Support
Häufig gestellte Fragen (FAQ)
xIDENTITY (EU-Identity Mobile)
Wenn das Passwort für die xIDENTITY verloren gegangen ist oder vergessen wurde, bleibt leider nur eine Möglichkeit: Sie müssen die xIDENTITY erneut beantragen. Aus Sicherheitsgründen dürfen nämlich nur die Nutzenden selbst ihr Passwort kennen.
Folgende Fehlermeldung wird angezeigt, wenn das Passwort falsch eingegeben wurde:
Sie haben insgesamt 10 Versuche das korrekte Passwort einzugeben. Zwischen den Versuchen werden Zeitsperren eingesetzt, welche sich kontinuierlich vergrößern.
Wenn der Aktivierungscode nicht älter als 3 Monate ist, können Sie diesen ein weiteres Mal benutzen, um Ihre Signatur freizuschalten. Ansonsten muss dieser neu beantragt werden.
Hier finden Sie noch einmal alle Möglichkeiten zur (Neu-)Aktivierung Ihrer xIDENTITY aufgelistet.
ACHTUNG: Nach erfolgreicher Freischaltung bekommen Sie ein Schreiben, welches Sie über den Widerruf der vorherigen xIDENTITY informiert. Die neue xIDENTITY wird dadurch nicht widerrufen.
Um Ihre xIDENTITY zu aktivieren, gibt es mehrere Optionen:
- Aktivierung über Video-Ident-Verfahren
- Aktivierung via Registration Officer
- Identifizierung via NFC Chip (z.B. mit dem neuen deutschen Personalausweis)
- Alle Aktivierungsmöglichkeiten im Überblick finden Sie hier.
Im A-Trust-Konto können Sie in der Rubrik "Signaturpasswort ändern" Ihr Signatur-Passwort ändern.
Das Signaturgesetz sieht vor, dass außer Ihnen niemand (und zu keiner Zeit) über Ihr persönliches Signatur-Passwort verfügen darf – auch die Firma A-Trust nicht. Daher ist es nicht möglich, Ihr Passwort zurückzusetzen.
Wenn Sie Ihr Passwort für die xIDENTITY vergessen oder verloren haben, bleibt daher nur eine Möglichkeit: Sie müssen die xIDENTITY erneut beantragen.
Nachträgliche Änderungen des Zertifikatsinhalts sind nicht möglich, da A-Trust für den Inhalt eines Zertifikats ab dem Zeitpunkt der Ausstellung haftet.
Bei Namensänderungen ist es daher nötig, eine neue xIDENTITY zu aktivieren.
Alle Möglichkeiten der Aktivierung finden Sie hier.
Bleibt Ihre Rufnummer dieselbe, ist ein Widerruf nicht notwendig, da dieser bei der Neuaktivierung automatisch vollzogen wird.
Wenn Sie noch im Besitz Ihrer alten SIM-Karte sind und noch SMS/TAN-Nachrichten empfangen können, besteht die Möglichkeit, damit eine neue xIDENTITY für Ihre neue Rufnummer anzufordern:
Hier können Sie sich mit den bisherigen Zugangsdaten Ihrer xIDENTITY einloggen. Geben Sie danach Ihre neue Rufnummer und ein selbstgewähltes Passwort ein. Anschließend erhalten Sie per SMS einen Aktivierungscode. Um die Aktivierung abzuschließen, müssen Sie den Signaturvertrag, die AGBs der Firma A-Trust sowie den Widerruf Ihrer alten xIDENTITY akzeptieren.
Wenn Sie Ihre „alte“ Nummer zum Zeitpunkt der Umänderung nicht mehr in Verwendung haben, müssen Sie Ihre xIDENTITY erneut beantragen
ACHTUNG: In diesem Fall ist ein Widerruf Ihrer „alten“ xIDENTITY wichtig, damit kein Missbrauch möglich ist.
Für Rückfragen stehen wir natürlich gerne zur Verfügung.
Ihre xIDENTITY ist 5 Jahre gültig. Die verbleibende Dauer der Gültigkeit können Sie jederzeit in Ihrem A-Trust-Konto einsehen.
