Die aktuelle Liste der Länder mit Exportbeschränkungen finden Sie hier: swisssign.com/support/exportbeschraenkungen

Zwischenzertifikate auch Intermediate-Zertifikate genannt

Jedes SwissSign Endbenutzerzertifikat wird von einem SwissSign Zwischenzertifikat signiert. Das Zwischenzertifikat wiederum wird vom Rootzertifikat signiert. Damit ein Zertifikat vertrauensvoll erscheint, ist es wichtig, dass die komplette Zertifikatskette z.B. auf dem Webserver vorhanden ist. Die Betriebssysteme und Applikationen haben praktisch alle das Rootzertifikat mit dabei, das/die Zwischenzertifikat(e) muss aber installiert werden. Entweder wird das Endzertifikat auf swisssign.net (bisherige SwissSign CA) oder ra.swisssign.ch (neue SwissSign CA) mit der gesamten Zertifikatskette heruntergeladen, oder es wird das Zwischenzertifikat später nachträglich installiert. 

Rootzertifikate

Jedes SwissSign Endbenutzerzertifikat wird von einem SwissSign Zwischenzertifikat signiert. Das Zwischenzertifikat wiederum wird vom Rootzertifikat signiert. Damit ein Zertifikat vertrauensvoll erscheint, ist es wichtig, dass die komplette Zertifikatskette z.B. auf dem Webserver vorhanden ist. Die Betriebssysteme und Applikationen haben praktisch alle das Rootzertifikat mit dabei. Dennoch kann es für besondere Applikationen notwendig sein, Rootzertifikate zu installieren. Entweder wird das Endzertifikat auf swisssign.net oder ra.swisssign.ch mit der gesamten Zertifikatskette heruntergeladen, oder es wird das Rootzertifikat später nachträglich installiert. 

Das Rootzertifikat ist der Vertrauensanker einer PKI. Die Benutzung eines Rootzertifikats beinhaltet, dass die Benutzerinstanz alle Zertifikate akzeptiert, die von der betreffenden CA ausgegeben wurden.

Weitere Informationen über die CA-Nutzung, die Organisation, die Funktionen, Methoden und Prozesse sind dem SwissSign Certificate Policy CP und Certification Practice Statement (CPS) zu entnehmen: Repository

Sperrlisten

Gesperrte bzw. zurückgezogene Zertifikate werden in sogenannten Sperrlisten publiziert oder in einem Onlinedienst vorgehalten (OCSP), der online und aktuell die Gültigkeit eines Zertifikats beauskunftet.

Einer der gebräuchlichsten Validierungsdienste stellt die Überprüfung der Gültigkeit eines Zertifikats mittels einer sogenannten Zertifikatssperrliste (CRL) dar oder mittels OCSP (Online Certificate Status Protocol) dar.

Wie in der physischen Welt ist es auch in der digitalen Welt gefährlich, wenn man einen Schlüssel verliert oder der Schlüssel, z.B. aufgrund des Weggangs eines Mitarbeiters, keine Gültigkeit mehr hat. Daher werden immer wieder Schlüssel/Zertifikate gemeldet, die gesperrt werden müssen, um Schäden zu verhindern. SwissSign veröffentlicht – wie jede CA – diese Schlüssel/Zertifikate in sogenannten «Certificate Revocation Lists» (CRL).

Die CRL (Widerrufsliste oder Zertifikatssperrliste) enthält alle Seriennummern der Zertifikate, welche vor Ablauf ihrer Zertifikats-Lebensdauer für ungültig erklärt wurden. Bei der Zertifikatsstatusprüfung wird die Liste von einer öffentlichen URL geladen und die Seriennummer des Zertifikats, das geprüft werden soll, in dieser Liste gesucht: Ist es vorhanden, ist das Zertifikat gesperrt, andernfalls ist es gültig.

Revozierte bzw. für ungültig erklärte Zertifikate bleiben auch nach dem im Zertifikat angegeben Ablaufdatum auf der CRL. Grund dafür ist, dass es für die Validierung der Signatur wichtig ist zu wissen, wann ein Zertifikat revoziert wurde.

CRLs werden in der Regel in regelmässigen Abständen aktualisiert. Wie bei den Zertifikaten ist auch bei den CRL die Lebensdauer in der CRL selber festgelegt. Diese Lebensdauer ist massiv länger als die Ausstellungshäufigkeit (mindestens 2 mal pro Tag) vermuten lässt. Damit wird auch der «Fault majeur» abgedeckt. CRLs können lokal zwischengespeichert werden und ermöglichen die Offline-Abfrage eines Zertifikatsstatus. Dabei wird die Verbindung zwischen Zertifikatsinhaber und der Relying Party dem CSP nicht offengelegt. Allerdings gibt es eine relativ hohe Ungenauigkeit bei der Statusabfrage eines Zertifikats.

