Information und Technik
Nordrhein-Westfalen
Nordrhein-Westfalen
- Demo-Projekt -
Optisch verifizierbare digitale Siegel.
Optisch verifizierbare digitale Siegel (OVDS) sind kryptografisch signierte Daten in Form von
2D-Codes nach BSI-TR-03137 und ICAO TR "Visible Digital Seals for Non-Electronic Documents".
Durch Scannen der ausgedruckten Siegel mit der Siegel Check App werden die Daten angezeigt und die Signaturen verifiziert.
Durch Scannen der ausgedruckten Siegel mit der Siegel Check App werden die Daten angezeigt und die Signaturen verifiziert.
Komponenten
Die drei Komponenten des OVDS Systems im Überblick.
OVDS Verwaltung
Features OVDS Verwaltung
- BSI TR-03137 und ICAO TR "Visible Digital Seals for Non-Electronic Documents" konform
- Erfassen der Inhaltsdaten zu Verwaltungsdokumentprofilen *
- Signieren der Inhaltsdaten mit fortgeschrittenen Siegelzertifikaten **
- Erstellen von OVDS Siegeln
- Drucken von OVDS Siegeln
- Erstellen von Verwaltungsdokumentprofilen ***
- API zur Anbindung von Fachanwendungen
Nutzungsvoraussetzungen
- Registrierung im Portal
OVDS Siegel Check App
Features OVDS Siegel Check App
- BSI TR-03137 und ICAO TR "Visible Digital Seals for Non-Electronic Documents" konform
- Scannen von OVDS-Siegeln
- Anzeigen der Daten aus OVDS Siegeln
- Verifizieren von Signaturen
- Verwalten von Profilen *
- Verwalten von Zertifikaten **
- Offlinefähig
Nutzungsvoraussetzungen
- Installation der Siegel Check App auf einem mobilen Endgerät mit iOS oder Android Betriebssystem
OVDS Siegelkarten Signer
Features OVDS Siegelkarten Signer
- BSI TR-03137 und ICAO TR "Visible Digital Seals for Non-Electronic Documents" konform
- Automatischer Abruf erfasster Inhaltsdaten aus der OVDS Verwaltung
- Signieren der Inhaltsdaten mit qualifizierten Zertifikaten ****
- Automatische Übertragung qualifiziert signierte Siegeldaten an die OVDS Verwaltung
Nutzungsvoraussetzungen
- Windows 10 oder höher
- Java OpenJRE/JDK 17 oder höher
- Chipkarten Lesegerät ******
- Qualifizierte Siegelkarte mit ECDSA Algorithmus ****
* Im Demo-Projekt ist das Profil eines Muster-Bewohnerparkausweises
fest hinterlegt.
** Im Demo-Projekt werden nur Test-Siegelzertifikate der D-Trust GmbH mit ECDSA Algorithmus unterstützt.
*** Im Demo-Projekt ist die Profilverwaltung nicht freigeschaltet. Sprechen Sie uns für näherer Informationen an.
**** Im Demo-Projekt wird nur die Test-Siegelkarte Card 4.4 Multicard der D-Trust GmbH unterstützt -> https://www.d-trust.net/de/bestellen .
***** Im Demo-Projekt werden nur im REINER SCT Shop erhältliche Chipkarten Lesegeräte der Klasse 3 unterstützt -> https://www.chipkartenleser-shop.de/bdr_hw .
** Im Demo-Projekt werden nur Test-Siegelzertifikate der D-Trust GmbH mit ECDSA Algorithmus unterstützt.
*** Im Demo-Projekt ist die Profilverwaltung nicht freigeschaltet. Sprechen Sie uns für näherer Informationen an.
**** Im Demo-Projekt wird nur die Test-Siegelkarte Card 4.4 Multicard der D-Trust GmbH unterstützt -> https://www.d-trust.net/de/bestellen .
