scms admin-pki: checkliste für servicedesk flyer · amt für informatik und organisation scms...

Amt für Informatik und Organisation des Kantons Bern

Finanzdirektion

Office d'informatique et d'organisation du canton de Berne

Direction des finances

Wildhainweg 9 Postfach 6935 3001 Bern Telefon 031 633 59 00 Service Desk 031 633 44 44 Telefax 031 633 59 99 www.kaio.fin.be.ch

SCMS Admin-PKI: Checkliste für ServiceDesk

Flyer

Bearbeitungs-Datum: 6. Juni 2013

Version: 1A

Registraturplan-Nr.:

Dossier-Nr.: 143155

Dokument-Status: Freigegeben

Klassifizierung: frei

Ersteller: Müller Ueli

Verteiler: intern

Amt für Informatik und Organisation SCMS Admin-PKI: Checkliste für ServiceDesk

FIN_KAIO-#143155-v1A-SCMS_Admin-PKI_Flyer_Checkliste-ServiceDesk.DOCX Seite 2 von 11

1 Checkliste

Thema Erläuterung

Software

SafeNet/ATOS und SCKI Versionen prüfen. Rootzertifikat prüfen

Kartenleser und Karte

Kartenleser vorhanden und im System bekannt

Im Gerätemanager überprüfen, ob der eingebaute Karten Leser auch installiert ist.

Karte im Ersteinsatz Ist die Karte jemals schon nach der Auslieferung benutzt worden?

Karte schon mehrmals verwendet Wann wurde die Karte das letzte Mal aktiv einge-setzt

Karte richtig eingelegt Ist die Karte richtig im Leser eingesetzt worden, so dass der Chip auch zu den Kontakten kommt

Karte wird eingelesen Kann mittels SafeNet Tool die Karte gelesen wer-den

Karte nicht gesperrt Ist die Karte nicht gesperrt, das heisst, der PIN noch gültig

Pin ungültig und Karte gesperrt Die Karte muss mittels PUK entsperrt werden

Zertifikate

Zertifikat zeitlich gültig Das heutige Datum ist im Bereich Gültig von und Gültig bis der Zertifikate

Zertifikat nicht revoziert Das Zertifikat nicht in der CRL-Liste aufgeführt Zertifikate gültig Ist bei den Zertifikatsinformationen der gesamte

Zertifizierungspfad gültig. Benötigter Service bestellt und freige-

schaltet Für den Benutzer und sein gültiges Zertifikat ist der benötigte Service freigeschaltet.

Zertifikat für den benötigten Service vorhanden

Gewisse Services brauchen ein dafür vorgesehe-nes Zertifikat. Z.B. Sign für das Unterschreiben von E-Mails, oder Encrypt zum Verschlüsseln von Informationen. In der Regel sind auf einem Token je ein Authentisierung, Signatur und Encryption-Zertifikat vorhanden.

Renewal: genügend Platz auf der Kar-te

Vor dem Renewal Prozess muss sichergestellt sein, dass auf dem Token noch mindestens 14‘000 Byte Platz vorhanden ist.

Key Recovery: genügend Platz auf der Karte

Damit ein weiteres Encryption-Zertifikat geladen werden kann, muss auf dem Token genügend Platz vorhanden sein (Min 3‘000 Byte)

Weitere Fehlermeldungen aus anderen Services

Service BEWAN VPN

Error 31: The certificate "xy" associated with this Connection Entry no longer ex-ists or failed to open. Please select an-other certificate

Das Userzertifikat wurde im Cisco VPN Client nicht definiert oder der Token Inhalt wurde nicht erkannt.

Error 42: Unable to create certificate en-rollment request.

Betrifft hauptsächlich die externen User. Dieser Fehler erscheint, falls die Rootzertifikate: Swiss Government Enhanced CA 01 und Swiss Government Root CA I nicht erkannt oder im Cisco VPN Client importiert wur-

http://www.bit.admin.ch/adminpki/00247/00790/index.html?lang=de&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDeoB2fGym162epYbg2c_JjKbNoKSn6A--

http://www.bit.admin.ch/adminpki/00247/00790/index.html?lang=de&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDeoB2fGym162epYbg2c_JjKbNoKSn6A--



den Reason 402: The Connection Manager

was unable to read the connection entry, or the connection entry has missing or incorrect information.

Netzwerkeinstellungen auf dem Client sind nicht kor-rekt konfiguriert. Meisten ist folgende Einstellung akti-viert: „Gemeinsame Nutzung der Internetverbindung“ Diese Einstellung kann man in den Netzwerkeigen-schaften finden und deaktivieren.

Reason 403: Unable to contact the secu-rity gateway

Es besteht keine Netzwerkverbindung oder es existiert eine Firewall, die die Verbindung verhindert.

Reason 412: The remote peer is no long-er responding

Die Standard Ports, die Cisco VPN Client benötigt sind in der Netzwerkumgebung gesperrt. Um das Problem zu umgehen kann man Register: „Transfer“ die Option: IPsec over TCP/TCP Port: 10000 einstellen. Grundsätzlich muss das Problem aber auch beim Netzwerkprovider gemeldet werden.

