JavaScript aktivieren, um diese Seite anzuzeigen.

SwissSign spezifische Sektionen in MPKI

 

Abschnitte auf dieser Seite:

Einleitung

Default parameters

Domain specific parameters

Certificate

Settings

 

anchor link Einleitung

 

Informationen zur Bestellung und zu den Modalitäten für das Einrichten einer SwissSign MPKI stehen unter www.swisssign.com/managed-pki/managed-pki-service.html bereit.

Die Webseite für das SwissSign seitige Verwalten der Zertifikate ist unter https://swisssign.net zu erreichen. Das Anmelden an dieser Seite erfolgt mit den jeweiligen Kontodaten oder mit dem aktuellen Operator Zertifikat (siehe auch Certificate). Hierüber kann auch bei Ablauf des Operatorenzertifikates selbstständig ein neues bezogen werden.

 

empty

anchor link Hinweis:

Insbesondere bei Managed Service Providern (MSP) sind Unterschiede beim Zertifikatsbezug zu beachten:

OHNE Organisationseintrag
Hierbei kann der MSP eine Kunden-E-Mail Domäne einfach per „Self-Validation“ für den Zertifikatsbezug hinzufügen. Die in dieser Variante bezogenen Zertifikate beinhalten jeweils die im Attribut „Antragsteller“ die Daten des Abschnitts Static subject part der Sektion Default parameters.
 

MIT Organisationseintrag oder höherwertig
erhält der Kunde einen eigenen Organisationseintrag, welcher jeweils die im Attribut „Antragsteller“ auftaucht. Diesen Eintrag nimmt der MSP für die entsprechende(n) E-Mail Domäne(n) des Kunden in der Sektion Domain specific parameters vor.
Dafür muss der Kunde eine Annahmeerklärung zur Organisationsprüfung an SwissSign senden. Nach erfolgter Prüfung werden von SwissSign die entsprechenden Konfigurationsdaten (Domain specific parameters) mitgeteilt und der Bezug von Zertifikaten entsprechend freigegeben.
Für diesen Prozess muss ein sogenannter Change-Auftrag bei SwissSign abgesetzt werden (welchen in der Regel SEPPmail auslöst). Dieser Prozess ist kostenpflichtig, sofern ein gewisser Mindestbestellwert an Zertifikaten nicht erreicht wird.

 

empty

anchor link Achtung:

Beim Validieren von Domänen ist auf Groß-/Kleinschreibung zu achten!

 

An dieser Stelle wird die Verbindung zur SwissSign CA, für den automatisierten Bezug von Benutzer-Zertifikaten konfiguriert.

 

anchor link Sektion Default parameters

 

Je nach Vertrag sind hier die erforderlichen Einstellungen vorzunehmen. Diese werden von SwissSign in der Regel mittels einer „Willkommens-E-Mail“ bereit gestellt.

 

empty

anchor link Hinweis:

Der SwissSign MPKI Zugang muss zwingend bis spätestens Ende Mai 2023 auf den neuen Zugang umgestellt werden. Hierzu wurden alle Zertifikatsverantwortlichen von SwissSign bereits im Februar 2023 informiert.

Voraussetzung für das Umstellen ist die SEPPmail Secure E-Mail Gateway Version 12.1.18!

Die folgenden Beschreibungen beziehen sich bereits auf die Firmware Version 12.1.18 und den neuen SwissSign MPKI Zugang.

Weitere Informationen sind bei Bedarf auch dem FAQ Eintrag SwissSign - Umstellen auf neue CA (Mai 2023) zu entnehmen.
 

empty

Achtung:

Zertifikate, welche mit der alten CA erstellt wurden, können nach dem Umstellen auf die neue CA nur noch direkt bei SwissSign, über die Web Oberfläche der alten CA revoziert werden.

