.
Unter Formular-/Dokumentenbibliothek finden Sie alle Formulare und Dokumente.
Beschreibung
Klasse E Zertifikate werden von einer Microsoft Active Directory integrierten CA ausgegeben. Die Kunden der Klasse E Zertifikate sind interne Computersysteme, die in das Active Directory der Bundesverwaltung (Forest INTRA,ADR) eigebunden sind.
Computersysteme ausserhalb dieser Forest UNIX oder Workgroup Computer können mittels manuellem Enrollment, ebenfalls ein Zertifikat von dieser CA beziehen, solange diese Maschinen keinen Public Trust haben. Die dafür zur Verfügung gestellten Templates sind unter System-Zertifikate aufgeführt. Als Signatur-Algorithmus wird durchgängig sha256 / RSA eingesetzt. EFK und EDA betreiben in ihren Forests jeweils eine eigene Issuing CA.
Zertifikate Klasse E sind hauptsächlich Bestandteil der nutzenden Systeme. Sie sind standardmässig nicht einzeln bestellbar, nur bei Atlantica ist diese Option wählbar (siehe Factsheet «Windows Server virtuel»).
Funktion: Maschinenzertifikate
- System Zertifikate
Für Zertifikate mit (EKU): Client Authentication, Server Authentication und Client/Server Authentication werden je 3 Zertifikatstemplates zur Verfügung gestellt:
auto: autoenrollment von Zertifikaten
ManAPP: manuelles Enrollment von
Zertifikaten mit Manager Approval
noManAPP: manuelles Enrollment von
Zertifikaten ohne (no) Manager Approval
Eine Anleitung für das manuelle Enrollment von Klasse E System-Zertifikate finden sie unten auf der Seite verlinkt.
Ebenso eine Übersicht über die möglichen Klasse E Systemzertifikate.
- Kerberos Authentication (Domain Controller)
Diese Zertifikate erlauben einem Domain Controller, sich gegenüber anderen Computern und Benutzern zu authentifizieren. Verwendet werden sie primär für Smartcard-Logon an der Active-Directory-Domäne.
- Webserver SSL (not publically trusted)
Diese Angaben finden Sie unter Zertifikate Klasse C - Standard.
- Workstation Authentification
Diese Angaben finden Sie unter Zertifikate Klasse C - Standard.
- ConfigMgr OS Deployment
Diese Angaben finden Sie unter Zertifikate Klasse C - Standard.
- NPS Network Policy Server
Diese Angaben finden Sie unter Zertifikate Klasse C - Standard.
- Remote Desktop Computer
Die Schlüssel und die Zertifikate, die im Rahmen dieser Zertifizierungsrichtlinie ausgegeben werden, erlauben eine TLS 1.0-Sicherheitsstufe, welche damit das Überprüfen der Identität des Servers mit dem Host für Remotedesktopsitzungen und das Verschlüsseln der Kommunikation zwischen dem Host für Remotedesktopsitzungen und dem Client ermöglicht.
- ArmasuisseTBA
Die Schlüssel und die Zertifikate, die im Rahmen dieser Zertifizierungsrichtlinie ausgegeben werden, ermöglichen mittels Token-Based Activation [TBA] das Aktivieren von Windows und Office Produkte in speziellen Umgebungen.
- DC IPSec
Die Schlüssel und die Zertifikate, die im Rahmen dieser Zertifizierungsrichtlinie ausgegeben werden, erlauben, die Backup Daten von Domain Controllern über verschlüsselte Netzwerkverbindungen zu übertragen.
Funktion: Benutzerzertifikate
- Code Signing
Die Schlüssel und die Zertifikate, die im Rahmen dieser Zertifizierungsrichtlinie ausgegeben werden, erlauben das Signieren von Binaries. Damit kann sichergestellt werden, dass die Installation von nicht zulässiger Software verhindert wird. - DC Basic EFS
Die Schlüssel und die Zertifikate, die im Rahmen dieser Zertifizierungsrichtlinieausgegeben werden, dienen der Verschlüsselung von Backups ausgewählter Domain Controller.
