JavaScript aktivieren, um diese Seite anzuzeigen.

Bundesdruckerei D-Trust spezifische Sektionen in MPKI

 

Informationen zur Managed PKI der Bundesdruckerei D-Trust stehen bei Bedarf auf der Webseite (www.bundesdruckerei.de) bereit.

 

An dieser Stelle wird die Verbindung zur Bundesdruckerei D-Trust CA, für den automatisierten Bezug von Benutzer-Zertifikaten konfiguriert.

 

empty

anchor link Hinweis:

Bei erfolgreichem Erstellen eines Zertifikats via MPKI werden auch alle notwendigen CA Zertifikate von D-Trust übermittelt und importiert.

 

Verfügbaren Sektionen:

Default parameters

Domain specific parameters

Certificate

Settings

 

 

anchor link Sektion Default parameters

 

Je nach Vertrag sind hier die erforderlichen Einstellungen vorzunehmen. Diese werden in der Regel mit dem Vertragsschluss zwischen dem E-Mail Domänen Inhaber und der Bundesdruckerei von der Bundesdruckerei bereit gestellt.

 

Parameter

Beschreibung

anchor link Service URL

Angabe der URL, auf welche über die MPKI zugegriffen werden soll. In der Regel lautet die URL

https://csm.d-trust.net/httpcmp/request

anchor link Product

Angabe des gebuchten Produktes.

In der Regel sind das

BASIC_ENTERPRISE_ID

ADVANCED_ENTERPRISE_ID

Weiterhin werden TEAM_ID Produkte angeboten, welche für Organisationen/Gruppenpostfächer, jedoch nicht für Einzelpersonen gedacht sind.

Den oben genannten Produktnamen kann alternativ _1, _2, ... bis _5 angehangen werden. Dadurch wird die Laufzeit der via MPKI angeforderten Zertifikate auf die entsprechende Anzahl in Jahren festgelegt. Diese Funktion muss bei Bedarf jedoch im D-Trust Webportal aktiviert werden.

anchor link Static subject part

Dieser Teil taucht im Zertifikat des jeweiligen Benutzers zusätzlich zur E-Mail Adresse E als Erweiterung des Feldes „Antragsteller“ auf.

Dabei ist der Eintrag O = [Organisation] verpflichtend und muss mit dem Eintrag, wie er im D-Trust Webportal festgelegt wurde, übereinstimmen.
 

empty

anchor link Achtung:

Bereits geringe Abweichungen führen dazu, dass keine Zertifikate ausgestellt werden können.

Problematisch können insbesondere Sonderzeichen sein, da diese unter Umständen beim Kopieren falsch interpretiert oder bei manueller Eingabe falsch angegeben werden (zum Beispiel unterschiedliche Hochkommata: ´, `, ')

Auch ist beim Kopieren der entsprechenden Eingaben darauf zu achten, dass nicht versehentlich ein Leerzeichen zu Beginn oder am Ende des Ausdrucks mit kopiert wird.

 

 

anchor link Sektion Domain specific parameters (optional)

 

Werden auf dem SEPPmail Secure E-Mail Gateway mehrere E-Mail Domänen (Managed domains) verwaltet, so können über diese Option jeweils Domänen spezifische Parameter für das Erstellen von Benutzerzertifikaten mitgegeben werden.

Nach dem Speichern der Domänen spezifischen Option via Save entries erscheint jeweils ein weiteres Eingabefeld.

 

Parameter

Beschreibung

anchor link Domain

Angabe der E-Mail Domäne oder einer speziellen Email-Adresse, für welche die beiden folgenden Parameter gültig sein sollen.

 

empty

anchor link Achtung:

Die hier verwendete Domäne muss unter Connectors MPKI managed domains ausgewählt sein, damit Zertifikate bezogen werden.

anchor link Product

Angabe des gegebenenfalls vom Default parameters abweichenden Product.

anchor link Static subject part

Angabe des gegebenenfalls vom Default parameters Static subject part.
 

empty

anchor link Achtung:

Bereits geringe Abweichungen führen dazu, dass keine Zertifikate ausgestellt werden können.

Problematisch können insbesondere Sonderzeichen sein, da diese unter Umständen beim Kopieren falsch interpretiert oder bei manueller Eingabe falsch angegeben werden (zum Beispiel unterschiedliche Hochkommata: ´, `, ')

Auch ist beim Kopieren der entsprechenden Eingaben darauf zu achten, dass nicht versehentlich ein Leerzeichen zu Beginn oder am Ende des Ausdrucks mit kopiert wird.