***** Im Demo-Projekt werden nur im REINER SCT Shop erhältliche Chipkarten Lesegeräte der Klasse 3 unterstützt -> https://www.chipkartenleser-shop.de/bdr_hw .
Schnellanleitung für fortgeschrittene Siegelzertifikate
In 10 einfachen Schritten zum schnellen Erfolg mit dateibasierten fortgeschrittenen
Siegelzertifikaten.
Bedarf keiner zusätzlichen Hardware!
Untenstehend finden Sie die ergänzende Anleitung für qualifizierten Siegelzertifikate auf Chipkarten.
Bedarf keiner zusätzlichen Hardware!
Untenstehend finden Sie die ergänzende Anleitung für qualifizierten Siegelzertifikate auf Chipkarten.
-
1
Beantragen Sie einen Zugang zur OVDS Verwaltung
-
2
Loggen Sie sich ein
-
3
Füllen Sie die Inhaltsfelder eines Verwaltungsdokumentprofils aus
Im Demo-Projekt in ein Muster-Bewohnerparkausweisprofil fest hinterlegt. -
4
Siegel Sie die Inhaltsdaten mit einem fortgeschrittenen Siegelzertifikat direkt Online
Im Demo-Projekt sind zwei verschiedene, bereits registrierte, fortgeschrittene Test-Siegelzertifikate für den direkten Gebrauch hinterlegt. Diese Test-Siegelzertifikate wurden vom IT.NRW App-Team selbst signiert und stammen aus der Public Key Infrastruktur des App-Teams (App-PKI). Des Weiteren werden im Demo-Projekt nur noch die Test-Siegelzertifikate Qualified Seal ID der D-Trust GmbH unterstützt. Vor dem ersten Gebrauch müssen sie in der OVDS Verwaltung einmalig registriert werden. Alle Test-Zertifikate sind nur für Demozwecke geeignet. -
5
Drucken Sie das gesiegelte Verwaltungsdokument aus
Im Demo-Projekt in eine Druckvorlage für einen Muster-Bewohnerparkausweis fest hinterlegt. -
6
Installieren Sie die App auf Ihrem mobilen Endgerät
-
7
Starten Sie die App
-
8
Halten Sie die Kamera über das optische digitale Siegel auf dem ausgedruckten Verwaltungsdokument
Der Prüfvorgang startet automatisch. -
9
Vergleichen Sie die Daten in der App mit den Daten auf dem ausgedruckten Verwaltungsdokument
-
10
Kontrollieren Sie die Gültigkeit des Zertifikats (Statusanzeige)
OVDS Siegel lassen sich auch auf Bildschirmen verifizieren. Probieren Sie es aus.
Schnellanleitung für qualifizierte Siegelzertifikate auf Chipkarten
Mit 9 Schritten zum schnellen Erfolg mit qualifizierten Siegelzertifikate auf
Chipkarten.
Bedarf zusätzlicher kostenpflichtiger Hardware!
Bedarf zusätzlicher kostenpflichtiger Hardware!
-
1
Laden Sie den OVDS Siegelkarten Signer herunter
-
2
Installieren Sie den OVDS Siegelkarten Signer auf Ihrem Windows-PC
Signierprogramme anderer Hersteller werden im Demo-Projekt nicht unterstützt. -
3
Schließen Sie das Chipkarten Lesegerät an Ihren Windows-PC an
-
4
Starten Sie den OVDS Siegelkarten Signer
-
5
Loggen Sie sich mit Ihren Zugangsdaten zur OVDS Verwaltung ein
Ihre in der OVDS Verwaltung angelegten Datensätze werden automatisch heruntergeladen. -
6
Stecken Sie die Siegelkarte in das Chipkarten Lesegerät
Im Demo-Projekt wird nur die Test-Siegelkarte Card 4.4 Multicard der D-Trust GmbH unterstützt.
