie die ausstellenden Root CA (Swiss Government Root CA II) zur Liste der vertrauenswürdigen Zertifizierungsstellen hinzufügen.