Eine Alternative bildet der online funktionierende Validierungsdienst OCSP (Online Certificate Status Protocol). Dieser gibt in Echtzeit Auskunft über die Gültigkeit eines Zertifikates. Für den OCSP Einsatz ist eine hohe Performance der CA wichtig. Die SwissSign CA stellt diese hohe Performance sicher und setzt auch für OCSP nur eigene, in der Schweiz entwickelte Software ein. Online-Statusprüfungen werden üblicherweise dort eingesetzt, wo die zeitgenaue Prüfung des Zertifikates wichtig ist – z.B. bei finanziellen Transfers.

Alle unseren Root-CA- und Intermediate-/Zwischen-CA-Zertifikate, sowie die ausgestellten Sperrlisten (CRLs) können unter dem folgenden Link https://www.swisssign.com/support/ca-prod.html heruntergeladen werden.

Gemäss CP/CPS muss die Sperrlistendatei für Zertifikate (CRL) mindestens alle 24 Stunden aktualisiert werden. In der Praxis aktualisiert SwissSign diese häufiger, nämlich auf Stundenbasis.

Grundsätzlich ist eine CRL-Datei zehn Tage gültig, daher enthält diese den Vermerk «Nächstes Update ...» (Erstellungsdatum+zehn Tage). Das ist bedingt durch die Regelung im Force-majeure-Fall: Hier sollte bei Ausfall der Systeme die Sperrlistendatei spätestens nach zehn Tagen wieder aktualisiert werden.

Mein Betriebssystem oder meine Anwendung zeigt mir Fehler an bzw. ich weiss nicht, wie ich das Zertifikat richtig installieren soll.

SwissSign trägt in den FAQs und Dokumentationen bekannte Probleme und deren Lösungen zusammen. Leider können wir keinen direkten Support hierzu leisten. Die Kernkompetenz der SwissSign AG ist die Erstellung standardisierter, vertrauenswürdiger Zertifikate. Da SwissSign weder Applikationen noch Betriebssysteme entwickelt, grenzt sich SwissSign vom Support von Applikationen und Betriebssystemen bewusst ab.

Vielleicht kann Ihnen aber einer unserer Partner bei seiner Applikation weiterhelfen: SwissSign Partner

Die Rootzertifikate von SwissSign werden in den am häufigsten genutzten Browsern installiert. Aktualisieren Sie Ihren Browser mit der neuesten Version und installieren Sie die neuesten Rootzertifikate von der Windows-Update-Seite. 

Informationen zur Kompatibilität und Verbreitung der SwissSign Rootzertifikate finden Sie hier: Kompatibilität | SwissSign

SwissSign erlaubt die Generierung eines eigenen Schlüsselpaares – privater und öffentlicher Schlüssel bei allen Angeboten. Die Mindestlänge des Schlüssels muss 2048 Bit sein.

Es ist zudem möglich, dass Ihr Webserver nicht die vollständige Zertifikatskette an Clients sendet. Dieses Problem lösen Sie mit der Funktion «SSLCertificateChainFile» in der Apache-Konfiguration.

Mit SwissSign SSL Zertifikaten erwerben Sie unlimitierte Serverlizenzen. Im Gegensatz zu den meisten anderen SSL Zertifikaten können Sie Ihr SwissSign SSL unbegrenzt nutzen.

Zertifikate samt privatem Schlüssel (.p12, PKCS#12)*

*Dieses Verfahren ist für SSL Zertifikate nicht anwendbar! 

.p12- oder PKCS#12-Formate enthalten ein öffentliches Zertifikat und den privaten Schlüssel (passwortgeschützt). Die Dateien .p12 oder PKCS#12 werden zum Beispiel zum Installieren in E-Mail-Programmen, Betriebssystemen und Webservern verwendet.

Bei Webservern ist die gesamte Zertifikatskette zu installieren. Die CA, die das Zertifikat ausgibt, vertraut typischerweise einer höher angesiedelten CA, die z.B. wiederum dem Rootzertifikat der SwissSign vertraut. Nur das Zertifikat der Root-CA der SwissSign ist bei allen Browsern anerkannt. Bitte laden Sie deshalb die Zertifikate der Zwischen-CAs auf der Download-Seite herunter und installieren Sie diese ebenfalls. Dies betrifft nur Personen, die einen Webserver installieren, und nicht Endnutzer.