 

Parameter

Beschreibung

anchor link Service URL

Angabe der URL, auf welche über die MPKI zugegriffen werden soll. Diese wird von SwissSign vorgegeben und lautet in der Regel

(geändert in 12.1.18)

https://ra.swisssign.net/ws/cmc

https://cmc.swisssign.ch/ws/cmc?validity=1y

anchor link Static subject part

Dieser Teil taucht im Zertifikat des jeweiligen Benutzers zusätzlich zur E-Mail Adresse „E“ als Erweiterung des Feldes „Antragsteller“ auf.

Je nach gewähltem Zertifikatstyp ist der hier einzutragende Wert statisch durch SwissSign vorgegeben

(geändert in 12.1.18)

SwissSign Silver ID Zertifikate
       leer

SwissSign Personal S/MIME E-Mail ID Silver
       leer
 

beziehungsweise für das Attribut „OU=“ durch den Kunden konfigurierbar. Weiterhin taucht als CN der Anzeigename „Name“ (siehe Users) auf

 

empty

anchor link Achtung:

Im Fall von Gold-Zertifikaten für ein Funktionspostfach wie sales@company-maildomain.com muss der CN Name mit „pseudo:“ eingeleitet werden.

Beispiel: „pseudo: sales@company-maildomain.com“

 

SwissSign Gold ID Zertifikate

SwissSign Pro S/MIME E-Mail ID Gold
       /OU=[Organisationsdetail]/O=[Organisation]/C=[Land]
wird durch SwissSign vorgegeben und entspricht in der Regel dem Organisationsnamen, wie er im Handelsregister und somit im SwissSign-Antrag vorzufinden ist. Für den Ländernamen ist die zweistellige ISO Länderkennung zu verwenden.
Im Feld Antragsteller des Zertifikates würde somit folgendes eingetragen:

E = [E-Mail Adresse]
CN = [Name des Zertifikatsinhabers]
OU = [Organisationsdetail]
O = [Organisation]
ST = [Bundesland/Kanton] (optional)
C= [Land]

 

empty

anchor link Achtung:

Geringe Abweichungen führen bereits dazu, dass keine Zertifikate ausgestellt werden können.

Problematisch können insbesondere Sonderzeichen sein, da diese beim Kopieren aus der Willkommens-E-Mail gegebenenfalls falsch interpretiert werden (zum Beispiel unterschiedliche Hochkommata: ´, `, ')

Auch ist beim Kopieren der entsprechenden Eingaben darauf zu achten, dass nicht versehentlich ein Leerzeichen zu Beginn oder am Ende des Ausdrucks mit kopiert wird.

 

anchor link Static subject override

 

anchor link CheckBoxInactive Suppress "Unconsumed SDN" error

Diese Option ist im Standard inaktiv.

Bei individueller Konfiguration seitens SwissSign kann der Fall eintreten, dass beim Versuch ein Zertifikat zu beziehen im Static subject part Parameter mitgegeben werden, welche bereits durch SwissSign statisch vorgegeben sind. Daraus resultiert in der Regel folgende Fehlermeldung beim Zertifikatsbezug:

Unconsumed SDN (i.e.: SDN attributes not needed and not utilized; please remove them and resubmit your request): o=...

Durch Aktivieren dieser Option werden die beim Bezug mitgegebenen, obsoleten Parameter ignoriert und stattdessen die vorgegebenen, statischen Einträge der SwissSign verwendet. Somit kann der Zertifikatsbezug dennoch ungehindert stattfinden.

 

empty

anchor link Hinweis:

(neu in 12.1.18)

Für SwissSign Personal S/MIME E-Mail ID Silver wird empfohlen, diese Option zu aktivieren.

anchor link Account name

Angabe des Benutzernamens.

Dieser lautet in der Regel

(geändert in 12.1.18)

für Bestandskunden bis April 2023

<Firmenkürzel>.ra

für Neukunden ab April 2023

MPKI <7-stellige Nummer> - <Organisationsname>

und wird von SwissSign mitgeteilt.

anchor link Product name

Angabe des gebuchten Produktes.