Hier können Sie sich mit den bisherigen Zugangsdaten Ihrer xIDENTITY einloggen. Geben Sie danach Ihre neue Rufnummer und ein selbstgewähltes Passwort ein. Anschließend erhalten Sie per SMS einen Aktivierungscode. Um die Aktivierung abzuschließen, müssen Sie den Signaturvertrag, die AGBs der Firma A-Trust sowie den Widerruf Ihrer alten xIDENTITY akzeptieren.
Wenn Sie eine Mailadresse hinterlegt haben, werden Sie außerdem vor Ablauf der Gültigkeit per Mail informiert. Wenn Sie Ihre xIDENTITY 30 Tage vor Ablauf verwenden, erhalten Sie automatisch einen entsprechenden Hinweis.
Ist Ihre xIDENTITY noch gültig, so können Sie diese hier verlängern.
Ist Ihre xIDENTITY bereits abgelaufen, ist es nötig, eine neue xIDENTITY zu aktivieren.
Um Ihre xIDENTITY zu kündigen, ist es nötig einen rechtsgültigen Widerrufsantrag zu stellen.
Folgende Möglichkeiten können Sie dafür nutzen:
- Per Telefon mit Angabe des Widerruf-Passworts (+43 1 715 20 60)
- Digital signiertes PDF per Mail an hilfe@a-trust.at oder via https://www.online-kuendigen.at
- Per Fax (Formular: https://www.a-trust.de/de/support/widerrufsdienst)
- Natürlich können Sie auch ein unterschriebenes Schreiben mit der Post an uns schicken: A-Trust GmbH, Landstraße Hauptstraße 1b/E02, A-1030 Wien
Die xIDENTITY ist Ihre digitale Unterschrift. Sie kann zum rechtsgültigen Signieren elektronischer Dokumente genutzt werden und dient als sichere Authentifizierung im Internet. Da die xIDENTITY auf einem qualifizierten Zertifikat basiert, sind die Signaturen der eigenhändigen Unterschrift europaweit rechtlich gleichgestellt.
Wenn man an einem Apple-Produkt ein signiertes Dokument herunterlädt, öffnet MacOS eine Voransicht mit dem Programm “Preview“.
Speichert man dort das Dokument, wird es auf PDF1.3 reduziert, wodurch die signierte PDF verändert wird und die eben angebrachte Signatur gelöscht/ungültig wird. Das grafische Signaturbild bleibt aber bestehen. Wir raten daher von der Verwendung des Programms „Preview“ ab.
Für weitere Fragen wenden Sie sich bitte an den Apple-Support.
Die Eingabe der TANs ist Ihnen zu mühsam? Die A-Trust Signatur App schafft Abhilfe! Authentifizieren Sie sich ganz einfach mittels Fingerabdrucks oder Gesichtserkennung. Einmal mit der A-Trust Signatur App verbunden, sparen Sie bei jeder Signatur wertvolle Zeit und vertrauen auf die sicherste Form der Authentifizierung!
Entscheiden Sie selbst wann und wo Sie Dokumente unterschreiben.
Aktivieren Sie Ihre A-Trust Signatur App hier.
(Anmerkung: Die A-Trust Signatur App ist keine Voraussetzung, um die xIDENTITY verwenden zu können.)
So verbinden Sie die App mit Ihrer bestehenden xIDENTITY:
- Rufen Sie am PC die Seite auf: https://www.handy-signatur.at/mobile/TanAppUpgrade/
-
Nach dem Download der App auf Ihr Handy führen Sie am Computer den 2. Schritt der Aktivierung durch.
Dafür loggen Sie sich mit Ihrer Handynummer und dem selbstgewählten Passwort auf der oben genannten Website an. Anschließend erhalten Sie via SMS eine TAN zugeschickt, um den Vorgang abzuschließen. - Danach starten Sie die App auf Ihrem Handy und geben den angezeigten Aktivierungscode wieder im Browserfenster Ihres Computers eingeben.
Anmerkung: Aus Sicherheitsgründen ist es nötig, dass Sie, wenn Sie die App verwenden, eine Form der Bildschirmsperre (PIN, Fingerabdruck, Face-ID, etc.) aktivieren.