Zertifikate ohne privaten Schlüssel

• .cer: DER- oder BASE64-codiert
• .crt: DER- oder BASE64-codiert
• .pem: Base64-kodiertes Zertifikat, umschlossen von «-----BEGIN CERTIFICATE-----» und «-----END CERTIFICATE-----»
• .p7b (Zertifikatskette): Zertifikate im Base64-kodierten ASCII-Format (z.B. für Windows OS, Java Tomcat)
• .p7c (Zertifikatskette): PKCS#7-signierte Datenstruktur ohne Dateninhalt, nur mit Zertifikat/en inklusive der gesamten Zertifikatskette (z.B. für Windows OS, Java Tomcat)
• .pem (Zertifikatskette): Base64-kodiertes Zertifikat inklusive kompletter Zertifikatskette (z.B. für Apache und ähnliche Plattformen)

Das Format .pfx ist deckungsgleich mit dem .p12-Format. Laden Sie das .p12-Format herunter und benennen Sie die Extension der Datei in .pfx um.

Wenn Sie das Passwort des privaten Schlüssels vergessen oder verlieren, kann SwissSign Ihnen leider nicht weiterhelfen. Das Passwort kann nicht wiederhergestellt oder zurückgesetzt werden. Es bleibt Ihnen leider nichts anderes übrig, als ein neues Zertifikat zu beantragen und das Passwort gut zu verwahren.

• Erstellen Sie auf dem Synology-System einen CSR – einen Zertifikatsantrag –, damit ist dann auch gleich das Schlüsselpaar auf dem Synology-Server erstellt.

• Nach der Ausstellung laden Sie von swisssign.net das Zertifikat im Format .pem herunter. Alle anderen Formate können Fehlermeldungen provozieren wie z.B.: «Die Dateikodierung muss als UTF-8 gespeichert werden.»

• Laden Sie zudem das Zwischenzertifikat (Typ G22) von der Downloadseite herunter.

• Nun können Sie auf dem Synology-Server die Dateien «privater Schlüssel» (lokal erzeugt) sowie das Zertifikat im .pem-Format und das Zwischenzertifikat im .perm-Format laden.

Dies kann grundsätzlich zwei Ursachen haben:

• Beim Aufsetzen einer SSL-Verschlüsselung oder auch in E-Mail-Systemen ist vergessen worden, ein Zwischenzertifikat zu installieren. Siehe FAQ «Mein Zertifikat läuft auf meinem Betriebssystem oder Browser nicht, obwohl SwissSign diese unterstützt».

• Der Kunde betreibt in seinem Proxy eine sogenannte «SSL Inspection». Diese Funktionalität bricht die verschlüsselte Verbindung auf und prüft die Kommunikation auf nicht zugelassene Inhalte oder sogar Malware beim Download. SSL Inspection arbeitet in der Regel mit nicht vertrauenswürdigen, eigenen Zertifikaten. Somit sind nicht nur Seiten mit SwissSign Zertifikaten, sondern auch andere Seiten betroffen. Abhilfe schafft das Herauskonfigurieren der betreffenden Seite im Proxy.

Häufig basieren diese Probleme nicht auf fehlenden oder fehlerhaften Root-Zertifikaten in den Betriebssystemen oder Browsern, sondern es wurde beim Aufsetzen einer SSL-Verschlüsselung oder auch in E-Mail-Systemen vergessen, ein Zwischenzertifikat zu installieren.

Zertifikate sind hierarchisch angeordnet: Das Zertifikat selber vertraut einem Zwischenzertifikat, ggfs. vertraut dieses einem weiteren Zwischenzertifikat usw. Schliesslich vertrauen die Zwischenzertifikate auch wieder den Root-Zertifikaten, die in den Browsern und Betriebssystemen gelistet sind. Da die Browser und Betriebssysteme nur die Root-Zertifikate enthalten, ist die Vertrauenskette ohne Zwischenzertifikate unterbrochen.

Im Windows-Umfeld kommen diese Probleme seltener vor, da Microsoft Windows bzw. die Windows-Browser versuchen, Zwischenzertifikate zwischen zu speichern, sobald eine Seite z.B. mit korrekter Installation eines SwissSign Zertifikates einmal aufgerufen wurde. Diese Zwischenspeicherung wird dann automatisch herangezogen, wenn das Zwischenzertifikat nicht korrekt installiert wurde, und der «Fehler» fällt dem Anwender gar nicht auf.