Wichtig: Die Siegelkarte muss bereits fertig zur Nutzung eingerichtet sein. Das heißt, es muss eine Signaturpin gesetzt sein und die Transportpin ersetzt worden sein. Das dazu notwendige Programm, den D-Trust Card Assistant, erhalten Sie automatisch bei der Bestellung der Test-Siegelkarte dazu. Des Weiteren muss die eingerichtete Test-Siegelkarte in der OVDS Verwaltung einmalig registriert werden. -
7
Wählen Sie im Siegelkarten Signer einen zu signierenden Datensatz aus
-
8
Starten Sie den Signiervorgang
-
9
Geben Sie die PIN der Siegelkarte ein
Erfolgreich gesiegelte Datensätze werden automatisch an die OVDS Verwaltung übertragen und können dort ausgedruckt werden.
Über das Projekt
Allgemein
Das OVDS System ist eine Demoimplementierung der technischen Richtlinie BSI-TR-03137 und dem korrespondierenden internationalen ICAO Standard „Visible Digital Seals for non-electronic Documents“ ( Kurzform: VDS ) .
Technisch entspricht diesem Format z.B. auch einem Covid-Reise-Zertifikat, welches international in dem Standard VDS-NC definiert ist. Das OVDS System behandelt an dieser Stelle aber nur Digitale Siegel auf Verwaltungsdokumenten und auch nur Varianten auf Basis von Matrix-Codes.
Elektronische Siegel sind erforderlich, wenn juristische Personen, wie Behörden, Unternehmen oder Landesbetriebe, Dokumente digital unterzeichnen möchten. Gesetzliche Grundlage ist Artikel 3 Nr. 24 der eIDAS-Verordnung . Unterschreibt im Gegensatz dazu eine natürliche Person digital, kommen elektronische Signaturen zum Einsatz.
In der Praxis entsprechen elektronische Siegel den Siegeln in Behörden und den Stempeln in Unternehmen.
Wie bei den elektronischen Signaturen werden bei den elektronischen Siegeln drei Vertrauensniveaus unterschieden:
Erst die Platzierung eines optisch verifizierbaren digitalen Siegels in Form eines 2D-Codes auf dem ausgedruckten Dokument gewährleisten die Überprüfbarkeit des Ursprungs und der Unversehrtheit eines ausgedruckten digital gesiegelten Dokumentes.
OVDS-Siegel sind nicht nur für den Einsatz auf Verwaltungsdokumente beschränkt. Im Prinzip können
sie die Authentizität und Integrität eines jeden Papierausdrucks (Rechnungen, Eintrittskarten etc.)
gewährleisten.
Lediglich die Beschränkung auf maximal 254 verschiedener Inhaltsdatenfelder könnten den universellen
Einsatz beschränken. Die Grenze ist technischen Kapazitätsgründen geschuldet und findet sich in den
technischen Richtlinien wieder.
Der in OVDS-Siegeln verwendete 2D-Code ist vom Typ DataMatrix, der Signaturalgorithmus vom Typ Elliptic Curve Digital Signature Algorithm (ECDSA). Das OVDS Siegel kann aus Kapazitätsgründen nicht das gesamte Dokument und das komplette Zertifikat enthalten. Es enthält, binär und kryptografisch verpackt, die Inhaltsdaten des Dokumentes, eine Referenz auf das Profil des verwendeten Dokumentes und eine Referenz auf das verwendete Zertifikat.
Für die Verifizierung werden in der zentralen Zertifikats- und Profilverwaltung des OVDS Systems die benötigten Zertifikate und Dokumentenprofile abrufbar bereitgestellt. Dies ermöglicht zudem eine Offline Verifizierung, indem die benötigten Profile und Zertifikate im Vorfeld der Überprüfung auf das zur Prüfung eingesetzte mobile Endgerät heruntergeladen werden können.
Mit Hilfes des Profils können während der Verifizierung die Inhaltsdaten ihren Datenfeldern, wie z.B. Vorname, Nachname, Ausstellungsdatum, zugeordnet werden.