A-Trust Signatur APP
Sollte die A-Trust Signatur App oder der App PIN nicht mehr funktionieren, kann die Applikation zurückgesetzt werden:
- App starten
- Einstellungen
- App zurücksetzen
- Nun die App neu über einen PC/Tablet initialisieren unter: https://app.handy-signatur.at
Falls die App nicht zurückgesetzt werden kann oder dies wirkungslos ist:
- App deinstallieren
- Backup-Funktion in Ihren Handy Einstellungen deaktivieren
- App neu aus dem Store laden
- App neu über einen PC/Tablet initialisieren unter: https://app.handy-signatur.at
- Wenn die App verbunden ist, Backup-Funktion wieder aktivieren
Die xIDENTITY ist auch OHNE App einsetzbar, dazu müssen lediglich die Rufnummer und das Passwort eingegeben werden.
Als nächstes wird Ihnen ein QR- Code zum Scannen angezeigt: Wählen Sie „TAN via SMS anfordern“ oder, sollte Ihnen eine Werbung für die App angezeigt werden, „weiter ohne App“.
In beiden Fällen wird Ihnen ein SMS-TAN (sechsstellig) auf Ihr Handy geschickt, welchen Sie eingeben, um fortzufahren.
So verbinden Sie die App mit Ihrer bestehenden xIDENTITY:
- Öffnen Sie am zweiten Endgerät (bspw. PC) die Seite https://app.handy-signatur.at/.
- Führen Sie den Download der App durch oder gehen Sie - falls bereits durchgeführt - direkt zu Schritt 2 und starten Sie den Aktivierungsvorgang (Klick auf den Button "Jetzt starten").
- Melden Sie sich mit Ihrer xIDENTITY an, indem Sie Ihre Rufnummer (inkl. Vorwahl) und das selbst gewählte Signatur-Passwort eingeben und auf "Identifizieren" klicken.
- Nach der Eingabe Ihrer Daten erhalten Sie eine TAN per SMS, mittels welcher Sie den Login abschließen. Geben Sie die TAN im Browserfenster ein um den Vorgang abzuschließen
- Sobald Sie sich auf dem zweiten Endgerät erfolgreich angemeldet haben, öffnen Sie die App auf Ihrem Smartphone. Falls dort noch kein 10-stelliger Aktivierungscode angezeigt wird, klicken Sie bitte auf „Aktivierung starten“, stimmen Sie ggf. der Schlüsselerzeugung zu und geben Sie den angezeigten Aktivierungscode wieder im Browserfenster Ihres Computers ein. Nach der Eingabe erhalten Sie bereits die Bestätigung, dass Ihre xIDENTITY erfolgreich mit der App verbunden wurde.
- Um das speed-sign-Verfahren auszuprobieren, können Sie sich anschließend in Ihrem A-Trust Konto anmelden.
Eine ausführliche Anleitung finden Sie unter: https://www.handy-signatur.at/mobile/TanAppUpgrade/files/Anleitung-App-Aktivierung.pdf
Die A-Trust Signatur App zeigt immer die aktuellste TAN an. Wenn mehrere TANs angefordert wurden, einfach die aktuellste TAN eingeben und auf Aktualisieren drücken. Bitte beachten Sie, dass der Vergleichswert, der in der App angezeigt wird, mit dem im Webbrowser angezeigten Vergleichswert übereinstimmen muss.
Da es sehr viele unterschiedliche Android Telefone gibt, kann es sein, dass sich manches auf einem Telefon anders verhält als auf einem anderen. Sollte ein Fehler auftreten, wenden Sie sich bitte an den Support und helfen Sie mit, die App zu verbessern.
Die A-Trust Signatur App wird deinstalliert, indem die App vom Gerät entfernt wird.
Anmerkung: Die Deinstallation der App löscht nur die Anwendung auf Ihrem Gerät, verändert aber nicht die Form der Signatur-Auslösung.
Umstellung auf TAN per SMS: Um dauerhaft auf TAN per SMS umzusteigen, muss Ihre xIDENTITY unter folgendem Link neu aktiviert werden: https://www.handy-signatur.at/Aktivierung/Selbst/eu-identity/ (> „xIDENTITY mit xIDENTITY“ aktivieren)
Im ersten Schritt erhalten Sie die TAN noch in der A-Trust Signatur App, der Aktivierungscode wird bereits wieder per SMS zugestellt. Nachdem der Vorgang abgeschlossen ist, wird die TAN wieder wie gewohnt per SMS versendet, bis erneut eine Bindung mit einer A-Trust Signatur App vorgenommen wird.
