.
Ablauf: Synchrone Smartcardausstellung
Bei der synchronen Smartcardausstellung der Klasse B wird der Antragsteller/Enduser zu einem persönlichen Termin beim LRA-Officer eingeladen, wobei er seine aktuell gültigen Reisedokumente (ID/Pass) mitzunehmen hat. Es erfolgt eine Identifikation des Antragstellers durch den LRAO. Daraufhin werden auf eine vorbereitete und mit Schlüsselmaterial bestückte (prestaged) Smartcard die Zertifikate der Klasse B geladen. Während dieses Prozesses werden die Schlüssel signiert und die Zertifikate personalisiert. Der LRAO nutzt dafür das Tool «Walk-In-Wizard», der auch die Entsiegelung der Userkarte anbietet. Im letzten Schritt setzt der User selbst die PIN und die Revocation Passphrase.
Ablauf: Asynchrone Smartcardausstellung mit RIO (Registration Identification Officer)
Die Ausstellung mittels des sogenannten RIO-Prozesses ist v.a. für Ämter und bundesnahe Organisationen von Bedeutung, die verschiedene Standorte haben. Dieser Prozess erlaubt es, die persönliche Identifikation und die Ausstellung der Karte lokal zu trennen und dabei den Ausstellprozess sicher auszuführen.
Der Zertifikatsempfänger/Enduser begibt sich auf Anweisung seines Vorgesetzten oder seiner Personalabteilung persönlich zum zuständigen RIO. Der RIO identifiziert ihn anhand eines gültigen Reisedokuments (ID/Pass) und erfasst die persönlichen Daten und insbesondere die Seriennummer der bereitgelegten Smartcard in einem Zertifikatsantrag.
Das geprüfte Reisedokument (ID/Pass) wird auf den ausgedruckten Antrag (siehe unten) kopiert. Das resultierende Dokument wird sowohl vom RIO, als auch vom Zertifikatsempfänger/Enduser unterschrieben. Daraufhin händigt der RIO dem Zertifikatsempfänger die SmartCard aus, die aber noch nicht personalisiert ist und keine Zertifikate enthält und lässt sich den Empfang zusammen mit dem Subscriber Agreement quittieren. Der RIO scannt die Antragsdokumente und schickt sie in einem mit seinem Klasse B Zertifikat signierten Mail an den zuständigen LRA-Officer.
Der LRA-Officer überprüft den Antrag und stellt dann die persönlichen Zertifikate des Zertifikatsempfängers/Endusers aus. Dabei wird im System automatisch ein eTicket generiert. Der LRA-Officer druckt mithilfe der erhaltenen eTicket-Nummer das Unseal-Dokument aus und schickt dieses entweder per Post an die Privatadresse des Zertifikatsempfängers/Endusers oder per signierter und verschlüsselter Mail an den RIO zur Weiterleitung an den Zertifikatsempfänger.
Dieser kann nun mit seiner Smartcard und der eTicket-Nummer an einem Arbeitsplatz mit zwei Kartenlesern den Unseal-Wizard starten und seine Smartcard entsiegeln (siehe Unterprozess Unseal Smartcard Klasse B) im Menu «Token Unseal»). Dabei werden seine Zertifikate auf die Karte geschrieben und die PIN gesetzt. Die Karte ist nun einsatzbereit.
Dokumentation
Ausstellung: Synchron
Ausstellung: Asynchron (RIO)
Ausstellung: Journal
Standards und Vorgaben
- Swiss Government PKI Registrierrichtlinien Klasse B (PDF, 1 MB, 26.02.2024)*** Die Registrierrichtlinien Klasse B ist das wichtigste Dokument für LRA-Officer ***
- Guidelines zu Klasse B Zertifikaten der Swiss Government PKI (PDF, 180 kB, 19.01.2024)
- Swiss Government PKI - Root CA I - CP/CPS EN (PDF, 3 MB, 19.01.2024)Certificate Policy and Certification Practice Statement of the Swiss Government Root CA I
- Benutzervereinbarung und Nutzungsbedingungen Klasse B (PDF, 133 kB, 19.01.2024)
Identifizierung Antragsteller
- Überprüfung Identität Antragsteller Klasse B (PDF, 1 MB, 19.01.2024)Verbindliche, detaillierte Vorgaben zur Überprüfung der Identität von Antrag-stellern für Zertifikate der Klasse B der Swiss Government PKI
Formulare/Auftragserteilung
Siehe Klasse B / Formulare