Ausgangssituation:
Für den Bezug von S/MIME Zertifikaten soll ein Antrag bei SwissSign gestellt werden.

 

Mögliche Varianten:

1.Einzelkunde mit eigenem MPKI Zugang (Auto-RAO Zertifikat)
(DV und OV Zertifikate möglich)
 

2.Managed Service Provider (MSP) mit eigenem MPKI Zugang (Auto-RAO Zertifikat)

a.welcher Kunden-Domänen selbst validieren kann (nur DV möglich).
Da hier die Validierung durch den MSP vorgenommen werden kann (siehe auch MPKI_Anleitung-Domaene-Validierung_DE_Customer), ist kein Vertragswerk zwischen MSP-Kunden und SwissSign erforderlich!
 

b.welcher über seinen MPKI Zugang (Auto-RAO Zertifikat) OV-Zertifikate für SwissSign Kunden bezieht.
 

 

Bestellung:

Domainvalidierte (DV) Zertifikate (Silber Zertifikate)

Bei Auftragsannahme ist das vom Kunden ausgefüllte Formular SEPPmail_Bestellung-MPKI-DV-Informationen an SEPPmail zu senden (certificates@seppmail.de).

Auszufüllen sind auf Seite

1der Endkunde (Beauftragt bei SwissSign eine Managed PKI für die Firma in der rechte Spalte) und Anzahl und Art der Zertifikate (im darunter liegenden Feld).

5mindestens zwei Zugangsverantwortliche mit persönlicher E-Mail-Adresse als Bevollmächtigte für die Registrierungsstellentätigkeit. Unterschriften der Zugangsverantwortlichen sind nicht erforderlich.

6eine allgemeine E-Mail-Adresse für Mitteilungen an den Kunden und die CMC Schnittstelle

 

Unterschriften vom Kunden sind nicht erforderlich.

Das Eintragen einer Organisation (siehe auch Static subject part) ist bei Silber Zertifikaten nicht möglich. Wünscht ein Kunde einen Organisationseintrag im Zertifikat, so werden organisationsvalidierte (OV) Zertifikate benötigt.

 

Bestellung von Gold-Zertifikaten bzw. organisationsvalidierten (OV) Zertifikaten

Bei Auftragsannahme ist das Formular SEPPmail_Bestellung-MPKI-OV-Informationen vom Kunden auszufüllen.

Auf Seite

2der Endkunde (Beauftragt bei SwissSign eine Managed PKI für die Firma in der rechte Spalte) und Anzahl und Art der Zertifikate (im darunter liegenden Feld).

6sind mindestens zwei Zugangsverantwortliche mit persönlicher E-Mail-Adresse als Bevollmächtigte für die Registrierungsstellentätigkeit zu ernennen. Unterschriften der Zugangsverantwortlichen sind nicht erforderlich.

7ist eine allgemeine E-Mail-Adresse für Mitteilungen an den Kunden und die CMC Schnittstelle einzutragen.

12sind die Zeichnungsberechtigten einzutragen, welche das Dokument auch unterschreiben müssen.

 

Das Formular ist abschließend unterschrieben inklusive einer datierten und unterschriebenen Ausweiskopie der Zeichnungsberechtigten per gescannter Kopie an certificates@seppmail.de zu senden.

 

Alternativ können die Dokumente im Papieroriginal per Post an

 

SwissSign AG

Sales & Partner Management

Sägereistrasse 25

8152 Glattbrugg

Schweiz

 

gesendet werden.

 

Einrichten des MPKI Zugangs nach erfolgreicher Bestellung auf dem SEPPmail Secure E-Mail Gateway:

•Anmelden an der Administrationsoberfläche des SEPPmail Secure E-Mail Gateways
 

•Navigieren zu MPKI Connector

oAuswahl von „SwissSign“ unter MPKI type und Klicken von Select...
 

oUnter MPKI managed domains sind diejenigen Managed domains auszuwählen (Mehrfachauswahl mit gedrückter Hochstelltaste möglich), für welche Zertifikate über die MPKI-Schnittstelle bezogen werden sollen.
 

oSpeichern der vorgenommenen Einstellungen durch Klicken von Save
 

Variante 1 und 2:

•Wechseln in Default parameters und übernehmen der Konfigurationsdaten aus der SwissSign Willkommens-E-Mail in die gleichnamigen Konfigurationsfelder

•Service URL: https://cmc.swisssign.ch/ws/cmc

•Static subject part: <Attribute>

•Account name: <Kontoname>

•Product name : <Produktname>
 

•Herunterladen des „operator certificate“ (Auto-RAO) über das SwissSign Konto.
Die Zugangsdaten versendet SwissSign via IncaMail in einer separaten E-Mail (gegebenenfalls auch im Spam Ordner des E-Mail Clients suchen!)
 

•Nach Certificate wechseln

oDie heruntergeladene PKCS#12 Datei unter PKCS12 identity file auswählen

 

oDas zur PKCS#12 Datei gehörige Passwort zum Schutz des privaten Schlüssels unter PKCS12 password eingeben
 

•im Menü ganz unten links mit Save speichern.
Nun sollte bei  die Meldung
       an operator certificate with valid password has been found.
erscheinen.
 

•Nun zu Settings wechseln

oÜber Add or update... Chain certificates (needed to sign e-mails) bereitstellen

 

oGewünschte Überschneidung der Zertifikatslaufzeit via PKCS12 identity file einstellen
 

•im Menü ganz unten links erneut mit Save speichern.
 

Variante 2a

Da in dieser Variante die Kundendomänen durch den MSP validiert werden, müssen diese im Anschluss nur noch zur Auswahl unter Connector MPKI managed domains hinzugefügt werden.
 

Variante 2b

In diesem Fall müssen zusätzlich zur Auswahl der Kundendomäne(n) unter Connector MPKI managed domains noch Domain specific parameters erstellt werden:

 

•Eintragen der jeweiligen Managed domain(s) des/r Kunden unter

oDomain: <Managed domain des Kunden>

(bei mehreren Kunden-Domänen können mehrere Einträge erstellt werden, welche jeweils die identischen, folgenden Parameter beinhalten)

 

•Übernehmen der Konfigurationsdaten aus der SwissSign Willkommens-E-Mail in die gleichnamigen Konfigurationsfelder

oProduct name : <Produktname>

oStatic subject part: <Attribute>
 

 

Bei fehlenden

•Konfigurationsdaten
 

•Zugangsdaten, beziehungsweise Auto-RAO Zertifikat
 

•Fehlern (Fehlermeldung immer beifügen!) beim Ausstellen von Zertifikaten

 

steht der SwissSign Support unter mpki@swisssign.com zur Verfügung.