Prozess - Issuing (Ausstellung)

Hier finden Sie Angaben zum Prozess für die Ausstellung (Issuing) von Zertifikaten Klasse B.

PKI Bild Prozess Issuing (Ausstellung) (D)
Klasse B Zertifikate werden durch LRA-Officer, in einem synchronen oder asynchronen Prozess, ausgestellt.

Die Prozessbeschreibungen, Quick Guides, Formulare und weitere Dokumente finden Sie auf Klasse B - Formular- und Dokumentenbibliothek.

Synchrone Ausstellung - LRA-Officer

Smartcard und Zertifikate mit dem «Synchronen Ausstellungsprozess» beantragen und ausstellen.

  • Bei der synchronen Smartcardausstellung der Klasse B wird der Antragsteller/Enduser zu einem persönlichen Termin beim LRA-Officer eingeladen, wobei er seine aktuell gültigen Reisedokumente (ID/Pass) mitzunehmen hat.
  • Es erfolgt eine Identifikation des Antragstellers durch den LRAO.
  • Daraufhin werden auf eine vorbereitete und mit Schlüsselmaterial bestückte (prestaged) Smartcard die Zertifikate der Klasse B geladen.
  • Während dieses Prozesses werden die Schlüssel signiert und die Zertifikate personalisiert.
  • Der LRAO nutzt dafür das Tool «WalkInWizard», der auch die Entsiegelung der Userkarte anbietet.
  • Im letzten Schritt setzt der User selbst die PIN und die Revocation Passphrase.
Schaubild: Synchrone Smartcardausstellung Klasse B
Erläuterung

Element

Beschreibung

1

Die Linienvorgesetzte Person stellt eine Bedarfsmeldung auf Ausstellung eines Zertifikats der Klasse B.

2

Die antragstellende Person muss persönlich mit einem gültigen Reisedokument beim LRA-Officer vorsprechen.

3, 4

Zuerst wird die zertifikatsempfangende Person anhand ihres Reisedokuments und ihres Eintrags im AdminDirectory eindeutig und persönlich identifiziert. Das Reisedokument wird zur späteren Einbindung im WalkInWizard eingescannt.

5

Die Kartenausstellung kann mit dem Walk In Wizard vorgenommen werden. Die Schritte zur Entsiegelung der Karte werden innerhalb dieses Wizards durchgeführt und entfallen als eigenständige Aktivitäten.

5a. 5b

Die Schritte 5a und 5b sind in der Darstellung zu Vollständigkeitszwecken vorhanden und sind im Quickguide «Asynchrone Ausstellung von Klasse B Zertifikaten» beschrieben.

6, 9

Die zertifikatsempfangende Person muss einerseits den Empfang der Smartcard quittieren, andererseits muss sie von dem Dokument «Benutzervereinbarungen und Nutzungsbedingungen der Klasse B» Kenntnis nehmen und diese akzeptieren. Anschliessend werden die Dokumente in den Akten des LRA-Officer abgelegt.

7, 8

Nach der synchronen Ausstellung ist die antragstellende Person im Besitz einer vollständig funktionstüchtigen Smartcard mit Klasse B Zertifikaten.

7a, 8a

Die Schritte 7a und 8a sind in der Darstellung zu Vollständigkeitszwecken vorhanden und sind im Quick Guide «Asynchrone Ausstellung von Klasse B Zertifikaten» beschrieben.

9

Der LRA-Officer legt die gesamte Dokumentation als Evidenz im Archiv ab. Diese beinhaltet mindestens:
-Ein Nachweis des Antrages
-Die unterschriebene Benutzervereinbarung
-Ein Eintrag im Journal des LRA-Officers
Wichtiger Hinweis: Im synchronen Ausstellungsprozess wird NIE eine Kopie der Identitätspapiere archiviert, da diese Nachweise während des Ausstellungsprozess im zentralen System der SG-PKI abgelegt wurden.

Asynchrone Ausstellung - RIO

Smartcard und Zertifikate mit dem «Asynchronen Ausstellungsprozess» beantragen und ausstellen.

  • Die Ausstellung mittels des sogenannten RIO-Prozesses ist v.a. für Ämter und bundesnahe Organisationen von Bedeutung, die verschiedene Standorte haben. Dieser Prozess erlaubt es, die persönliche Identifikation und die Ausstellung der Karte lokal zu trennen und dabei den Ausstellprozess sicher auszuführen.
  • Der Zertifikatsempfänger/Enduser begibt sich auf Anweisung seines Vorgesetzten oder seiner Personalabteilung persönlich zum zuständigen RIO. Der RIO identifiziert ihn anhand eines gültigen Reisedokuments (ID/Pass) und erfasst die persönlichen Daten und insbesondere die Seriennummer der bereitgelegten Smartcard in einem Zertifikatsantrag.
  • Das geprüfte Reisedokument (ID/Pass) wird auf den ausgedruckten Antrag (siehe unten) kopiert. Das resultierende Dokument wird sowohl vom RIO, als auch vom Zertifikatsempfänger/Enduser unterschrieben. Daraufhin händigt der RIO dem Zertifikatsempfänger die SmartCard aus, die aber noch nicht personalisiert ist und keine Zertifikate enthält und lässt sich den Empfang zusammen mit dem Subscriber Agreement quittieren. Der RIO scannt die Antragsdokumente und schickt sie in einem mit seinem Klasse B Zertifikat signierten Mail an den zuständigen LRA-Officer.
  • Der LRA-Officer überprüft den Antrag und stellt dann die persönlichen Zertifikate des Zertifikatsempfängers/Endusers aus. Dabei wird im System automatisch ein eTicket generiert. Der LRA-Officer druckt mithilfe der erhaltenen eTicket-Nummer das Unseal-Dokument aus und schickt dieses entweder per Post an die Privatadresse des Zertifikatsempfängers/Endusers oder per signierter und verschlüsselter Mail an den RIO zur Weiterleitung an den Zertifikatsempfänger.
  • Dieser kann nun mit seiner Smartcard und der eTicket-Nummer an einem Arbeitsplatz mit zwei Kartenlesern den Unseal-Wizard starten und seine Smartcard entsiegeln (siehe Unterprozess Unseal Smartcard Klasse B) im Menu «Token Unseal»). Dabei werden seine Zertifikate auf die Karte geschrieben und die PIN gesetzt. Die Karte ist nun einsatzbereit.
Schaubild: Ausstellungsprozess mit RIO
Erläuterung

Element

Beschreibung

10

Der eingescannte Antrag kann vom RIO vorab als E-Mail an den zuständigen LRA Officer geschickt werden.
Diese E-Mail muss zwingend mit dem Klasse B des RIO verschlüsselt und signiert sein

12, 12a

Dokument kann entweder als Briefpost an die Heimadresse des Antragstellers (12) oder via signierter, verschlüsselter Mail an den RIO geschickt werden (12a).
In letzterem Fall muss der LRA-Officer kontrollieren, dass der Antragsteller im Besitz der Smartcard ist und dies entsprechend quittiert hat.

14

Der unterschriebene Originalantrag muss in Papierform an den LRA-Officer nachgereicht werden.