App zurücksetzen: Falls Sie die Verbindung zwischen xIDENTITY und App lösen möchten, setzen Sie die App zurück. Die Option wird im Menü der A-Trust Signatur App bei "Einstellungen" angeboten. (Das Zurücksetzen der App wird dringend empfohlen, wenn Sie Ihr Smartphone dauerhaft an jemand anderen weitergeben.)
Frühere Versionen der A-Trust Signatur App verwendeten auf Android-Geräten den Geräteadministrator, um sich vor unbefugten Änderungen zu schützen. Für eine Deinstallation öffnen Sie bitte das Einstellungsmenü. Unter dem Punkt „Sicherheit“ finden Sie Geräteadministratoren. Deaktivieren Sie den Geräteadministrator der A-Trust Signatur App. Anschließend können Sie die App wie gewohnt deinstallieren.
Wenn Sie die PIN für Ihre App vergessen haben, ist es nötig diese über die App-Einstellungen zurückzusetzen.
Die App-Einstellungen erreichen Sie über die drei Punkte, welche Sie oben rechts in der App finden. (Sollte Ihnen keine drei Punkte angezeigt werden, verfügt Ihr Smartphone vermutlich über eine Funktionstaste/"Hardwarebutton" und Sie können darüber ins Menü "Einstellungen" wechseln.)
Nachdem die App zurückgesetzt und somit die Verbindung zur xIDENTITY gelöst wurde, muss die App erneut aktiviert werden (Start bei Schritt 2).
Wenn das Passwort für die xIDENTITY vergessen oder verloren wurde, bleibt nur eine Möglichkeit: Sie müssen die xIDENTITY erneut beantragen.
Sollten sie nicht mehr wissen wie die Aktivierung funktioniert, finden sie alle Möglichkeiten hier aufgelistet.
a.sign SSL
Hier wird auf die Konfiguration des Microsoft IIS eingegangen. Diese Hinweise setzen voraus, dass Sie mit der Konfiguration des Webservers vertraut sind, da diese Seite nur in groben Zügen auf die Standard Konfiguration eingeht.
Unter Eigenschaften Ihrer Webseite in der Management Console wählen Sie den Reiter 'Directory Security', je nach Version Ihres WebServers, gibt es dann einen Punkt 'Key Manager' oder 'Server Certificate'. Folgen Sie den Schritten, in denen Sie nach diversen Angaben zu Ihrer Organisation gefragt werden. Unter dem Punkt CommonName müssen Sie unbedingt den Namen Ihrer Domain angeben (zB.: www.mydomain.com).
Am Ende dieser Schritte können Sie den öffentlichen Teil Ihres Schlüsselpaares als ein PKCS#10 Certificate Request abspeichern. Diese Datei senden Sie an A-Trust, welche diese überprüft und Ihnen signiert zurücksendet. Diese Antwort importieren Sie dann an gleicher Stelle in der Management Console. Weitere Informationen zum Thema Client Certificates und MS IIS
Eine ausführliche Anleitung für den Internet Information Server finden Sie hier: IIS SSL (PDF)
Hier wird ausführlich auf die Konfiguration des Apache WebServers mit openssl und mod_ssl eingegangen. Diese Hinweise setzen voraus, dass Sie die beiden Pakete bereits installiert haben. Die einzelnen Pakete erhalten Sie unter Apache, OpenSSL, mod_ssl.
Eine Beispiel Konfigurationsdatei für openssl finden Sie hier: openssl.cnf (Save As ...).
Eine ausführliche Anleitung für den Apache Webserver finden Sie hier: Apache SSL (PDF)
Eine ausführliche Anleitung zur Realisierung einer Client-Authentifizierung auf Zertifikats-Basis finden Sie hier: Apache Client Auth (PDF)
Ist der bzw. die Kunde:in wirklich wer er/sie vorgibt zu sein?
Beim Aufbau einer SSL Verbindung wird meist nur die Server Authentifizierung überprüft (Ist der Sever wirklich der, der er vorgibt zu sein?).
Es besteht aber auch die Möglichkeit, mit gleicher Sicherheit die Kund:innen-Anmeldung zu überprüfen, ohne dass der bzw. die Kund:in sich für jede Seite ein eigenes Login/Passwort merken muss. Damit kann sich niemand fälschlich für diese Person ausgeben. Früher oder später werden auch eBanking Lösungen auf diese komfortablere und sicherere Lösung umsteigen.