Bei Linux hingegen fällt die fehlende Konfiguration sofort auf. Abhilfe schaffen der Download der gesamten Zertifikatskette und die Installation der Zertifikatskette inklusive Zwischenzertifikaten:

Anleitung für bisherige CA (swisssign.net):

• Öffnen Sie hierzu den Link, den Sie bei der Zertifikatsausstellung erhalten haben, um die Zertifikate herunterzuladen. Alternativ können Sie auch Ihr Zertifikat auf swisssign.net suchen und dann die Schaltfläche «Herunterladen» betätigen.
• In den angebotenen Downloadformaten wählen Sie die Datei mit der Endung .p7c oder .pem (ganze Zertifikatskette). Alle anderen Downloads – auch die .p12-Datei – enthalten keine Zwischenzertifikate.

Anleitung für neue CA (ra.swisssign.ch):

• Öffnen Sie hierzu den Link, den Sie bei der Zertifikatsausstellung erhalten haben, um die Zertifikate herunterzuladen. Alternativ können Sie auch Ihr Zertifikat auf ra.swisssign.ch, Menü «Bestellungen und Zertifikate» suchen.
• Sieh haben dann die Möglihchkeit, das Zertifikat herunterzuladen:
  • Im PEM- bzw. base64-Format
  • Direkt im DER-Format
  • Als Zertifikatskette (PKCS#7-Format)

Bevor ein SSL Zertifikat ausgestellt werden kann, muss ein Schlüsselpaar und eine technische Zertifikatsanforderung – ein Certificate Signing Request (CSR) – erstellt werden. Die CSR-Datei muss aus regulatorischen Gründen kundenseitig erstellt werden. Beispiele für Software zur CSR-Erstellung sind:

• Download < https://www.openssl.org/source/>
• Bedienungsanleitung < https://www.openssl.org/docs/man3.0/man7/crypto.html>
• (Java) KeyStore Explorer

Für die Umformatierung gibt es verschiedene Werkzeuge. Z.B. erlaubt der Windows-Zertifikats-Viewer die Speicherung eines Zertifikats in den folgenden Formaten:

• Direkt im binären Format (DER – «Distinguished Encoding Rules)
• Als Text-Datei codiertes Format (Base64 bzw. PEM – «Privacy Enhanced Mail»)
• Im PKCS#7-Format (p7b bzw. CMS – «Cryptographic Message Syntax)

Certification Authority Authorization (CAA) ist ein 2013 publizierter Internetstandard mit der Bezeichnung RFC 6844.

Domänennamen sind ähnlich einem grossen Telefonbuch in einem weltweit verteilten Register mit Namen aufgeführt, dem sogenannten Domain Name Service oder kurz DNS. Eine Webseite mit einem klingenden Namen, wie www.swisssign.com wird durch diesen Dienst in eine Internetadresse, wie z.B. «46.175.9.80» umgesetzt und so für verschiedene Internetdienste, beispielsweise einem Browser erreichbar. Der Domain Name Service erlaubt neben der Umsetzung verschiedene Zusatzinformationen, wie Namen und Adresse des Eigentümers einer Webseite.

Durch den Standard CAA werden nun weitere Informationen für diese Domänen gespeichert: Es wird festgehalten, welche Zertifizierungsstelle für die genannte Domäne ein Zertifikat ausstellen darf. Ist keine Zertifizierungsstelle eingetragen, kann jede ein Zertifikat ausstellen, anderweitig darf eine Zertifizierungsstelle kein Zertifikat für die Domäne ausstellen, sofern ihr Name dort nicht genannt wurde.

CAA ist ein Verfahren, bei dem der Domäneneigentümer festlegen kann, welche CA für seine Domäne Zertifikate ausstellen darf.  Hierzu wird im DNS ein sogenannter CAA record eingetragen. SwissSign überprüft ab September 2017 alle Domänen vor Zertifikatsausstellung darauf, ob Sie eine Einschränkung in ihrem CAA record haben. Domänen, die eingeschränkt wurden, Zertifikate von Zertifizierungsstellen anzunehmen, die nicht SwissSign heissen, werden im Zertifikat nicht zugelassen. Der Zertifikatsantrag wird abgelehnt. Sofern keine Einschränkung platziert wurde oder der CAA record SwissSign zulässt, wird das Zertifikat genehmigt.

Der CAA Konfigurator hilft Ihnen, die exakte Einstellung für Ihre Webseite zu finden.

