Zur Zertifikatsübersicht gelangt man entweder aus dem Hauptmenü des Portals über die Karte „Zertifikate“ im Menüpunkt „Zertifikatsverwaltung“ oder aus dem Burger-Menü im Header über den Menüpunkt „Zertifikatsverwaltung“ und die Karte „Zertifikate“.

Über den Button „Zurück“ gelangt man aus der Zertifikatsübersicht zurück zum Menüpunkt „Zertifikatsverwaltung“.

Übersichtstabelle

In der Zertifikatsübersicht sind die verfügbaren Zertifikate derjenigen Mandanten verzeichnet, die dem Benutzer zugeordnet sind. Die Übersicht enthält folgende sortierbare Spalten:

• Mandanten-Nr.
• Organisationseinheiten-Nr.
• Antragsteller (CN)
• Gültig von
• Gültig bis
• Zweck („Browser-Zertifikat“ / „Webservice-Zertifikat“)
• von Drittanbieter („ja“ / „nein“)
• Status („erstellt“ / „gültig“ / „gesperrt“ / „abgelaufen“)

Mandantennummer, Organisationseinheitennummer, Antragsteller (CN) und Verwendungszweck werden aus dem Zertifikatsantrag übernommen. Bei seiner Erstellung wird das Zertifikat dieser Organisationseinheit automatisch zugeordnet und gleichzeitig ein Gültigkeitszeitraum sowie ein Alias als Identifikator erzeugt. Über den Plus-Button lassen sich Zertifikate von Drittanbietern importieren. Dafür muss eine CRT-Datei geladen und wie im Antrag wiederum ein Mandant und (nach dem Klick auf den Pfeil-Button rechts daneben) eine Organisationseinheit in Feldern mit Autovervollständigung für die Zuordnung ausgewählt und gespeichert werden. In der Übersichtsspalte „von Drittanbieter“ wird dementsprechend angezeigt, ob ein Zertifikat von einem Drittanbieter stammt oder nicht.

Hat man das Zertifikat beispielsweise über die Zertifikatsverwaltung der ePayBL der Linien 2.x oder 3.x erzeugt und liegen diese als Keystore im PKCS12-Format vor, können sie mittels openssl in das PEM-Format umgewandelt werden:

openssl -in zertifikatsstore.p12 -out zertifikat.crt

Zertifikat in der Zertifikate-Applikation herunterladen

Nachdem in der Zertifikate-Applikation oder im Portal ein Zertifikatsantrag erstellt und genehmigt wurde, wird ein Zertifikat erstellt und in der Zertifikatsübersicht im Status „erstellt“ angezeigt. Gleichzeitig erhält der Antragsteller eine E-Mail-Benachrichtigung über das erstellte Zertifikat mit einem Link zur Zertifikate-Applikation zum Herunterladen (Erläuterungen dazu siehe unter: E-Mail-Vorlagen). Sobald das erstellte Zertifikat über diesen Link heruntergeladen wurde, ist das Zertifikat verwendbar und der Statuswert ändert sich in „gültig“.

Buttons in der Zertifikatsübersicht

Für jedes Zertifikat befinden sich in der letzten Übersichtsspalte fünf Aktions-Buttons:

Über den ersten Aktions-Button lassen sich die Zertifikatsdetails in einer Lightbox ansehen. Neben den Informationen aus der Zertifikatsübersicht wird darin zusätzlich der Distinguished Name (DN) angezeigt. Die einzelnen Felder sind dabei nicht editierbar.

Über den zweiten Aktions-Button kann man ein Zertifikat im Status „erstellt“ oder „gültig“ weiteren Organisationseinheiten zuordnen. Hierzu öffnet sich eine Lightbox, in der zunächst die besitzende Organisationseinheit aus dem Antrag bzw. aus dem Import eines Drittanbieter-Zertifikats als implizit zugeordnete Organisationseinheit zu sehen ist. Darunter werden links die Organisationseinheiten angezeigt, die zusätzlich verfügbar sind. In dieser Liste können ein oder mehrere Organisationseinheiten ausgewählt werden und über den Pfeil-Button nach rechts in die Auswahlliste verschoben werden. Umgekehrt lassen sich ausgewählte (zugeordnete) Organisationseinheiten über den Pfeil-Button nach links auch wieder zurücksetzen. Die hier zusätzlich zugeordneten Organisationseinheiten werden nach dem Speichern nicht in der Zertifikatsübersicht angezeigt. Die Übersichtstabelle enthält jeweils nur die besitzende Organisationseinheit aus dem Zertifikatsantrag. Die Zuordnung zur besitzenden Organisationseinheit lässt sich nicht entziehen.

Nach der Zuordnung wird das Zertifikat automatisch – sofern diese verwendet wird – in der jeweiligen Client-Authentifizierung sämtlicher zugeordneter Organisationseinheiten angezeigt (Erläuterungen dazu siehe unter: Client-Authentifizierung). Dort wird die Verwendung für die Client-Authentifizierung des Zertifikats zunächst als „inaktiv“ angezeigt und muss für den konkreten Einsatz noch auf „aktiv“ geändert werden.