Link für Rootzertifikate: http://www.bit.admin.ch/adminpki/00247/00790/index.html?lang=de Link für Admin-PKI Software: http://www.fin.be.ch/de/index/informatik/informatik/kaio-cisco.html

2 Inhaltsverzeichnis

1 Checkliste ............................................................................................................................... 2

2 Inhaltsverzeichnis .................................................................................................................. 3

4 Weiterführende Informationen .............................................................................................. 4 4.1 Root Zertifikat vorhanden und gültig ............................................................................. 4 4.2 Kartenleser vorhanden und im System bekannt ........................................................... 5 4.3 Ist die Karte richtig eingelegt? ...................................................................................... 5 4.4 SafeNet Version prüfen ................................................................................................ 6 4.5 SCKI Version prüfen ..................................................................................................... 7 4.6 Karte wird eingelesen ................................................................................................... 9 4.7 Karte ist nicht gesperrt .................................................................................................10 4.8 Platz auf der Karte .......................................................................................................11

http://www.bit.admin.ch/adminpki/00247/00790/index.html?lang=de

http://www.fin.be.ch/de/index/informatik/informatik/kaio-cisco.html



4 Weiterführende Informationen

4.1 Root Zertifikat vorhanden und gültig

Internet Explorer öffnen

Internetoptionen öffnen

Unter dem Reiter "Inhalte" den Menüpunkt Zertifikate öffnen

Unter "Vertrauenswürdige Stammzertifizie-rungsstellen" muss das Root Zertifikat "Swiss Government Root CA I" aufgeführt sein.



4.2 Kartenleser vorhanden und im System bekannt

Aufrufen des Gerätemanagers:

4.3 Ist die Karte richtig eingelegt?



Die Karte ist dann richtig eingelegt, wenn der Micro-Chip zum Benutzer zeigt und Richtung Leser eingeschoben wird. Es ist darauf zu achten, dass die Karte bis zum Anschlag eingeschoben wird. Meistens muss ein kleiner Anfangswiederstand überwunden werden.

4.4 SafeNet Version prüfen

Das SaveNet Tool aufrufen Rechts in der Symbolleiste den SafeNet Au-thentication Client mit der rechten Maustaste aufrufen.

Menüpunkt: "Info über"

Das "SafeNet Authentication Client Tools" sollte mindestens auf der Version 8.1 SP1 sein.



4.5 ATOS CardOS API

Die ATOS-Tools sind unter Start -> Programme -> CardOS API zu finden.

Im Viewer kann geprüft werden ob die Zertifika-te vorhanden sind. Entsprechender Kartenleser auswählen.



4.6 SCKI Version prüfen

Auf dem PC muss SCKI Version 2.1.0.11 sein.

Kontrolle (Wenn möglich): Start – Control Panel – Programs and Features (für Windows 7)

(Admin-Rechte notwendig)

Aufruf des Programmes via Link https://certrenewal.ssl.admin.ch/LBsorryLB/index.html

Im Willkommensfenster ist unten links die aktuell installierte Version angezeigt. Solange diese Versi-onsanzeige nicht rot ist, haben Sie die richtige Ver-sion der SCKI Software installiert.

Wenn auf dem PC eine alte Version installiert ist, sollte diese zuerst deinstallieren und danach die neue installiert werden. Die aktuelle Version des SCKI kann unter www.pki.admin.ch => Sup-

port => Downloads heruntergeladen und instal-liert werden (Admin-Rechte erforderlich).

https://certrenewal.ssl.admin.ch/LBsorryLB/index.html



4.7 Karte wird eingelesen

Mittels des SafeNet Authentication Client Tools kann überprüft werden, dass der Kartenleser die Karte lesen kann.

Kein Token wurde gelesen Der KAIO Token konnte gelesen werden

Bei ATOS wird dies im Viewer geprüft

Wenn keine Karte vorhanden ist wird dies wie folgt angezeigt



4.8 Karte ist nicht gesperrt

Mit dem SafeNet Authentication Client Tools können die Eigenschaften des Tokens angezeigt werden:

Über die "Erweiterte Ansicht" können die Ei-genschaften des Tokens angezeigt werden.

Wenn auf der linken Seite der KAIO Token an-gewählt ist, können Sie die wichtigen Informati-onen zum Token auslesen

Jetzt kann geprüft werden, ob der PIN noch gültig ist.

Es wird angezeigt, wie viele verblei-bende Versuche zur PIN - Eingabe noch möglich sind, bevor das Token gesperrt wird. Und hier wird angezeigt, welcher PUK zur Zeit in Einsatz ist: Gesamtzahl der Freigabecodes – Verbleibende Freigabecodes +1 6 – 6 + 1 = 1 (Erster PUK im Einsatz)



Ist der Wert bei "Verbleibende Versuche .." auf 0, so ist der Token gesperrt und muss mittels des nächsten PUK wieder entsperrt werden.

4.9 Platz auf der Karte

Unter den Token Informationen kann der verwendete Platz auf der Karte angezeigt werden:

Im vorliegenden Fall haben wir eine Karte mit 32 KByte Kapazität. Ca 20 KByte sind noch frei. Für einen Schlüssel (Key-Recovery) werden ca 3KByte benötigt.

scms admin-pki: checkliste für servicedesk flyer · amt für informatik und organisation scms...

Documents