Anbei einige Beispiele abhängig von der eingesetzten DNS Technologie:

Erlaubnis für SwissSign Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue "swisssign.com"

Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 20 0005697373756573776973737369676E2E636F6D

Erlaubnis für SwissSign Nicht-Wildcard Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue "swisssign.com"

example.com.     IN       CAA      0 issuewild ";"

 Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 20 0005697373756573776973737369676E2E636F6D

example.com.     IN       TYPE257  \# 12 0009697373756577696C643B

Erlaubnis für SwissSign Nur Wildcard Zertifikate auszustellen

Standard BIND Zone File

For BIND ≥9.9.6, PowerDNS ≥4.0.0, NSD ≥4.0.1, Knot DNS ≥2.2.0

example.com.     IN       CAA      0 issue ";"

example.com.     IN       CAA      0 issuewild "swisssign.com"

Legacy Zone File (RFC 3597 Syntax)

For BIND <9.9.6, NSD <4.0.1

example.com.     IN       TYPE257  \# 8 000569737375653B

example.com.     IN       TYPE257  \# 24 0009697373756577696C6473776973737369676E2E636F6D

Leider Nein, da Sie gemäss www.whois.ch nicht Besitzer der Domäne dyndns.ch oder dyndns.org sind und DynDNS keine Domainvalidierung vornimmt, wird es schwierig, eine Bestätigung des Besitzers zu erhalten, welche auch überprüfbar ist.

Ja dies ist möglich. Um ein SSL Gold EV Zertifikat zu erwerben, müssen auch Vereine eine Registernummer angeben.

In der Schweiz können Vereine wie Unternehmen eine Unternehmens-ID (UID) beantragen. Diese ist nicht zu verwechseln mit der EU-Umsatzsteuer-ID (EU-UID). Vereine mit einem Jahresumsatz unter CHF 150'000 sind zwar befreit von der Mehrwertsteuer, erhalten auf Anfrage aber eine Unternehmens-ID. Diese UID ist als Registernummer in das Zertifikat einzutragen.

Deutsche Vereine sind als eingetragene Vereine im Vereinsregister eingetragen und können diese Nummer verwenden.

SwissSign kann die Schweizer UID einsehen. Sofern Sie die Sichtbarkeit Ihrer UID nicht eingeschränkt haben, reichen Ihre Vereinsangaben aus. Andernfalls geben Sie uns bitte eine UID Bestätigung mit. Ausländische Vereine legen bitte einen Registerauszug zur Bestätigung bei.

Die Unternehmens-Identifikationsnummer (UID) ersetzt die bisherige Firmennummer im Handelsregister.

Das Bundesamt für Statistik (BFS) ordnet jedem in der Schweiz wirtschaftlich aktiven Unternehmen, eine eindeutige und übergreifende Unternehmens-Identifikationsnummer (UID) zu. Diese ermöglicht es den Unternehmen, sich bei allen Behördenkontakten mit ein und derselben Nummer zu identifizieren.

In den SwissSign SSL Gold EV Zertifikaten wird seit diesem Zeitpunkt auf die UID referenziert.

SSL Zertifikate gibt es grundsätzlich in drei Ausprägungen:

• Single-Domain: Nutzbar nur für eine spezifische Webseite. Beispiel: mywebsite.com.
• Multi-Domain: Nutzbar für mehrere Webseiten/Domänen. Beispiel: mywebsite.com, yourwebsite.com, hiswebsite.ch.
• Wildcard: Nutzbar für jede Webseite mit einem festgelegten Domänennamen. Beispiel: db.mywebsite.com, mail.mywebsite.com, sap.mywebsite.com etc.

Multi-Domain Zertifikate werden auch oft UCC/SAN (Unified Communication Certificates/Subject Alternative Name) genannt, da sie prädestiniert sind für den Einsatz bei Exchange in einer Microsoft Umgebung. Im SAN Feld des Zertifikates befindet sich bei den Multi-Domain und Wildcard Zertifikaten ein Eintrag, welcher auf die weiteren Domänen oder auf das Wildcard hinweist.