Technisch entspricht diesem Format z.B. auch einem Covid-Reise-Zertifikat, welches international in dem Standard VDS-NC definiert ist. Das OVDS System behandelt an dieser Stelle aber nur Digitale Siegel auf Verwaltungsdokumenten und auch nur Varianten auf Basis von Matrix-Codes.
Elektronische Siegel sind erforderlich, wenn juristische Personen, wie Behörden, Unternehmen oder Landesbetriebe, Dokumente digital unterzeichnen möchten. Gesetzliche Grundlage ist Artikel 3 Nr. 24 der eIDAS-Verordnung . Unterschreibt im Gegensatz dazu eine natürliche Person digital, kommen elektronische Signaturen zum Einsatz.
In der Praxis entsprechen elektronische Siegel den Siegeln in Behörden und den Stempeln in Unternehmen.
Wie bei den elektronischen Signaturen werden bei den elektronischen Siegeln drei Vertrauensniveaus unterschieden:
- normal
- fortgeschritten
- qualifiziert
Erst die Platzierung eines optisch verifizierbaren digitalen Siegels in Form eines 2D-Codes auf dem ausgedruckten Dokument gewährleisten die Überprüfbarkeit des Ursprungs und der Unversehrtheit eines ausgedruckten digital gesiegelten Dokumentes.
Der in OVDS-Siegeln verwendete 2D-Code ist vom Typ DataMatrix, der Signaturalgorithmus vom Typ Elliptic Curve Digital Signature Algorithm (ECDSA). Das OVDS Siegel kann aus Kapazitätsgründen nicht das gesamte Dokument und das komplette Zertifikat enthalten. Es enthält, binär und kryptografisch verpackt, die Inhaltsdaten des Dokumentes, eine Referenz auf das Profil des verwendeten Dokumentes und eine Referenz auf das verwendete Zertifikat.
Für die Verifizierung werden in der zentralen Zertifikats- und Profilverwaltung des OVDS Systems die benötigten Zertifikate und Dokumentenprofile abrufbar bereitgestellt. Dies ermöglicht zudem eine Offline Verifizierung, indem die benötigten Profile und Zertifikate im Vorfeld der Überprüfung auf das zur Prüfung eingesetzte mobile Endgerät heruntergeladen werden können.
Mit Hilfes des Profils können während der Verifizierung die Inhaltsdaten ihren Datenfeldern, wie z.B. Vorname, Nachname, Ausstellungsdatum, zugeordnet werden.
OVDS Verwaltung
Die OVDS Verwaltung ist die zentrale webbasierte Komponente des OVDS Systems.
Profilverwaltung
In der Profilverwaltung werden die Datenfelder von Dokumenten und deren Typen definiert und zur
weiteren Nutzung bereitgestellt. Profile werden entsprechend den Richtlinien in Form von
XML-Datensätze erstellt. Über ein Rechtesystem wird gesteuert, ob Profile von einzelnen
Organisationen individuell definiert werden oder ob sie organisationsübergreifend, bis hin zu einer
bundesweiten Vereinheitlichung, standardisiert sind. Die Profilverwaltung ist vorbereitet zur
Unterstützung des Leistungskatalogs der deutschen Verwaltung (LeiKa).
Hinweis Demo-Projekt
Im Demo-Projekt ist die Profilverwaltung nicht freigeschaltet. Allen Benutzern steht ein Muster-Bewohnerparkausweisprofil
mit der dazugehörigen Musterdruckvorlage zur Verfügung. Für nähere Informationen zur Profilverwaltung nehmen Sie bitte Kontakt zu uns auf.