(geändert in 12.1.18)

Dieser lautet in der Regel

<Firmenkürzel>-Produkttyp

zum Beispiel

<Firmenkürzel>-perso-silver-emailonly

<Firmenkürzel>-perso-gold

<Firmenkürzel>-perso-gold-auth

<Firmenkürzel>-perso-gold-rsassapss

Mögliche Produkte sind

SwissSign Personal S/MIME E-Mail ID Silver

SwissSign Pro S/MIME E-Mail ID Gold

Je nach gebuchtem Produkt wird der entsprechende Name ebenfalls von SwissSign mitgeteilt.

 

 

anchor link Sektion Domain specific parameters (optional)

 

Werden auf dem SEPPmail Secure E-Mail Gateway mehrere E-Mail Domänen (Managed domains) verwaltet, so können über diese Option jeweils Domänen spezifische Parameter für das Erstellen von Benutzerzertifikaten mitgegeben werden.

 

hint

anchor link Hinweis:

Damit dies funktioniert, müssen die Accounts bei SwissSign zusammengeschaltet werden. Entweder direkt bei der Beantragung oder nachträglich per Case an mpki@swisssign.com, so daß mit einem AUTO-RAO Zertifikat auch die Zuordnung zu den anderen Accounts gemacht wird.

 

Nach dem Speichern der Domänen spezifischen Option via Save entries erscheint jeweils ein weiteres Eingabefeld.

 

Parameter

Beschreibung

anchor link Domain

Angabe der E-Mail Domäne, für welche die beiden folgenden Parameter gültig sein sollen.

Nur Domänen, welche beim Stellen des Antrags bei der Zertifizierungsstelle auch benannt, beziehungsweise später separat validiert wurden, dürfen eingetragen werden.

 

empty

anchor link Achtung:

Beim Validieren von Domänen ist auf Groß-/Kleinschreibung zu achten!

 

empty

anchor link Achtung:

Die hier eingetragene Domäne muss unter Connectors MPKI managed domains ausgewählt sein, damit Zertifikate bezogen werden.

anchor link Account name

(neu in 12.1.7)

Angabe des gegebenenfalls vom Default parameters abweichenden Account name. Dieser wird von SwissSign mit den Zugangsdaten bereitgestellt.

anchor link Product name

Angabe des gegebenenfalls vom Default parameters abweichenden Product name. Dieser wird von SwissSign mit den Zugangsdaten bereitgestellt.

 

empty

anchor link Hinweis:

Über die abweichenden Product names können pro Managed Domain somit auch unterschiedliche Qualitätsgüten bezogen werden. Diese unterscheiden sich im Wesentlichen durch die Möglichkeiten beim Individualisieren des Static subject part und somit des im Zertifikat angezeigten Antragstellers:

 

Zertifikat

möglicher Static subject part

Personal

Gold-ID

E-Mail, Vor-/Nachname, Organisation, Land/Bundesland, (eventuell weitere Parameter)

Silber-ID

--

anchor link Static subject part

Siehe Sektion Default parameters Static subject part
 

empty

anchor link Achtung:

Bereits geringe Abweichungen führen dazu, dass keine Zertifikate ausgestellt werden können.

Problematisch können insbesondere Sonderzeichen sein, da diese unter Umständen beim Kopieren falsch interpretiert oder bei manueller Eingabe falsch angegeben werden (zum Beispiel unterschiedliche Hochkommata: ´, `, ')

Auch ist beim Kopieren der entsprechenden Eingaben darauf zu achten, dass nicht versehentlich ein Leerzeichen zu Beginn oder am Ende des Ausdrucks mit kopiert wird.

 

 

anchor link Sektion Certificate

 

Dient dem Authentifizieren gegenüber dem Zertifizierungsstellen Anbieter (SwissSign)

 

Parameter

Beschreibung

anchor link PKCS12 identity file

Zertifikat für das Authentisieren gegenüber der Zertifizierungsstelle (SwissSign).

Diese Datei wird von SwissSign bereit gestellt und ist mit einem Passwort versehen (siehe Parameter PKCS12 password)

Ist der Zugang zur Zertifizierungsstelle erfolgreich, so erscheint an dieser Stelle die Meldung

an operator certificate with valid password has been found.