Im A-Trust Member Bereich haben Sie z.B. die Möglichkeit, sich über ein Login und Passwort anzumelden. Bei der Eingabe der Daten könnten Sie aber beobachtet worden sein, sodass Ihre Daten missbräuchlich verwendet werden können. Wenn Sie Besitzer eines A-Trust Zertifikats sind, können Sie sich auch damit im Member Bereich der A-Trust anmelden.
Mit Hilfe der SSL Client Authentifizierung werden Sie aufgefordert, bei der Anmeldung anstelle eines Logins/Passwort Ihr Zertifikat zu nutzen. Hier übernimmt A-Trust die Verantwortung, dass die Daten in Ihrem Zertifikat gemäß den Geschäftsbedingungen korrekt sind. Nachdem Sie den Link ausgewählt haben, erscheint ein Dialog Ihres Browsers, der all Ihre von diesem Server akzeptierten Benutzerzertifikate, die Sie auf Ihrem Rechner installiert haben, anzeigt. Sie wählen dasjenige aus, mit dem Sie sich anmelden wollen, und die Informationen aus Ihrem Zertifikat werden für den Login Prozess genutzt.
Allgemeines Zertifikats-Know-How
Der Begriff der "firmenmäßig Zeichnung" ist vom Begriff der (bloßen) "rechtsverbindlichen Zeichnung" zu unterscheiden: Firmenmäßig ist die Zeichnung, wenn sie gemeinsam durch die erforderliche Zahl zeichnungsberechtigter Personen (idR. Geschäftsführer und Prokuristen), gemäß den Eintragungen im Firmenbuch, erfolgt. Eine firmenmäßige Zeichnung ist demnach immer rechtsverbindlich. Die (bloße) rechtsverbindliche Zeichnung kann hingegen auch durch rechtsgeschäftlich bevollmächtigte Personen getätigt werden.
Die Beifügung von Firmenstempeln oder Namenszusätzen ist weder für firmenmäßige Zeichnungen noch für (bloße) rechtsverbindliche Zeichnungen Voraussetzungen der Rechtsverbindlichkeit. Es sollte sich jedoch aus dem Kontext ergeben, dass die Unterfertigenden für ihre Firma und nicht für sich persönlich unterschreiben (idR. durch die Angabe des offiziellen Firmennamens und der genauen Firmenanschrift auf dem Briefpapier bzw. unter dem Unterschriftenfeld).
Sowohl die firmenmäßige Zeichnung als auch die (bloße) rechtsverbindliche Zeichnung kann uneingeschränkt mit der xIDENTITY (EU-Identity Mobile) ausgeführt werden. Dafür ist es im Falle der firmenmäßigen Zeichnung erforderlich, dass die gemeinsam gesetzlich Vertretungsbefugten das jeweilige Dokument jeweils qualifiziert elektronisch mit ihrer xIDENTITY unterschreiben. Im Falle der (bloßen) rechtsverbindlichen Zeichnung ist es ausreichend, wenn eine oder mehrere rechtsgeschäftlich bevollmächtigte Personen jeweils qualifiziert elektronisch mit ihrer xIDENTITY unterschreiben.
Der sicherste Weg zur firmenmäßigen Zeichnung?
Die Unversehrtheit und die Richtigkeit der Herkunftsangabe des unterfertigten Dokuments lässt sich zudem durch dessen qualifizierte elektronische Besiegelung darstellen. Qualifizierte elektronische Siegel werden von A-Trust GmbH für Unternehmen ausgestellt, die besonders hohe Anforderungen an die Authentifizierung von Dokumenten haben und sind aufgrund ihrer eIDAS-Konformität europaweit rechtsgültig.
Durch die Kombination der qualifizierten elektronischen Unterschrift (z.B. via xIDENTITY) und Besiegelung des unterfertigten Dokuments wird sowohl in technischer als auch in rechtlicher Hinsicht die größtmögliche Sicherheit gewährleistet.