Musterprofil Bewohnerparkausweis
<?xml version="1.0" encoding="utf-8"?> <profile xsi:noNamespaceSchemaLocation="profile.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <profileNumber>PARKEN1</profileNumber> <profileName>Muster Parkausweis für Bürger</profileName> <creator>NRW</creator> <category>Parken</category> <leikaID></leikaID> <entry tag="4" optional="0"> <name>Parkausweisnummer</name> <description></description> <length>255</length> <type>alphanum</type> <defaultValue>PDK6878E</defaultValue> </entry> <entry tag="5" optional="0"> <name>Geltungsbereich</name> <<description>Parkzone(n)</description> <length>255</length> <type>string</type> <defaultValue>A/B</defaultValue> </entry> <entry tag="6" optional="0"> <<name>gültig bis</name> <description></description> <type>date</type> <defaultValue>2024-12-31</defaultValue> </entry> <entry tag="7" optional="0"> <name>ausstellende Behörde</name> <description></description> <length>255</length>< type>string</type> <defaultValue>Stadt Düsseldorf</defaultValue> </entry> <entry tag="8" optional="0"> <name>KFZ-Kennzeichen</name> <description></description> <length>255</length> <type>string</type> <defaultValue>D-IT-1234</defaultValue> </entry> </profile>
In der Fachdatenverwaltung werden die Inhaltsdaten erfasst und verwaltet. Dazu wird aus einem
hinterlegten Profil ein Eingabeformular erzeugt. Das Formular besteht aus nicht editierbaren Feldern
mit Inhaltsangaben zum verwendeten Profil und aus editierbaren Feldern zur Erfassung der
eigentlichen Inhaltsdaten des Dokumentes. Nach dem Speichern werden die gesamten Inhaltsdaten entsprechend den technischen
Richtlinien codiert und automatisch dem Web-Signer oder dem OVDS Siegelkarten Signer als Fachdatensatz zur
Verfügung gestellt. Aus Kapazitätsgründen wird das Profil nicht mit codiert.
Ein Rollen- und Rechtesystem steuert den Zugriff auf die hinterlegten Profile, bzw. die Auswahl des nachfolgenden Signierprozesses.
Im Demo-Projekt sind Erfassung und Verwaltung getrennt. Die Erfassung erfolgt im Menü Fachdaten erfassen, das Löschen im Menü Fachdaten verwalten.
Ein Rollen- und Rechtesystem steuert den Zugriff auf die hinterlegten Profile, bzw. die Auswahl des nachfolgenden Signierprozesses.
Hinweis Demo-Projekt
Im Demo-Projekt können die Inhaltsdaten zu dem Demo-Bewohnerparkausweisprofil erfasst werden. Die
erzeugten Fachdatensätze werden immer dem eingeloggten Benutzer zugeordnet. Die Wahl des Signers ist
in der Demoversion frei. Es werden immer alle noch nicht signierten Fachdatensätze dem gerade
ausgewählten Signer zur Verfügung gestellt.
Im Demo-Projekt sind Erfassung und Verwaltung getrennt. Die Erfassung erfolgt im Menü Fachdaten erfassen, das Löschen im Menü Fachdaten verwalten.
Siegelzertifikate werden von den Vertrauensdienstleistern, wie der D-Trust GmbH, in Form des
Public-Key Cryptography Standards 12 (PKCS#12) dateibasiert als .pfx oder.p12 Datei oder
chipkartenbasiert
ausgeliefert. Das PKCS#12 Format in eine Art Container, der den privaten Schlüssel und das
eigentliche Zertifikat, das den Besitzer beschreibt, enthält.
Vor dem erstmaligen Gebrauch muss das eigentliche Zertifikat einmalig in der Zertifikatsverwaltung
registriert werden. Dabei wird das eigentliche Zertifikat in der Zertifikatsverwaltung abgelegt und eine Referenz auf
das Zertifikat erzeugt. Der private Schlüssel muss zu jeder Zeit im alleinigen Besitz des
Zertifikatsinhabers bleiben.
Die Vertrauensdienstleister stellen in ihrer PKI-Infrastruktur die eigentlichen Zertifikate als Download zur Verfügung. In der OVDS Verwaltung steht ein Formular zur Verfügung, mit dessen Hilfe das eigentliche Zertifikat heruntergeladen werden kann. Dazu muss lediglich die Seriennummer des Zertifikates in ein Feld eingegeben werden.
