.
Wichtige Information
Die Swiss Government PKI hat die Ausstellung von publicly trusted SSL/TLS Zertifikaten an eine Partnerfirma («QuoVadis») delegiert. Diese wurde vor einiger Zeit von «DigiCert» übernommen. Aufgrund dieser Änderung müssen alle berechtigten Benutzer (Subscriber), welche SSL-Zertifikate über die «QuoVadis» Plattform bezogen haben, auf die neue Plattform von «DigiCert» migriert werden.
Die Swiss Government PKI kontaktiert alle Subscriber direkt via Mail. Dieses enthält die Absenderadresse «DigiCert und enthält die Einladung für die Registration auf der «DigiCert» Plattform. Wir bitten alle Empfänger den Anweisungen im Mail zu folgen, damit die neue Registrierung abgeschlossen werden kann.
Sämtliche bereits existierende Organisationen auf «QuoVadis» und die bereits bestehenden Domains, wurden von der Swiss Government PKI auf «DigiCert» vorerfasst. Gegebenenfalls müssen die Subscriber für die Validierung noch die «RandomValue» in die DNS der Domain eigetragen lassen. In diesem Fall nimmt die Swiss Government PKI wieder Kontakt mit den Subscribern auf.
Damit sich die Subscriber mit der neuen «DigiCert» Plattform vertraut machen können wird die Swiss Government PKI sie kontaktieren und/oder gegebenenfalls mit allen Berechtigten einer Organisation ein virtuelles Meeting organisieren.
Nach Abschluss der Migration können neue TLS/SSL Zertifikate nur noch auf der «DigiCert» Plattform ausgestellt werden.
Dokumentation
- Root-Informationen und die Zertifikate für die Validierungskette finden Sie zum Download auf: https://www.digicert.com/kb/digicert-root-certificates.htm
- Supportanleitungen für die Ausstellung von TLS/SSL Zertifikaten finden Sie auf: SSL Certificate, Client Certificate & Code Signing Certificate Support (digicert.com)
Unter Zertifikate: Formular-/Dokumentenbibliothek finden Sie alle Formulare und Dokumente.
Die Swiss Government PKI hat die Ausstellung von publicly trusted SSL/TLS Zertifikaten an eine Partnerfirma delegiert.
Mit der Zusammenarbeit passen sich die Ausstellprozesse von Web SSL/TLS -Zertifikaten, die Aufnahme von Organisationseinheiten (OE) und Domains, den Prüfkriterien und Sicherheitsanforderungen unseres Partners an. Selbstverständlich unterliegen die Ausstellprozeduren unseres Partners ebenfalls den internationalen Normierungen und den vom CA/Browser Forum vorgegebenen Regeln, sowie den damit verbundenen Auditverfahren.
Registrierte Benutzer (beim Partner "Subscriber" genannt) haben die Möglichkeit gemäss Ihren Berechtigungen SSL/TLS Zertifikate im Alleingang zu bestellen, bzw. zu revozieren.
Die Kontrolle und die Freigabe von Subscribern und Anträgen unterliegen weiterhin der Swiss Government PKI.
Damit ein Subscriber einen Antrag für ein SSL/TLS-Zertifikat erfolgreich absetzen kann, müssen zuerst die nachfolgenden Voraussetzungen erfüllt sein:
- Klasse B Zertifikat
Der Subscriber muss im Besitz eines Klasse B Zertifikats der Swiss Government PKI sein. - Administrator des jeweiligen Servers
Der Antrag wird mittels eines Certificate Signing Requests gestellt. Dieser muss auf dem jeweiligen Server mit einem neuen Schlüsselpaar generiert werden. Der Subscriber/Serveradministrator muss die nötigen Kenntnisse für die Erstellung eines solchen CSR und Administrationsberechtigungen auf dem jeweiligen Server besitzen. - Domain-Berechtigung
Der Subscriber muss berechtigt sein, Zertifikate für die jeweilige Domäne zu erstellen. D.h. er muss bei der Swiss Government PKI für diese Funktion registriert sein. Neue Subscriber für SSL/TLS-Zertifikate müssen sich mit dem entsprechenden Formular (siehe unten) bei der Swiss Government PKI registrieren lassen. - Organisations-Registrierung
Die SG-PKI prüft bei der Registrierung die Existenz und Operabilität der Organisation. Unter Anderem wird die UID der Organisation überprüft (siehe auch www.uid.admin.ch). - EV SSL/TLS Zertifikate
Für EV SSL/TLS Zertifikate benötigt die Partnerzertifizierungsstelle zusätzlich einen Autorisierungsbrief der Organisation. Ein Template dazu finden Sie weiter unten auf dieser Seite.
Auftragserteilung
- Als Vorbereitung für die Beantragung des (EV) SSL/TLS Zertifikates muss auf dem betreffenden Server ein Certificate Service Request (CSR) erstellt werden.
- Die Erzeugung des CSR muss mit einem neuen Schlüssel erfolgen - die Wiederverwendung eines bestehenden Schlüssels würde bei der zentralen Verarbeitung des Requests einen Fehler produzieren.
Bestellen Sie das SSL/TLS Zertifikat bitte via Ticket
(Service Desk BIT 058 465 88 88 oder RoBIT.
Erstellung Schlüsselpaares und CSR-Files
Falls noch Unklarheiten über die Erstellung eines korrekten CSR bestehen, kann unter "Erstellung des Schlüsselpaares und des CSR-Files" eine detaillierte Beschreibung des Vorgehens nachgelesen werden:
Revokation
- Alle Subscriber des Partnerportals können selbständig die von ihnen ausgestellten Zertifikate widerrufen.
- Die Revokation eines TLS/SSL-Zertifikats kann auch mittels Ticket (Service Desk BIT 058 465 88 88 / RoBIT) beantragt werden.
Dokumentation
QuoVadis Global Privacy Notices