Navigieren auf SwissID

Eine Datensicherheitsspezialistin der Schweizerischen Post

4.4. CMC Schnittstellenkonfiguration für Totemo

Es wurde für Sie eine SwissSign MPKI aufgesetzt, die über den Mailgateway der Firma Totemo AG SwissSign Zertifikate ausstellt.

Totemo kommuniziert hierbei über die sogenannte CMC Schnittstelle mit der Zertifizierungsstelle SwissSign. Damit können automatisiert Zertifikate für die Signatur und Verschlüsselung von E-Mails bezogen werden.

Um nun Zertifikate beziehen zu können, geben Sie folgende Daten in die Totemo Appliance ein:

1. In der Verwaltungskonsole unter Zertifikate | Ausstellerzertifikate die Root-Zertifikatdateien importieren, die von SwissSign zur Verfügung gestellt wurden. Vertrauen Sie diesen nach dem Import manuell über die Schaltfläche Als vertrauenswürdig setzen.

2. Importieren Sie unter Zertifikate | Authentifizierungszertifikate das Zugangszertifikat, welches Sie auf swisssign.net heruntergeladen haben. Dabei handelt es sich um eine P12-Datei, die einen privaten Schlüssel und das entsprechende Zertifikat enthält. Ändern Sie nach dem Import den verknüpften Dienst über die Funktion Set Auth. Service auf RFC 2797.

3. Navigieren Sie in der Verwaltungskonsole zu Serveroptionen | RFC 2797-Verbindung. | Verbindung, um die verbindungsspezifischen Parameter einzustellen.

Hinweis: Die Werte für die folgenden Eigenschaften werden von SwissSign zur Verfügung gestellt.

a. Geben Sie das Verbindungsprotokoll mit der Eigenschaft connection.ssl.protocol an.
Beispiel: https://

b. Legen Sie den Servernamen der SwissSign CA mit der Eigenschaft connection.ssl.serverName fest.
Beispiel: ra.swisssign.net

c. Setzen Sie den Server-Port der SwissSign CA mit der Eigenschaft connection.ssl.serverPort.
Beispiel: 443

d. Legen Sie den Anfragepfad mit den bereitgestellten Informationen in der Eigenschaft connection.ssl.url fest.
Beispiel: /ws/cmc?account=totemoag.ra&product=totemo-persogold

e. Legen Sie den Anforderungstyp fest, indem Sie die Eigenschaft 
security.pkiConnection.rfc2797.requestType auf POST setzen.

f. Setzen Sie die Eigenschaft security.pkiConnection.rfc2797.encodeRequestBase64 auf false.

4. Unter Server-Optionen | RFC 2797 conn. | Verbindung muss der PKI-Typ über die Eigenschaft security.pkiConnection.type nach rfc2797 geändert werden.

5. Setzen Sie den Aussteller-DN für SwissSign-Zertifikate, als Wert in der Eigenschaft security.pkiConnection.rfc2797.issuerDN. Diese wird von Totemomail verwendet, um zu identifizieren, welche der gespeicherten Zertifikate von der angeschlossenen SwissSign CA ausgestellt wurden.

6. Um zu ermöglichen, dass neue interne Benutzer ihre Zertifikate nach der Erstellung automatisch von der externen CA erhalten, setzen Sie die Eigenschaft security.pkiConnection.getFromPKIForNewIntUsers auf true.

7. Um externen Empfängern zu ermöglichen, ihre Zertifikate von der externen CA zu erhalten, setzen Sie die Eigenschaft security.pkiConnection.getFromPKIForNewRecipients auf true.

8. Setzen Sie die Eigenschaft security.pkiConnection.certSubjectDN auf den Wert, der als Subject DN innerhalb von SwissSign Zertifikaten verwendet werden soll.

Hinweis: Der Wert dieser Eigenschaft wird von SwissSign zur Verfügung gestellt. Bei Verwendung einer SwissSign Silver PKI sollte der Wert nur den CN enthalten. Bei einer SwissSign Gold PKI kann der Wert organisationsspezifische DN-Attribute enthalten.

Hinweis: Die Attribute CN (nur für SwissSign Gold) und E-Mail-Adresse im Betreff DN werden ersetzt durch die Informationen, die dem anfordernden Benutzer entsprechen.

9. Um die externe CA zu aktivieren, setzen Sie die Eigenschaft security.pkiConnection.enabled auf true.

10. Übernehmen Sie die Änderungen mit der Schaltfläche Apply Changes oben auf der Seite «Settings / Properties».

11. Starten Sie den Totemomail-Dienst neu.

Folgende Attribute erhalten Sie von uns für die Totemo-Appliance im Initial-Mail:

  • Static subject part: /CN=Secure Mail: Gateway Certificate /O=Organisationsname/ C=Landeskürzel

  • Account name: Kontoname

  • Product name: Organisationsname-Produktetyp-Exaktes Produkt 

Bitte beachten Sie, dass nach dem initialen Erhalt der MPKI noch keine Domänen freigeschaltet sind.

Nachfolgend finden Sie die Anleitung für das kostenfreie Eintragen von Domänen:

Die genauen Namen zu Ihrer:

  • Organisation
  • Landeskürzel
  • Kontoname
  • Produktenamen

finden Sie in unserem Initialmail, in welchem Sie auch die Angaben zu Ihrem Managed PKI Account und dem Zugangszertifikat haben. 

Zurück zur Hauptseite Managed PKI - Setup & Support >>

Über uns

Ressourcen

Adresse

Kontakt

Eine Datensicherheitsspezialistin der Schweizerischen Post

Logo von «Die Post», Sie gelangen zur Website von «Die Post».