 

 

anchor link Sektion Certificate

 

Dient dem Authentifizieren gegenüber dem Zertifizierungsstellen Anbieter (Bundesdruckerei D-Trust).

 

Parameter

Beschreibung

anchor link PKCS12 identity file

Zertifikat für das Authentisieren gegenüber der Zertifizierungsstelle (Bundesdruckerei D-Trust).

Diese Datei wird von der Bundesdruckerei D-Trust bereit gestellt und ist mit einem Passwort versehen (siehe Parameter PKCS12 password)

Ist der Zugang zur Zertifizierungsstelle erfolgreich, so erscheint an dieser Stelle die Meldung

an operator certificate with valid password has been found.

 

empty

anchor link Hinweis:

Ab 30 Tage vor Ablauf des Operator Zertifikats wird eine Meldung im Daily Report (siehe auch Groups admin und statisticsadmin) eingefügt, und der Status des Daily Reports wird zu IMPORTANT geändert..

anchor link PKCS12 password

Passwort um die im PKCS12 identity file enthaltenen „private keys“ freizuschalten.

Auch dieses wird von der Bundesdruckerei D-Trust bereit gestellt.

 

 

anchor link Sektion Settings

 

Einstellungen für das automatische Erneuern von Zertifikaten.

 

empty

anchor link Hinweis:

Die Laufzeit der Zertifikate der einzelnen Benutzers kann gegebenenfalls der Datei user-stats.csv, welche mit dem Daily Report (siehe auch Groups statisticsadmin) mitkommt, entnommen werden.

Dies ist insbesondere hilfreich, sofern kein automatisches Erneuern von Zertifikaten eingestellt wurde.

 

Parameter

Beschreibung

anchor link CheckBoxInactive Automatically renew expiring certificates if validity days left less than

Diese Option ist im Standard inaktiv und mit dem Wert 30 vorbelegt.

Initiiert das automatische Erneuern von Zertifikaten aktiver Benutzer (Users), sofern die eingestellte Restlaufzeit unterschritten ist. Voraussetzung hierfür ist, dass der entsprechende Benutzer innerhalb der eingestellten Überschneidungszeit eine E-Mail sendet. Damit wird vermieden, dass für „Leichen“ im Menü Users gegebenenfalls kostenpflichtig Zertifikate bezogen werden. Der so initiierte Prozess wird über Nacht (!) abgearbeitet.

 

empty

anchor link Hinweis:

Wird die MPKI erst nachträglich aktiviert, so werden bereits vorhandene, manuell importierte Zertifikate ebenfalls berücksichtigt. Ausschlaggebend für das Erneuern via MPKI ist das Zertifikat des Benutzers mit der längsten Laufzeit (Expires on).

Zertifikate der internen Zertifizierungsstelle sowie revozierte oder bereits abgelaufene Zertifikate werden nicht berücksichtigt.

 

empty

anchor link Hinweis:

Je größer die Überschneidung der Zertifikatsgültigkeit ist, desto höher ist die Chance, dass der Kommunikationspartner in den Besitz eines gültigen, öffentlichen Schlüssels gelangt, welchen er für das Senden verschlüsselter E-Mails benötigt.

anchor link CheckBoxInactive Automatically create certificates for active users without certificates

Diese Option ist im Standard inaktiv.

Bezieht für alle existenten, aktiven Users, welche nicht im Besitz eines gültigen (!) Zertifikates sind, automatisiert über Nacht (!) ein Zertifikat.

 

Als aktive Users werden diejenigen bezeichnet, welche innerhalb der letzten 30 Tage eine E-Mail gesendet haben und nicht den State inactive haben.

 

empty

anchor link Achtung:

Funktioniert nur bei gleichzeitig aktiver Option Automatically renew expiring certificates if validity days left less than

anchor link Chain certificates (needed to sign e-mails)

Durch Klicken von Add or update... werden unter X.509 Root Certificates die Zwischen-(Intermediate-)Zertifikate hinzugefügt/aktualisiert, welche für das Ergänzen der Zertifikatskette beim Signieren benötigt werden.

 

empty

anchor link Hinweis:

Diese Aktion ist nach Abschluss der MPKI Konfiguration zwingend!

 

Die vorgenommenen Änderungen werden über die Schaltfläche Save gespeichert.

 
  

Tastaturnavigation

F7 für Tastaturnavigation
ALT halten und Buchstaben drücken

Diese Info: ALT+q
Seitentitel: ALT+t
Seiteninhalt: ALT+b
Inhalte: ALT+c
Suche: ALT+s
Ebene höher: ESC