Wenn nun einem Zertifikat in der Zertifikatsübersicht eine Zuordnung wieder entzogen werden soll, wird beim Speichern überprüft, ob die Client-Authentifizierung der ursprünglich zugeordneten Organisationseinheit überhaupt verwendet wird und ob es in der Client-Authentifizierung dieser Organisationseinheit das einzige verwendbare aktive Zertifikat ist. In diesem Fall erscheint eine Fehlermeldung. Nur wenn eine der beiden Validierungen nicht zutrifft, lässt sich die Zuordnung entziehen. Falls die Zertifikatszuordnung mehreren Organisationseinheiten gleichzeitig entzogen werden soll, muss dies für alle möglich sein, ansonsten erscheint ebenso eine Fehlermeldung. Um die Zertifikatszuordnung in der Zertifikatsübersicht entziehen zu können, muss ggf. ein neues Zertifikat erstellt oder ein vorhandenes Zertifikat zugeordnet und in der Client-Authentifizierung aktiviert werden.

HINWEIS: Aus Sicherheitsgründen empfiehlt es sich jedoch, ein Zertifikat nur für die im Antrag bzw. beim Import angegebene Organisationseinheit zu verwenden und nicht weiteren Organisationseinheiten zuzuordnen.

Über den dritten Aktions-Button ist es für Zertifikate im Status „erstellt“ oder „gültig“ möglich, den Link zur Zertifikate-Applikation zum Herunterladen des Zertifikats erneut als E-Mail an den Antragsteller zu versenden (Erläuterungen dazu siehe unter: E-Mail-Vorlagen).

Über den vierten Aktions-Button lässt sich ein Zertifikat im Status „erstellt“ oder „gültig“ sperren (z.B. falls es kompromittiert sein sollte). Dabei wechselt der Status in „gesperrt“. Die besitzende Organisationeinheit erhält zudem eine E-Mail-Benachrichtigung über die Sperrung des Zertifikats (Erläuterungen dazu siehe unter: E-Mail-Vorlagen). Diese Aktion ist endgültig und irreversibel. Bei der Sperrung werden außerdem sämtlichen Organisationseinheiten automatisch die Zuordnungen entzogen, inklusive der impliziten Zuordnung zur besitzenden Organisationseinheit aus dem Zertifikatsantrag. Gesperrte Zertifikate haben daher in der Zertifikatsübersicht auch keinen Mandanten und keine Organisationseinheit mehr. Mit dem Entzug der Zuordnungen werden gesperrte Zertifikate darüber hinaus automatisch aus der Client-Authentifizierung aller ursprünglich zugeordneten Organisationseinheiten entfernt und sind für die Authentifizierung nicht mehr verwendbar (Erläuterungen dazu siehe unter: Client-Authentifizierung).

Über den fünften Aktions-Button schließlich kann man ein Zertifikat löschen. Wenn sich das Zertifikat im Status „erstellt“ oder „gültig“ befindet, wird ebenso wie beim Entzug einer Zuordnung validiert, ob die zugeordneten Organisationseinheiten die Client-Authentifizierung verwenden und ob es dort jeweils das einzige verwendbare aktive Zertifikat ist. Falls beide Bedingungen erfüllt sind, lässt es sich nicht löschen. Wenn sich das Zertifikat hingegen im Zustand „gesperrt“ oder „abgelaufen“ befindet, wird es ohne Validierung gelöscht. Noch etwaige bestehende Zuordnungen zu Organisationseinheiten werden dabei automatisch entzogen. Nach dem erfolgreichen Löschvorgang verschwindet das Zertifikat sowohl hier aus der Zertifikatsübersicht als auch aus der Client-Authentifizierung aller zuvor zugeordneten Organisationseinheiten.

Für die letzten beiden Aktionen können alternativ in der ersten Spalte der Zertifikatsübersicht ein oder mehrere Zertifikate im Status „erstellt“ oder „gültig“ ausgewählt und anschließend über den Button „Ausgewählte Zertifikate sperren“ gesperrt oder über den Button „Ausgewählte Zertifikate löschen“ gelöscht werden (ebenfalls unter den oben jeweils beschriebenen Voraussetzungen bzw. mit den entsprechenden Konsequenzen). Die Buttons sind erst aktiv, nachdem wenigstens ein Zertifikat ausgewählt wurde. Zertifikate im Status „gesperrt“ oder „abgelaufen“ lassen sich nicht auswählen.

Gültigkeitsprüfung

Erstellte und gültige Zertifikate werden dahingehend geprüft, ob ihre Gültigkeit demnächst abläuft. Die Zertifikat-Warngrenze für die Ablauffrist wird in den Portal-Systemeinstellungen konfiguriert (Erläuterungen dazu siehe unter: Portal-Systemeinstellungen). Wenn die Gültigkeit abgelaufen oder die Zertifikat-Warngrenze überschritten ist, wird eine Warnmeldung ausgegeben. Sobald die Gültigkeit eines Zertifikats abgelaufen ist, wechselt es automatisch in den Status „abgelaufen“. Gesperrte Zertifikate dagegen wechseln den Status auch nach Ablauf der Gültigkeit nicht mehr.

Zertifikate mit Statuswerten und Workflow

In der folgenden Abbildung werden noch einmal die Statuswerte der Zertifikate sowie die möglichen Aktionen mit dem dazugehörigen Workflow in der Zertifikatsübersicht dargestellt. Außerdem sind darin die Auswirkungen durch die Aktionen auf die Anzeige der Zertifikate in der jeweiligen Client-Authentifizierung der zugeordneten Organisationseinheiten angegeben.