Ausgangssituation:
Im Februar 2023 erhielten alle SwissSign MPKI Partner eine Informations-E-Mail von SwissSign mit folgendem Inhalt:
Geschätzte Partner
Wir haben Sie vor einiger Zeit über die neue SwissSign CA informiert und Ihnen auch bereits Informationen zur neuen Pre-Prod-Plattform zur Verfügung gestellt. Mit diesem Schreiben möchten wir Sie über den aktualisierten Zeitplan zu den bevorstehenden Migrationen Ihrer Kunden-MPKIs in Kenntnis setzen.
Aufgrund von zusätzlichen regulatorischen Anforderungen betreffend S/MIME Zertifikaten wird die Migration Ihrer bestehenden Kunden-MPKIs auf die neue CA-Plattform bis Ende März 2023 durchgeführt werden müssen.
Wie läuft die Migration ab?
•In den kommenden Tagen beginnen wir damit, sämtliche Kunden-MPKIs auf die neue CA-Plattform zu migrieren. Ziel ist es, dass dieser Prozess bis Ende März 2023 abgeschlossen ist. Die Zugangsverantwortlichen (Operatoren) der Kunden-MPKIs werden vorgängig per E-Mail informiert, dass ihre MPKI demnächst migriert wird. In diesem Schreiben werden wir ebenfalls auf eine Landingpage (wird in Kürze publiziert) mit Anweisungen der Drittanwendungen hinweisen.
•Neubestellungen von MPKIs sollen somit ab 01.04.2023 nur noch über die neue CA-Plattform abgewickelt werden.
•Ihre bestehenden Kunden haben die Möglichkeit, bis spätestens Ende Mai 2023 neue Zertifikate sowohl über die neue Plattform als auch auf der bestehenden MPKI auszustellen (befristeter Parallelbetrieb).
•Bereits ausgestellte Zertifikate behalten Ihre Gültigkeit bis zum Ablauf Ihrer Laufzeit und müssen nicht revoziert und neu ausgestellt werden.
Wir freuen uns auf eine gemeinsame erfolgreiche Zukunft und stehen Ihnen bei Fragen gerne unter partners@swisssign.com zur Verfügung.
Freundliche Grüsse
Ihr SwissSign Partner Management
|
Achtung: Zertifikate, welche mit der alten CA erstellt wurden, können nach dem Umstellen auf die neue CA nur noch direkt bei SwissSign, über die Web Oberfläche der alten CA revoziert werden. |
Neben den Links in oben angeführter E-Mail, stellt SwissSign unter folgendem Link https://nl.swisssign.com/e/94e2946ea27e7ec6/nl/99cd668a678acf3f80c719ae/link/262443/a2332e72d5091f740156da21a072453bf1b7ffa1/de/- eine weitere Beschreibung bereit.
|
Achtung: Vor dem Umstellen auf die neue MPKI ist zwingend die SEPPmail Secure E-Mail Gateway Firmware Version 12.1.18 erforderlich! |
SEPPmail Secure E-Mail Gateway seitig sind in der Regel folgende Einstellungen anzupassen (am Beispiel von „Silver“-Zertifikaten):
(siehe auch SwissSign).
(entfällt mit dem 22.03.2023)
Nachdem über die neue CA per Standard Zertifikate mit einer Laufzeit von drei Jahren ausgestellt werden, muss unbedingt der URL Eintrag um „?validity=1y“, also auf
https://cmc.swisssign.ch/ws/cmc?validity=1y
erweitert werden.
Mit dem Eintrag des neuen Product name „SwissSign Personal S/MIME E-Mail ID Silver“ für domänenvalidierte Zertifikate, werden beim Zertifikatsbezug die erforderlichen Parameter automatisch durch das SEPPmail Secure E-Mail Gateway an SwissSign übergeben, sodass keine weiteren Eingaben erforderlich sind.
Bei organisationsvalidierten Zertifikaten „SwissSign Pro S/MIME E-Mail ID Gold“ ist zu beachten, dass das Validieren der Organisation nicht mehr per Zertifikat, sondern per „SwissID“ (siehe auch https://www.swissid.ch/) zu erfolgen hat.
Weiterhin ist aufgrund neuer Sicherheitsregularien das Validieren der Domänen, für welche Zertifikate bezogen werden sollen, nun einmal jährlich erforderlich, siehe SwissSign - Jährliche Domänenprüfung.
Hinweis zu RA-Operatoren
RA-Operatoren sind Personen, denen die Zertifikatsverwaltung für eine Domain/MPKI-Vertrag anvertraut wurden (Definition von SwissSign).
Alle RA-Operatoren müssen mit der hinterlegten Mailadresse eine SwissID lösen. Diese muss mittels Pass verifiziert werden. Das geht entweder sofort oder innerhalb von 2 Arbeitstagen. Falls neue RA-Operatoren eingetragen werden sollen, müssen die bisherigen RA-Operatoren das mittels Formular an SwissSign melden. Wenn die „Managed PKI Nummer“ MPKI-0000xxx nicht bekannt sein sollte, kann diese Info bei SwissSign angefragt werden. Falls die bei SwissSign eingetragenen RA-Operatoren nicht mehr verfügbar sind, muss mindestens ein Name und Mailadresse eines der ehemaligen RA-Operatoren bekannt sein, um neue eintragen zu lassen.
Eine SwissSign seitige Beschreibung der neuen CA und der damit verbundenen, kundenseitig erforderlichen Aktionen ist unter https://www.youtube.com/watch?v=0ebbxLAcTjc abzurufen.
Für eventuell weitere Fragen steht der SwissSign Support unter mpki@swisssign.com zur Verfügung.