 

empty

anchor link Hinweis:

Ab 30 Tage vor Ablauf des Operator Zertifikats wird eine Meldung im Daily Report (siehe auch Groups admin und statisticsadmin) eingefügt, und der Status des Daily Reports wird zu IMPORTANT geändert..

anchor link PKCS12 password

Passwort um die im PKCS12 identity file enthaltenen „private keys“ freizuschalten.

Auch dieses wird von SwissSign bereit gestellt.

 

 

anchor link Sektion Settings

 

Einstellungen für das automatische Erneuern von Zertifikaten.

 

empty

anchor link Hinweis:

Die Laufzeit der Zertifikate der einzelnen Benutzers kann gegebenenfalls der Datei user-stats.csv, welche mit dem Daily Report (siehe auch Groups statisticsadmin) mitkommt, entnommen werden.

Dies ist insbesondere hilfreich, sofern kein automatisches Erneuern von Zertifikaten eingestellt wurde.

 

Parameter

Beschreibung

anchor link CheckBoxInactive Automatically renew expiring certificates if validity days left less than

Diese Option ist im Standard inaktiv und mit dem Wert 30 vorbelegt.

Initiiert das automatische Erneuern von Zertifikaten aktiver Benutzer (Users), sofern die eingestellte Restlaufzeit unterschritten ist. Voraussetzung hierfür ist, dass der entsprechende Benutzer innerhalb der eingestellten Überschneidungszeit eine E-Mail sendet. Damit wird vermieden, dass für „Leichen“ im Menü Users gegebenenfalls kostenpflichtig Zertifikate bezogen werden. Der so initiierte Prozess wird über Nacht (!) abgearbeitet.

 

empty

anchor link Hinweis:

Wird die MPKI erst nachträglich aktiviert, so werden bereits vorhandene, manuell importierte Zertifikate ebenfalls berücksichtigt. Ausschlaggebend für das Erneuern via MPKI ist das Zertifikat des Benutzers mit der längsten Laufzeit (Expires on).

Zertifikate der internen Zertifizierungsstelle sowie revozierte oder bereits abgelaufene Zertifikate werden nicht berücksichtigt.

 

empty

anchor link Hinweis:

Je größer die Überschneidung der Zertifikatsgültigkeit ist, desto höher ist die Chance, dass der Kommunikationspartner in den Besitz eines gültigen, öffentlichen Schlüssels gelangt, welchen er für das Senden verschlüsselter E-Mails benötigt.

anchor link CheckBoxInactive Automatically create certificates for active users without certificates

Diese Option ist im Standard inaktiv.

Bezieht für alle existenten, aktiven Users, welche nicht im Besitz eines gültigen (!) Zertifikates sind, automatisiert über Nacht (!) ein Zertifikat.

 

Als aktive Users werden diejenigen bezeichnet, welche innerhalb der letzten 30 Tage eine E-Mail gesendet haben und nicht den State inactive haben.

 

empty

anchor link Achtung:

Funktioniert nur bei gleichzeitig aktiver Option Automatically renew expiring certificates if validity days left less than

anchor link Chain certificates (needed to sign e-mails)

Durch Klicken von Add or update... werden unter X.509 Root Certificates die Zwischen-(Intermediate-)Zertifikate hinzugefügt/aktualisiert, welche für das Ergänzen der Zertifikatskette beim Signieren benötigt werden.

 

empty

anchor link Hinweis:

Diese Aktion ist nach Abschluss der MPKI Konfiguration zwingend!

 

Die vorgenommenen Änderungen werden über die Schaltfläche Save gespeichert.

 
  

Tastaturnavigation

F7 für Tastaturnavigation
ALT halten und Buchstaben drücken

Diese Info: ALT+q
Seitentitel: ALT+t
Seiteninhalt: ALT+b
Inhalte: ALT+c
Suche: ALT+s
Ebene höher: ESC