A-Trust bietet hierfür ein umfangreiches Portfolio mit Firmen-Zertifikaten, welches sich ganz nach Ihren individuellen Bedürfnissen richtet:
Ein elektronisches Firmensiegel ist ein Zertifikat, das für eine juristische Person ausgestellt wird und ermöglicht je nach Ausprägung die fortgeschrittene bzw. qualifizierte Besiegelung von Dokumenten.
- Das elektronische Firmensiegel a.sign Seal advanced ermöglicht Ihnen eine fortgeschrittene Signatur als juristische Person. Als Anwender:in des Signaturservers erstellen Sie bei diesem fortgeschrittenen Zertifikat digitale Signaturen selbst.
- Das elektronische Firmensiegel a.sign Seal qualified ermöglicht Ihnen eine qualifizierte Besiegelung als juristische Person. Anders als bei einem fortgeschrittenen Zertifikat, besiegeln Sie mit a.sign Seal qualified qualifiziert – dies stärkt das Vertrauen in Ihr Unternehmen. Als Trust Service Provider bietet Ihnen A-Trust höchstmögliche Sicherheit: Die Signatur wird per Webschnittstelle (Application Programming Interface/API) ausgelöst, dabei wird nur der zu signierende Hashwert an das Hochsicherheitszentrum A-Trust übermittelt.
- a.sign Seal EPREL ist speziell auf die Nutzung zur Verifikation Ihres Unternehmens bei der EU-Datenbank EPREL ausgelegt, in welche alle Produkte mit Energielabel eingetragen werden müssen.
Das elektronische Firmensiegel lässt sich außerdem problemlos in elektronische Unterschriftenmappen wie bspw. XiTrust MOXIS integrieren!
Ein qualifiziertes Zertifikat wird für natürliche, ein qualifiziertes Siegel für juristische Personen ausgestellt.
Ein elektronisches Firmensiegel entspricht einem digitalen Firmenstempel und kann individuell gestaltet werden.
Sowohl die digitale Signatur als auch das digitale Firmensiegel gibt es als „fortgeschrittene“ und „qualifizierte“ Variante, wobei qualifizierte Signaturen bzw. Siegel eine höhere Rechtsverbindlichkeit bzw. -güte aufweisen. Durch Ihre eIDAS-Konformität sind beide Typen europaweit rechtsgültig.
Erfahren Sie mehr über das fortgeschrittene bzw. das qualifizierte Firmensiegel.
Hierzu braucht man eine Applikation, welche die LDAP Kommunikation übernimmt. Geeignet sind zum Beispiel Mail Clients wie Outlook (Express) oder spezialisierte LDAP Clients. Der Zugriff erfolgt auf den Server ldap.a-trust.at auf Port 389 mittles anonymous LDAP-Bind.
Outlook (Express)
Um auf den Verzeichnisdienst zugreifen zu können, ist ein Konto vom Typ Verzeichnis anzulegen. Unter Server ist ldap.a-trust.at einzutragen, als Searchbase o=a-trust, c=AT. Nun kann man mit Hilfe des Adressbuches nach Drücken des "Personen suchen Buttons", im Verzeichnis der A-Trust nach dem Empfänger suchen und diesen samt seines Zertifikates in sein persönliches Adressbuch übernehmen.
LDAP Client
Als Beispiel eines LDAP Clients ist die Freeware Software "LDAP Administrator" zu empfehlen, welche unter http://www.ldapbrowser.com erhältlich ist. Als Host ist wieder ldap.a-trust.at, als Port 389, als LDAP Version 3 einzutragen. Base DN ist o=a-trust,c=AT und die Checkbox Anonymous Bind ist auszuwählen.
Um Trivialsuchen und missbräuchliche Verwendung zu verhindern, wird der LDAP Server mit einem Timelimit und Sizelimt betrieben. Bitte zu beachten, wenn eine Abfrage länger als 300 sec dauert oder die Anzahl der Treffer 200 übersteigt, wird eine entsprechende Fehlermeldung zurückgegeben.
Sie können einzelne Zertifikate händisch über unsere Website auf Ihre Gültigkeit überprüfen.
LDAP
Sie können einzelne Zertifikate händisch über unsere Website auf Ihre Gültigkeit überprüfen.
Eine DNS Abfrage löst den Namen folgendermaßen auf: ldap.a-trust.at 217.13.182.84
Über diese URL werden die Ldap-Server je nach deren Auslastung zur Beantwortung der Kundenanfragen herangezogen.
