Welche Anforderungen muss das Zugriffszertifikat erfüllen?
Sie können ein Zugriffszertifikat selbst signieren, zum Beispiel mit der Software OpenSSL.
Anforderungen für den Distinguished Name:
- CN=<URL des Teilnehmersystems, das die Kommunikation mit dem AIS durchführt, oder eine andere eindeutige Identifikation des Teilnehmersystems>
- O=<Name der Organisation>
- E-Mail=<E-Mail für Benachrichtigungszwecke, z. B. bei Ablauf der Gültigkeit>
- C=<Land der Organisation>
Die folgenden zusätzlichen Anforderungen sind bei der Erstellung des Zertifikats zu berücksichtigen:
- Maximale Laufzeit drei Jahre
- Hash-Algorithmus mindestens SHA-256
- Schlüssellänge mindestens 3072 Bit
Für Zugangszertifikate im Rahmen der regulierten (ZertES) oder qualifizierten (eIDAS) Siegelerstellung gelten noch besondere Bedingungen: Der private Schlüssel des Zugangszertifikats muss auf einem kryptografischen Modul in einer gemeinsamen Zeremonie eines Vertreters der Swisscom Registrierungsstelle erstellt werden. Dieses Modul muss FIPS 140-2 Level 2 oder ähnlichem entsprechen, z. B. Yubikey, Feitan key oder Microsoft Key Vault. Falls nicht, können Sie ein Implementierungskonzept vorlegen, wie die Zuweisung des Zugangszertifikats an den Vertreter der Organisation auf andere Weise erfolgen kann.