Die eigentlichen Zertifikate von fortgeschrittenen Test-Zertifikaten werden aktuell von der D-Trust GmbH noch nicht in deren PKI-Infrastruktur zum Download bereitgestellt, die eigentlichen Zertifikate von qualifizierten Test-Siegelkarten wohl. Aus dateibasierten fortgeschrittenen Zertifikaten können die eigentlichen Zertifikate auch selbstständig aus dem PKCS#12 Container extrahiert und als .cert Datei abgespeichert werden. Dazu steht auf allen Windowssystemen die Benutzer-Zertifikatsverwaltung zur Verfügung.
Im späteren Verifizierungsprozess wird von der Siegel Check App über die Referenz das eigentliche Zertifikat aus Zertifikatsverwaltung abgerufen. Dieses Verfahren ist erforderlich, da aus Speicherplatzgründen das Siegelzertifikat selbst nicht in das OVDS-Siegel integriert werden kann. Entsprechend den technischen Richtlinien, werden nur Siegelzertifikate auf Basis des Elliptic Curve Digital Signature Algorithm (ECDSA) unterstützt.
Des Weiteren werden im Demo-Projekt zusätzlich fortgeschrittene und qualifizierte Test-Siegelzertifikate der D-Trust GmbH unterstützt. Alle anderen Zertifikate werden nicht unterstützt.
Eigentümer von eigenen fortgeschrittenen Test Qualifield Seal-ID Zertifikaten der D-Trust GmbH können ihr Zertifikat im Web-Signer nutzen. Besitzer einer qualifizierten Test-Siegelkarte Card 4.4 Multicard der D-Trust GmbHT müssen den Siegelkarten Signer benutzen.
Vor dem erstmaligen Gebrauch müssen die eigentlichen Zertifikate aus den gelieferten Zertifikaten einmalig in der OVDS Verwaltung registriert werden.
Für qualifizierte D-Trust Test-Zertifikate auf Chipkarten steht dazu in der OVDS Verwaltung eine Downloadmöglichkeit des eigentlichen Zertifikates in Form einer .cer Datei über die Eingabe der Seriennummer bereit. Die Seriennummer kann mit dem bei der Bestellung der Siegelkarte mitgelieferten D-Trust Card Assistant ab der Version 3.8.0.2 ausgelesen werden. Beachten Sie bitte, dass sich auf der Test-Siegelkarte Card 4.4 Multicard der D-Trust GmbH drei verschiedene Zertifikate befinden, ein Inhaberzertifikat und zwei Ausstellerzertifikate. Nur die Seriennummer des Inhaberzertifikates wird benötigt.
Das eigentliche Zertifikat von dateibasierten, fortgeschrittenen Test-Zertifikaten kann mit Hilfe der windowseigenen Benutzer-Zertifikatsverwaltung aus dem PKCS#12 Container extrahiert werden. Wählen Sie als .cer Format 'DER-codiert-binär X.509' aus. Beachten Sie, dass die Checkbox "Nein, privaten Schlüssel nicht exportieren" aktiviert ist. Der private Schlüssel muss zu jeder Zeit in Ihrem alleinigen Besitz verbleiben.
Die App-PKI ist eine reine Demoinfrastruktur. Die App-PKI(IT.NRW) ist nicht als Vertrauensdienstleister im Rahmen der eIDAS-Verordnung bei der Bundesnetzagentur gelistet. App-PKI Zertifikate sind keine rechtssicheren Zertifikate und dürfen nur für Demonstrationszwecke benutzt werden.
Die Vertrauensdienstleister stellen in ihrer PKI-Infrastruktur die eigentlichen Zertifikate als Download zur Verfügung. In der OVDS Verwaltung steht ein Formular zur Verfügung, mit dessen Hilfe das eigentliche Zertifikat heruntergeladen werden kann. Dazu muss lediglich die Seriennummer des Zertifikates in ein Feld eingegeben werden.