Um Trivialsuchen und missbräuchliche Verwendung zu verhindern, wird der LDAP Server mit einem Timelimit und Sizelimt betrieben, bitte zu beachten, wenn eine Abfrage länger als 300 sec dauert oder die Anzahl der Treffer 200 übersteigt, wird eine entsprechende Fehlermeldung zurückgegeben.
OCSP
Der Zugriff auf den A-Trust OCSP Dienst erfolgt über den DNS Namen ocsp.a-trust.at TCP/IP Port 80:
- http://ocsp.a-trust.at/ocsp
Alternativ kann in manchen Zertifikaten auch eine andere URL der Form http://www.a-trust.at:82/ocsp stehen. Manche Standardapplikationen können automatisch eine OCSP Abfrage auf diesen Port 82 durchführen. Bei manueller Konfiguration wird allerdings die Verwendung des Port 80 empfohlen.
Die Antworten des OCSP Servers sind digital signiert. Die Verifikation der Signatur ist mit folgendem Zertitikat möglich:
Ab 28.11.2008 15:00 muss zur Verifikation der OCSP Requests dieses Zertifikat verwendet werden.
Bei openSSL handelt es sich um ein freies, offenes Toolkit, welches viele Aspekte der PKI abdeckt. Nähere Informationen sind unter www.openssl.org zu finden.
Eine Win32 Portierung ist unter OpenSSL for Windows zu beziehen.
Zertifikate vom DER codierten .cer Format nach PEM umwandeln. Zertifikate werden von A-Trust im .cer Format behandelt, manchmal ist es allerdings nötig, diese in das PEM Format umzuwandeln:
openssl x509 -in MyCert.cer -inform DER -out MyCert.pem -outform PEM
Diese Commandline wandelt MyCert.cer nach MyCert.pem um.
PEM nach p12
Wenn man den privaten Schlüssel im PEM Format vorliegen hat, und diesen samt zugehörigem Zertifikat in eine PKCS #12 Datei (p12) umwandeln möchte:
openssl pkcs12 -export -inkey newkey.pem -out pkcs12.p12 -in MyCert.pem
Diese Commandline wandelt den privaten Schlüssel newkey.pem samt zugehörigem Zertifikat MyCert.pem in die PKCS#12 Datei pkcs12.p12 um.
Gegebenenfalls ist das von A-Trust zugesendete .cer Zertifikat noch in das .pem Format umzuwandeln.
Wenn jemand nicht mehr berechtigt ist, sein Zertifikat zu nutzen, oder der Schlüssel in fremde Hände gerät, wird dieses Zertifikat von der A-Trust zurückgezogen und in eine Liste der gesperrten Zertifikate CRL (Certificate Revocation List) aufgenommen.
Es ist also wichtig, ein Fremdzertifikat vor jeder Anwendung auf Gültigkeit zu prüfen (z. B.: prüfen der Signatur), indem die Zertifikatsseriennummer gegen die Liste in der momentan aktuellsten CRL verglichen wird. Die Liste der zurückgezogenen Zertifikate ist im Verzeichnisdienst der A-Trust zu finden (ldap://ldap.a-trust.at).
In jedem von der A-Trust ausgestellten Zertifikat befindet sich ein Verweis auf diese Liste. Trotzdem bedarf es einiger Konfigurationsschritte, um Standardapplikationen dazu zu bringen, diese Liste zu verwenden. MS Outlook Express: Menü Tools | Optionen | Sicherheit Button Erweitert Hier gibt es die Mögichkeit die Option auszuwählen, dass Zertifikate gegen die CRL verglichen werden.
Alle unter A-Trust-(n)Qual ausgestellten Sperrlisten haben folgende Gültigkeit:
- Alle zwei Stunden wird eine neue CRL erzeugt
- Jede CRL ist maximal sechs Stunden gültig
-
Im Falle eines Widerrufs wird sofort eine neue CRL publiziert, die allerdings nicht länger gültig ist, als die reguläre CRL.
zB.: die letzte CRL war bis 16:30 gültig, um 14:00 wird ein Zertifikat widerrufen, daraufhin wird eine neue CRL mit der Gültigkeit 14:00 bis 16:30 erzeugt (kürzer als sechs Stunden möglich).