Sehr häufig werden Multi-Domain oder Wildcard Zertifikate auch wegen ihres Preisvorteils verwendet. Kopien des gleichen SwissSign Zertifikates können beliebig auf verschiedenen Servern eingesetzt werden. So kann ggfs. mit einem Wildcard Zertifikat eine komplette Firmenumgebung abgesichert werden. Die Möglichkeiten mit einem Wildcard Zertifikat sind auf der einen Seite sehr bequem, können auf der anderen Seite aber in grossen Firmenstrukturen auch riskant sein: Sollte ein privater Schlüssel dieses Zertifikates auf einem der vielen Server kompromittiert werden und damit eine betrügerische Webseite mit ihrem Domänennamen als Man-in-the-Middle geschaltet werden, fällt das kaum auf und der Schaden ist gross. Zumal diese betrügerische Seite perfekt mit einem Zertifikat des Unternehmens geschützt ist. Daher dürfen Wildcard Zertifikate auch nicht mit dem EV Standard angeboten werden.

Multi-Domain Zertifikate haben dieses Problem nicht.

Mit den vielen SAN Einträgen steigt aber die Gefahr, dass das Multi-Domain Zertifikat vorzeitig ausgetauscht werden muss: Häufig befinden sich unter den Domänen auch solche, die einem selber nicht gehören und für die bei Ausstellung eine Vollmacht ausgestellt werden musste. Fällt eine Domäne weg, dann wird das Zertifikat ungültig und sämtliche eingesetzte Multi-Domain Zertifikate müssen ausgetauscht werden.

Wie bei jeder Entscheidung müssen Nutzen, Gefahren und Risiken abgewogen werden. In kleinen überschaubaren Umgebungen oder für den Einsatz in Microsoft UCC Umgebungen gibt es sicherlich gute Gründe für einen Einsatz dieser Zertifikate. Beachten Sie speziell zum Einsatz auf einer Microsoft Exchange Umgebung auch unseren gesonderten FAQ «UCC/SAN – Wildcard oder Multi-Domain für Microsoft Exchange?»

Nein, das ist gemäss RFC 2818 nicht erlaubt.

Wir empfehlen daher den Kauf von zwei SSL Wildcard Zertifikaten: eines für *.mydomain.com und eines für *.sub2.mydomain.com. Es ist bei SwissSign SSL Wildcard Zertifikaten auch nicht möglich, unterschiedliche Alternative Names (SAN) anzugeben.

Die alte CA-Plattform bietet die Möglichkeit, neben der Wildcard-Domain (z.B. «*.swisssign.com») auch die «Base Domain» (z.B. «swisssign.com») aufzunehmen. Die neue CA-Plattform bietet diese Möglichkeit auch, gehen Sie dazu während eines Beantragungs-Vorgangs für ein Wildcard-Zertifikate wie folgt vor:

• Klicken Sie unter dem Absatz «DNS» den Button «+Element hinzufügen»
• Geben Sie im Feld «DNS1*» den Wildcard-Eintrag ein, also z.B. «*.swisssign.com»
• Geben Sie im Feld «DNS2*» den Base-Domain-Eintrag ein, also z.B. «swisssign.com»
• Fahren Sie wie üblich mit dem Ausstellungsprozess fort.

Grundsätzlich ist der Erwerb eines E-Mail-Zertifikates für einen Team Account möglich. Allerdings ist das weiterhin ein persönliches Zertifikat und verlangt einen Schlüsselverantwortlichen.

Es gelten hier die Regelungen der CP und der CPS. Diese sehen Folgendes vor:

• Wurde das Zertifikat als Gold Zertifikat erworben, so ist hierfür anstelle des Vornamens und Namens die Bezeichnung «pseudo:» zu verwenden (Pseudonym-Zertifikat). Beispiel: pseudo: Sales Team

• Bei Silver Zertifikaten, die nur E-mail-validiert sind, kann jede E-Mail-Adresse zertifiziert werden, sofern überprüft wurde, dass diese E-Mail-Adresse existiert.

Die Verschlüsselung des E-Mails findet mit Hilfe des Empfänger-Zertifikats statt. Daher ist es notwendig, dass der Sender das Zertifikat des Empfängers erhält. Dies kann manuell geschehen oder in dem ein entsprechender Secure Mail Gateway, die Zertifikate aus eingehenden E-Mails sammelt.

E-Mails werden mit dem Public Key (öffentlicher Schlüssel) des Empfängers verschlüsselt und dem Private Key (privater Schlüssel) des Empfängers entschlüsselt. Signiert wird mit dem Zertifikat.

• Zertifikate bzw. das Passwort zum privaten Schlüssel können verlorengehen. Die mit diesem Zertifikat verschlüsselten E-Mails können nie mehr und durch niemanden mehr gelesen werden.