Die eigentlichen Zertifikate von fortgeschrittenen Test-Zertifikaten werden aktuell von der D-Trust GmbH noch nicht in deren PKI-Infrastruktur zum Download bereitgestellt, die eigentlichen Zertifikate von qualifizierten Test-Siegelkarten wohl. Aus dateibasierten fortgeschrittenen Zertifikaten können die eigentlichen Zertifikate auch selbstständig aus dem PKCS#12 Container extrahiert und als .cert Datei abgespeichert werden. Dazu steht auf allen Windowssystemen die Benutzer-Zertifikatsverwaltung zur Verfügung.
Im späteren Verifizierungsprozess wird von der Siegel Check App über die Referenz das eigentliche Zertifikat aus Zertifikatsverwaltung abgerufen. Dieses Verfahren ist erforderlich, da aus Speicherplatzgründen das Siegelzertifikat selbst nicht in das OVDS-Siegel integriert werden kann. Entsprechend den technischen Richtlinien, werden nur Siegelzertifikate auf Basis des Elliptic Curve Digital Signature Algorithm (ECDSA) unterstützt.
Hinweis Demo-Projekt
Im Demo-Projekt sind in der Web-Signer Komponente zwei verschiedene, bereits registrierte,
fortgeschrittene selbstsignierte Test Siegelzertifikate aus der APP-PKI von IT.NRW zur direkten
Verwendung hinterlegt. Alle Zertifikate aus der App-PKI dienen nur zu Demonstrationszwecken und sind nicht für einen produktiven Einsatz geeignet.
Des Weiteren werden im Demo-Projekt zusätzlich fortgeschrittene und qualifizierte Test-Siegelzertifikate der D-Trust GmbH unterstützt. Alle anderen Zertifikate werden nicht unterstützt.
Eigentümer von eigenen fortgeschrittenen Test Qualifield Seal-ID Zertifikaten der D-Trust GmbH können ihr Zertifikat im Web-Signer nutzen. Besitzer einer qualifizierten Test-Siegelkarte Card 4.4 Multicard der D-Trust GmbHT müssen den Siegelkarten Signer benutzen.
Vor dem erstmaligen Gebrauch müssen die eigentlichen Zertifikate aus den gelieferten Zertifikaten einmalig in der OVDS Verwaltung registriert werden.
Für qualifizierte D-Trust Test-Zertifikate auf Chipkarten steht dazu in der OVDS Verwaltung eine Downloadmöglichkeit des eigentlichen Zertifikates in Form einer .cer Datei über die Eingabe der Seriennummer bereit. Die Seriennummer kann mit dem bei der Bestellung der Siegelkarte mitgelieferten D-Trust Card Assistant ab der Version 3.8.0.2 ausgelesen werden. Beachten Sie bitte, dass sich auf der Test-Siegelkarte Card 4.4 Multicard der D-Trust GmbH drei verschiedene Zertifikate befinden, ein Inhaberzertifikat und zwei Ausstellerzertifikate. Nur die Seriennummer des Inhaberzertifikates wird benötigt.
Das eigentliche Zertifikat von dateibasierten, fortgeschrittenen Test-Zertifikaten kann mit Hilfe der windowseigenen Benutzer-Zertifikatsverwaltung aus dem PKCS#12 Container extrahiert werden. Wählen Sie als .cer Format 'DER-codiert-binär X.509' aus. Beachten Sie, dass die Checkbox "Nein, privaten Schlüssel nicht exportieren" aktiviert ist. Der private Schlüssel muss zu jeder Zeit in Ihrem alleinigen Besitz verbleiben.
Die App-PKI ist eine reine Demoinfrastruktur. Die App-PKI(IT.NRW) ist nicht als Vertrauensdienstleister im Rahmen der eIDAS-Verordnung bei der Bundesnetzagentur gelistet. App-PKI Zertifikate sind keine rechtssicheren Zertifikate und dürfen nur für Demonstrationszwecke benutzt werden.
