Hauptbereich
3.1. Zertifikatsausstellung mit der Managed PKI
Diese Anleitung soll den MPKI-Nutzerinnen und -Nutzern dienen, um aufzuzeigen, wie Sie mithilfe des eingerichteten Setups ohne eine CMC-Schnittstelle Zertifikate erstellen können.
So sollte die Oberfläche auf ra.swisssign.net für Sie aussehen:
In Grün sehen Sie die verfügbaren Konten. Im Normalfall haben Sie hier nur ein Konto angegeben.
In Gelb ist angegeben, mit welchem Zugangszertifikat Sie zurzeit angemeldet sind.
Kommen wir zur schrittweisen Anleitung zur Ausstellung eines Zertifikates:
1. Zur Erstellung eines Zertifikates klicken Sie bitte unter Zertifikate auf «Neu». Nun haben Sie die Auswahl an Produkten zur Verfügung. Wählen Sie ein Produkt aus und klicken Sie auf «Weiter» ohne bei «Gutscheincode» etwas einzugeben.
2. Sie gelangen dann zur Auswahl der Laufzeit. Sie bestimmen hier, wie lange das erstellte Zertifikat gültig ist. Die Laufzeit beträgt bei E-Mail-Zertifikaten maximal 3 Jahre. Bei SSL-Zertifikaten wird die Auswahl übersprungen, da diese nur für 1 Jahr ausgestellt werden können. Wählen Sie die Laufzeit aus und fahren Sie mit «Weiter» fort.
3. Im dritten Schritt müssen Sie, um weiterzufahren, die Teilnehmerbedingungen akzeptieren. Wenn Sie auf Teilnahmevereinbarung oder Zertifikatsdienstleistung (unterstrichen und in blau gefärbt) klicken, laden Sie die jeweiligen Dokumente als PDF-Dateien herunter.
Klicken Sie, nachdem Sie die Teilnehmervereinbarung zur Kenntnis genommen haben, auf das Kästchen und auf «Ich akzeptiere diese Bedingungen», um weiterzufahren.
4. Für SSL Zertifikate bitten wir Sie, im nächsten Schritt Ihren CSR einzugeben. Hierbei können wir Ihnen leider keinen Support leisten. Wir haben die Erklärung weshalb, sowie auch ein Beispiel zur CSR Erstellung mit OpenSSL auf folgender Seite hinterlegt:
Fall diese Meldung erscheint:
Sind im CSR Attribute enthalten, welche im ausgewählten Produkt nicht unterstützt werden, erhalten Sie die obenstehende Meldung. Sie können weiterfahren, indem Sie diese zur Kenntnis nehmen und auf «Weiter» klicken.
Für Email Zertifikate ist der CSR nicht zwingend notwendig. Sie können deshalb, ohne etwas einzusetzen auf «Weiter» klicken.
5. Im nächsten Schritt müssen Sie die für das Zertifikat notwendige Attribute angeben. Gewisse werden vom CSR übernommen, weitere müssen gegebenenfalls manuell eingetragen werden. Da jedes Produkt andere Attribute verlangt und dies eine Kurzanleitung ist, wird nicht weiter auf die Attributs-Eingabe eingegangen. Eine detaillierte Anleitung finden Sie im Dokument «Betriebsanleitung».
6. Sobald alle Attribute angegeben wurden, kann das Zertifikat angefordert werden. Alle Zertifikatsdaten werden zur Kontrolle nochmals angezeigt. Falls Fehler vorhanden sind, können entweder per Menüzeile oder über den «Zurück» Button Änderungen vorgenommen werden.
Sofern kein CSR angegeben wurde, muss ein Passwort gesetzt werden. Es gelten folgende Vorgaben:
Bitte beachten Sie, dass wir verlorene Passwörter nicht zurücksetzen können. Anschliessend ist die Schaltfläche «Zertifikat anfordern» anzuwählen.
7. Als letzter Schritt folgen das Genehmigen, Ausstellen und Herunterladen des erstellten Zertifikates.
Klicken Sie dafür auf «Genehmigen» am linken Rand des dargestellten Zertifikates. Bestätigen Sie die Genehmigung auf der neu geladenen Seite mit «Genehmigung bestätigen».
Das Zertifikat ist somit gültig und die Laufzeit des Zertifikates beginnt. Um das erstellte Zertifikat herunterzuladen, klicken Sie auf «Herunterladen / Attribute».
Hier gibt es wieder Unterschiede zwischen SSL- und Email-Zertifikaten.
SSL Zertifikate können Sie nur ohne den privaten Schlüssel herunterladen. Den privaten Schlüssel haben Sie im Schritt 4 mit dem CSR erstellt.
E-Mail Zertifikate können Sie mit dem privaten Schlüssel herunterladen. Dazu brauchen Sie das Passwort, das Sie selbst in Schritt 6 gesetzt haben.
Haben Sie im Schritt 4 einen CSR angegeben, so können Sie hier nur den öffentlichen Schlüssel herunterladen.