• Zertifikate werden erneuert, aber es wird vergessen, das abgelaufene alte Zertifikat ebenfalls noch zu installieren. Alle alten aufbewahrten E-Mails können nicht mehr gelesen werden. Zugriff nach Zertifikats-Ablauf

• Ein Mitarbeitender verlässt die Firma oder ist längere Zeit abwesend. Seine E-Mails können durch keinen anderen mehr gelesen werden.

• Ein Virus oder Trojaner wird mit einer verschlüsselten E-Mail zugesendet. Kein Virenschutzprogramm kann eine verschlüsselte E-Mail durchsuchen, der Virus oder Trojaner kann ungestraft eindringen. Somit kann Verschlüsselung in diesem Falle sogar ein Sicherheitsrisiko bedeuten.

Die digitale Signatur einer signierten E-Mail wird als Anlage gesendet. Diese Anlage wird vom E-Mail-Programm des Empfängers automatisch geprüft. Bei den meisten Webmail-Providern wie z.B. Gmail oder Hotmail wird die Signatur allerdings nur als Anlage mit dem Dateinamen smime.p7s angezeigt, ohne dass eine Signaturprüfung durchgeführt wird.

Der E-Mail-Client stuft den Aussteller des Zertifikates als nicht vertrauenswürdig ein. Dies kann behoben werden, indem man den Aussteller als vertrauenswürdig bezeichnet. Üblicherweise übernehmen die Hersteller dieser Programme diese Aufgabe mittels ihrer Root-Store-Programme.

Indem Sie den Herausgeber SwissSign als vertrauenswürdige Root eintragen. Das heisst, Sie beantworten die Frage «Wollen Sie dem Herausgeber vertrauen?» mit Ja. Wenn Sie einen Firmen-PC nutzen, bitten wir Sie, sich an Ihren IT-Support zu wenden.

Sehr häufig benötigen unsere Kunden ein Zertifikat, um sich auf einer Webseite zu authentisieren (anzumelden).

Für so eine TLS-WWW-Client-Authentisierung ist das Zertifikat Pro S/MIME E-Mail ID Gold mit Authentisierung vorgesehen. Es kann zudem auch zur E-Mail-Verschlüsselung und -signierung genutzt werden.

Bitte folgen Sie den Angaben auf der folgenden Webseite: Managed PKI Service | SwissSign

Für den Zugriff auf Ihre neue MPKI brauchen Sie ein SwissID Login mit entsprechender 2-Faktoren Autorisierung.

Beachten Sie dabei, dass Sie für das Login zwingend die E-Mail Adresse nutzen müssen, die Sie in den Bestellunterlagen zu Ihrer MPKI angegeben haben.

Auf dieser Seite finden Sie eine Schritt-für-Schritt Anleitung zur Erstellung Ihrer SwissID. 

Stellen Sie sicher, dass Sie das Onboarding auf die SwissID gemäss dieser Anleitung ausgeführt haben. 

Stellen Sie sicher, dass die SwissID mit der gleichen E-Mail Adresse registriert wurde, die in den Vertragsunterlagen unter der Rubrik «RA Operatoren» angegeben wurde.

Allenfalls wurde Ihre Identifikation zur manuellen Überprüfung an unser Back-Office weitergeleitet. Sie erhalten eine E-Mail, sobald die Identifikation erfolgreich abgeschlossen werden konnte.

Ja, das ist möglich. Senden sie uns den gescannten und wenn notwendig unterschriebenen Vertrag zusammen mit den kompletten Antragsunterlagen an [email protected]

Alternativ können Sie uns die Bestellung auch wie bis anhin auf dem Postweg zustellen:

SwissSign AG
Sales & Partner Management
Sägereistrasse 25
8152 Glattbrugg Schweiz

Der Eingang der Bestellung wird von SwissSign per E-Mail bestätigt.

Das Einsenden des Dokuments «Vertrag und Bestellung Managed PKI Services» gilt als verbindliche Bestellung einer zahlungspflichtigen Leistung. Vertragslaufzeit und Verrechnungsperiode beginnen mit dem Datum der Bestellung.

Die Leistungsperiode der Managed PKI beträgt immer ein Jahr und verlängert sich automatisch um ein Jahr, wenn der Vertrag nicht gekündigt wird. Bei Vertragskündigung werden die noch aktiven Zertifikate auf den Kündigungstermin zurückgezogen (revoziert).

Domänen-Angaben

Die Angabe der SSL oder E-Mail-Domänen erfolgen ohne Zuordnung zu einem speziellen Zertifikatstyp. Das heisst, Sie können später für alle genannten SSL Domänen ein beliebiges SSL Zertifikat, das Sie bestellt haben, ausstellen. Analog können die bestellten E-Mail ID Zertifikate für alle genannten E-Mail Domänen ausgestellt werden.

