Ausstellung von Zertifikaten bei prestaged Karten

Synchrone Smartcardausstellung Klasse B

Bei der Synchronen Smartcardausstellung der Klasse B wird der Antragsteller eingeladen, beim LRA-Officer persönlich vorzusprechen und die aktuell gültigen Identitätspapiere (ID/Pass) mitzunehmen. Es erfolgt eine Identifiaktion des Antragstellers. Daraufhin werden auf eine vorbereitete und mit Schlüsselmaterial bereits bestückte (prestagete) Karte Zertifikate geladen. Während diesem Prozess werden die Schlüssel signiert und die Zertifikate personalisiert. Der LRAO bedient sich in diesem Schritt eines sogenannten «Walk-In-Wizards», der ihm im gleichen Zug die Entsiegelung der Userkarte anbietet. Der User selbst gibt im Wizard die PIN ein.

Im Gegensatz zum altbekannten Prozess fallen die folgende Tasks für den LRA-Officer weg:

  • Initialisierung der Karte
  • Synchrone Erstellung der Schlüsselpaare während der Zertifikatsausstellung
  • Eingabe eines StartPINs für die Karte
  • Separate Entsiegelung der Karte

Schaubild des Prozesses

Schaubild: Synchrone Smartcardausstellung Klasse B

Asynchrone Smartcardausstellung Klasse B
(Ausstellung mit Registration Identification Officer (RIO))

Die Ausstellung mittels dem sogenannten RIO-Prozess ist v.a. für Ämter die verschiedene Standorte haben von Bedeutung. Mittels diesem Prozess ist es möglich, die persönliche Identifikation und die Ausstellung der Karte, lokal zu trennen, und den Ausstellprozess trotzdem genauso sicher auszuführen.

Der Zertifikatsempfänger begibt sich auf Anweisung seines Vorgesetzten oder seiner Personalabteilung persönlich zum zuständigen RIO. Der RIO identifiziert ihn anhand eines gültigen Reisedokuments und erfasst die persönlichen Daten und insbesondere die Seriennummer der bereitgelegten Smartcard in einem Zertifikatsantrag.

Der geprüfte Ausweis wird auf den ausgedruckten Antrag (siehe unten) kopiert. Das resultierende Dokument wird sowohl vom RIO als auch Zertifikatsempfänger unterschrieben. Daraufhin händigt der RIO dem Zertifikatsempfänger die Smartcard aus, die aber noch nicht personalisiert ist und keine Zertifikate enthält und lässt sich den Empfang zusammen mit dem Subscriber Agreement quittieren. Der RIO scannt die Antragsdokumente und schickt sie in einem mit seinem Klasse B Zertifikat signierten Mail an den zuständigen LRA-Officer.

Der LRA Officer überprüft den Antrag und stellt dann die persönlichen Zertifikate des Zertifikatsempfängers aus. Dabei wird im System automatisch ein eTicket generiert. Der LRA-Officer druckt das die eTicket-Nummer enthaltende Unseal-Dokument aus und schickt dieses entweder mit Briefpost an die Privatadresse des Zertifikatsempfängers oder per signierter und verschlüsselter Mail an den RIO zur Weiterleitung an den Zertifikatsempfänger.

Dieser kann nun mit seiner Smartcard und der eTicket-Nummer an einem Arbeitsplatz mit zwei Kartenlesern den Unseal-Wizard aufrufen und seine Smartcard entsiegeln (siehe Unterprozess Unseal Smartcard Klasse B) im Menu «Token Unseal»). Dabei werden seine Zertifikate auf die Karte geschrieben und die PIN gesetzt. Die Karte ist nun einsatzbereit.

Schaubild des Prozesses

Schaubild: Ausstellungsprozess mit RIO

Dokumentation

Prozessbeschreibungen

Quickguide zum Walk-In-Wizard

Die Quickguide des walk-In-Wizardds enthält die Anleitung für die synchrone Ausstellung, sowie im Kap. 2 die für die asynchrone Ausstellung der Smartcard mit RIO.

Vereinbarungs- und Nutzungsbedingungen von persönlichen Zertifikaten der Swiss Government PKI

https://www.bit.admin.ch/content/bit/de/home/subsites/allgemeines-zur-swiss-government-pki/zertifikatstypen/klasse-b--prestaged-/prozesse-fuer-prestaged-karten/ausstellung-von-zertifikaten-bei-prestaged-karten.html