Mit dem Web-Signer können die erzeugten Fachdaten mit einem registrierten fortgeschrittenen
Siegelzertifikat signiert werden. Das Zertifikat muss sich als Datei auf dem Windows Rechner des
Benutzers befinden. Der Signierprozess findet ausschließlich im Browser des
eingeloggten Benutzers mit JavaScript statt. Das eigentliche Zertifikat und der private Schlüssel
verlassen während des Siegelprozesses zu keiner Zeit den
Windows Rechner. Nach Beendigung des Siegelprozesses werden die signierten Fachdaten automatisch in
die OVDS Verwaltung übertragen. Der Web-Signer unterstützt eine Massenverarbeitung, falls mehrere
Fachdatensätze gleichzeitig signiert werden sollen.
Hinweis Demo-Projekt
In der Web-Signer Komponente sind bereits zwei registrierte fortgeschrittene Test-Siegelzertifikate
aus der APP-PKI von IT.NRW zur direkten Verwendung fest hinterlegt.
Im Drucker werden die signierten Fachdatensätze in ein optisch verifizierbares Siegel umgewandelt.
Der Drucker unterstützt eine Massenverarbeitung, falls mehrere signierte Fachdatensätze zum Drucken
bereitstehen.
Hinweis Demo-Projekt
Im Demo-Projekt ist eine Druckvorlage für einen Bewohnerparkausweis fest hinterlegt. Der
Bewohnerparkausweis wird nach der Siegelerzeugung automatisch auf den Rechner des Benutzers als
PDF-Datei im Downloadordner abgelegt.
Siegel Check App
Bei der Verifizierung decodiert die App zunächst die Inhaltsdaten und die Zertifikatsreferenz aus
dem OVDS Siegel. Anschließend lädt die App aus der Zertifikatsverwaltung mit Hilfe der decodierten Zertifikatsreferenz, das zur
Signierung verwendete Zertifikat und aus der Profilverwaltung über den Profilnamen, das dem
Fachdatensatz zugrundeliegende Profil. Diese Abrufe erfolgen
automatisch während des Scanvorgangs. Über eine Statusanzeige kann die Gültigkeit des
verwendeten Zertifikates abgelesen werden. Aus den dekodierten Inhaltsdaten und dem
heruntergeladenen Profil wird das Verwaltungsdokument rekonstruiert. Durch Vergleich mit den Daten
auf dem Ausdruck kann die Unversehrtheit der Daten überprüft werden.
Für die Offlinefähigkeit können Zertifikate und Profile vorab in der App gespeichert werden.
Für die Offlinefähigkeit können Zertifikate und Profile vorab in der App gespeichert werden.
OVDS Siegelkarten Signer
Der OVDS Siegelkarten Signer ist ein Java basiertes Desktop Programm und dient zur Signierung
von erzeugten Fachdatensätze mit einem registrierten qualifizierten Siegelzertifikat. Der
Benutzer muss sich nach dem Start des Programms mit seinen Zugangsdaten zur OVDS Verwaltung
zunächst anmelden. Der Abruf seiner Fachdatensätze aus der OVDS Verwaltung erfolgt automatisch.
Der eigentliche Signierprozess findet ausschließlich auf der Siegelkarte statt. Der private
Schlüssel verlässt während des Siegelprozesses zu keiner Zeit die Siegelkarte. Nach Beendigung
des Siegelprozesses werden die signierten Fachdaten automatisch in die OVDS Verwaltung
übertragen. Der OVDS Siegelkarten Signer unterstützt eine Massenverarbeitung, falls mehrere
Fachdatensätze zum Signieren bereitstehen.
Hinweis Demo-Projekt
Im Demo-Projekt wird nur die Test-Siegelkarte Card 4.4 Multicard der D-Trust GmbH mit ECDSA
Algorithmus unterstützt.