Domänenzugriffsberechtigung

Sie weisen Ihre Zugriffsberechtigung durch Publikation eines Random value (Geheimnis) nach (im DNS), welches Sie über den MPKI-Zugang beziehen.

Veröffentlichung von Zertifikaten

SwissSign führt auf directory.swisssign.ch ein allgemeines Verzeichnis aller veröffentlichten E-Mail Zertifikate (via LDAP-Protokoll erreichbar). Dieses Verzeichnis ist öffentlich und vergleichbar mit einem Telefonbuch. Gerade für eine verschlüsselte E-Mail-Kommunikation ist das sinnvoll, damit Ihr Kommunikationspartner mit Ihrem im Zertifikat befindlichen öffentlichen Schlüssel die Nachrichten an Sie verschlüsseln kann.

Das öffentliche Verzeichnis kann durch Parametereingabe direkt in die E-Mail-Programme eingebunden werden, um die Verschlüsselung innerhalb der E-Mail-Programme durch automatisierten Abruf der Zertifikate durchzuführen.

Falls Sie Ihre Zertifikate nicht im Verzeichnis aufgeführt haben möchten, wählen Sie den Auswahlknopf «Ich möchte meine Zertifikate nicht veröffentlichen.». Sie können diese Einstellung auch nachträglich gegen eine Gebühr von 150 CHF resp. 135€ ändern lassen.

LDAP-Parameter:

• Verzeichnis: directory.swisssign.ch.
• Suchbasis: ‹o=SwissSign AG,c=CH›.

DV SSL Silver Zertifikate

Zertifikate der Stufe DV bzw. Silver werden als domänenvalidiert ausgewiesen. Im Zertifikat ist nur die E-Mail- oder Webserver-Adresse eingetragen. Sie können zudem auch den Organisationsnamen beinhalten. Eine Verschlüsselung und Signatur bei E-Mail-Zertifikaten ist möglich, aber keine Authentisierung. Zertifikate der Stufe DV sind in den MPKI Produkten DV, OV und EV enthalten.

OV SSL Gold Zertifikate

Zertifikate der Stufe OV / Gold werden als organisationsvalidiert oder personenvalidiert ausgewiesen. Es besteht ein Organisationseintrag und bei E-Mail (S/MIME) Zertifikaten ein Personeneintrag im Zertifikat. Zertifikate der Stufe OV sind in den MPKI Produkten OV und EV enthalten.

EV SSL Gold Zertifikate

Sie können im Rahmen der Managed PKI auch EV SSL Gold Zertifikate für Ihr Unternehmen ausstellen. Diese werden gründlich organisationsvalidiert. Zertifikate der Stufe EV sind im MPKI Produkt EV enthalten.

Bitte beachten Sie, dass für Zertifikate mit Organisationseintrag immer eine eigene Bestellung bzw. Annahmeerklärung eingereicht werden muss.

Für den Zugang zu Ihrer MPKI muss Ihre SwissID auf ein höheres Vertrauensniveau gehoben werden. Wie das geht, erfahren Sie unter dem folgenden Link, der Ihnen Schritt-für-Schritt hilft, Ihre Identität zu verifizieren:

https://www.swisssign.com/support/dokumentationen/ra-operator-onboarding.html

Das Anlegen eines SwissID Kontos braucht nur wenige Minuten. Wichtig ist, dass Sie dabei als MPKI Operator immer die E-Mail-Adresse nutzen, die in der MPKI Bestellung im Abschnitt «RA Operatoren» hinterlegt wurde. Danach folgen Sie bitte der Schritt-für-Schritt Anleitung unter folgendem Link:

https://www.swisssign.com/support/dokumentationen/ra-operator-onboarding.html

Wenn Sie sich als MPKI Operator plötzlich nicht mehr auf Ihrer MPKI einloggen können, kann das damit zusammenhängen, dass die letzte Überprüfung Ihrer Identität bereits vor mehr als einem Jahr stattgefunden hat und deshalb eine Re-Identifikation notwendig ist. Bitte beachten Sie, dass Sie kein neues SwissID Konto anlegen müssen und direkt auf der SwissID App mit der Identifikation starten können. Beginnen Sie direkt in Kapitel 2 der Schritt-für-Schritt Anleitung unter dem folgenden Link:

https://www.swisssign.com/support/dokumentationen/ra-operator-onboarding.html