- DC EFS Recovery Agent
Die Schlüssel und die Zertifikate, die im Rahmen dieser Zertifizierungs-richtlinie ausgegeben werden, dienen im Notfall dem Entschlüsseln von Backups ausgewählter Domain Controller.
Güte/Qualität der Zertifikatsausgabe
Mittel (administratives Verfahren)
Benutzer
Maschinen / Benutzer
Speichermedium Zertifikat
Softzertifikat (im Maschinen- oder Benutzerprofil)
Bedingung
Keine
Bezug
Der Zertifikatsantrag ist implizit im Auftrag zur Erstellung oder Änderung eines Accounts resp. zur Aufnahme eines Computersystems in eine Windows-Active-Directory-Domain der Bundesverwaltung (Forests INTRA und EDA) enthalten.
Als Basis für den Ausstellungsprozess wird die Funktionalität der Microsoft-Enterprise-PKI genutzt, welche die Möglichkeit des automatischen Registrierungs- und Ausstellungsvorgangs (Auto-Enrollment) zur Verfügung stellt. Anhand von Berechtigungen auf den definierten Zertifikatstemplates sowie von Gruppenmitgliedschaften und GPOs (Group Policy Object) wird detailliert festgelegt, welche User und Computersysteme ein entsprechendes Zertifikat erhalten sollen.
Einzig die Webserver-SSL-Zertifikate und ConfigMgr OS Depolyment müssen aus Gründen der Namensgebung durch den Serveradministrator mittels eines elektronischen Requests individuell beantragt werden.
Für den Bezug von System-Zertifikaten für Maschinen ausserhalb der unter aufgeführten Forest, UNIX-Server oder Workgroup Server wird ein Verfahren mit manuellem Enrollment zur Verfügung gestellt. Diese Maschinen dürfen aber keinen Public Trust aufweisen. Diese Zertifikate werden nur von der CA Admin-CCE-Intra01 ausgegeben.
Realisierung und Implementierung
Die Ausgabe und Verwaltung von Zertifikaten der Klasse E PKI beruht auf einer zweistufigen, hierarchischen Infrastruktur:
Die Aufgabe der RootCA Admin-CC-Root01 auf der ersten Stufe ist die Validierung der Zertifikate der Zertifizierungsstellen der zweiten Stufe.
Die IssuingCAs:
- Admin-CCE-Intra01 für den Forest INTRA
- Admin-CCE-EDA01 für den Forest EDA
- Admin-CCE-EFK01 für den Forest EFK
- Admin-CCE-ADR01 für den Forest ADR
Auf der zweiten Stufe generieren, validieren, publizieren und verwalten die Zertifikate der Zertifikatsinhaber.
Formulare/Auftragserteilung
- Antragsformular für Code Signing Zertifikate der Swiss Government PKI Klasse E (Windows PKI) (PDF, 719 kB, 19.01.2024)
- Revokationsantrag für Code Signing Zertifikate der Swiss Government PKI Klasse E (Windows PKI) (PDF, 78 kB, 19.01.2024)
- Ticketformular Revokation Klasse E Maschinenzertifikate (DOC, 221 kB, 19.01.2024)
Dokumentation
- Anleitung: Manuelles Enrollment Zertifikate Klasse E System Templates (PDF, 1 MB, 19.01.2024)
- Auspraegungen Klasse E Zertifikate (PDF, 46 kB, 19.01.2024)
- Manuelles Enrollment Domain Controller Zertifikate -Template BVerwE-KerberosAuthentication-via PKI (PDF, 94 kB, 19.01.2024)
- Scripts Domain Controller Enrollment (ZIP, 1 kB, 19.01.2024)
Berechtigung Zertifikate Klasse E
Für Bestellung von Berechtigung Klasse E erteilen Sie bitte ein Ticket mit folgenden Informationen:
- Domäne (ADR, INTRA …)
- Gruppenname (z.B. US-intraCA-nonManApp-BIT-BS-BSC-BA)
- Referentuser (Benutzer, welcher bereits diese Berechtigung hat)
- Berechtigung für: Person oder Maschine (Server oder Client)