Klasse E: Lifecycle (V2)

Back to Page Zertifikate Klasse E (Windows PKI)

Bezug

Der Zertifikatsantrag ist implizit im Auftrag zur Erstellung oder Änderung eines Accounts resp. zur Aufnahme eines Computersystems in eine Windows-Active-Directory-Domain der Bundesverwaltung (Forests INTRA und EDA) enthalten.

Als Basis für den Ausstellungsprozess wird die Funktionalität der Microsoft-Enterprise-PKI genutzt, welche die Möglichkeit des automatischen Registrierungs- und Ausstellungsvorgangs (Auto-Enrollment) zur Verfügung stellt. Anhand von Berechtigungen auf den definierten Zertifikatstemplates sowie von Gruppenmitgliedschaften und GPOs (Group Policy Object) wird detailliert festgelegt, welche User und Computersysteme ein entsprechendes Zertifikat erhalten sollen.

Einzig die Webserver-SSL-Zertifikate und ConfigMgr OS Deployment müssen aus Gründen der Namensgebung durch den Serveradministrator mittels eines elektronischen Requests individuell beantragt werden.

Für den Bezug von System-Zertifikaten für Maschinen ausserhalb der unter aufgeführten Forest, UNIX-Server oder Workgroup Server wird ein Verfahren mit manuellem Enrollment zur Verfügung gestellt. Diese Maschinen dürfen aber keinen Public Trust aufweisen. Diese Zertifikate werden nur von der CA SwissGovernment-E-Intra01 ausgegeben.

Realisierung und Implementation

Die Ausgabe und Verwaltung von Zertifikaten der Klasse E PKI beruht auf einer zweistufigen, hierarchischen Infrastruktur.

Die Aufgabe der RootCA SwissGovernment-E-Root01 auf der ersten Stufe ist die Validierung der Zertifikate der Zertifizierungsstellen der zweiten Stufe.

Issuing CAs

Die folgenden Issuing CAs:

• SwissGovernment-E-Intra01 für den Forest INTRA
• SwissGovernment-E-EDA01 für den Forest EDA

auf der zweiten Stufe generieren, validieren, publizieren und verwalten die Zertifikate der Zertifikatsinhaber.