Sofern möglich, verlängert A-Trust Ihr Zertifikat automatisch 30 Tage vor Ablauf und versendet eine Information per E-Mail.
Nach erfolgter Verlängerung sind noch einige Schritte durch den User erforderlich, um die Verlängerung abzuschließen - eine Anleitung finden Sie unter diesem Link.

Dies hängt von mehreren Faktoren ab - in der Regel liegt die Karte ungefähr eine Woche nach der Bestellung in der ausgewählten Registrierungsstelle auf.
In Einzelfällen kann es aber auch zu einer längeren Durchlaufzeit -z.B. durch Feiertage - kommen.

Vorrausetzungen

• betriebsbereites Kartenlesegerät
• a.sign Client. (Rotes "a" Symbol bei Uhrzeit) ab Version 1.2.4.2
• a.sign premium Zertifikat (Signaturkarte)

* Falls der Treiber für das Kartenlesegerät oder der a.sign Client noch installiert werden müssen, dann benutzen sie den a.sign Full Installer.

ZMR Personenbindung - Anleitung

• Karte einlegen, Rechtsklick auf a.sign Client (Rotes "a" Symbol bei Uhrzeit) und den Befehl "Karte aktualsieren" ausführen. Klicken sie bitte mit der rechten Maustaste auf den a.sign Client
• Wählen sie die Funktion "Kundendienste Online".
• Hier nun "Zentrales Melderegister" anklicken
• Wenn hier ihr Zertifikat angezeigt wird bitte auf "ZMR-Abfrage starten" klicken  Sie werden nun aufgefordert den4stelligen GEHEIMHALTUNGSPINeinzugeben nach Pin-Eingabe werden ihre Meldedaten aus dem Zentralen Melderegister abgerufen und dargestellt zwecks Kontrolle.
• Sind diese Daten korrekt bitte auf "ja ich unterschreibe" klicken und erneut den 4stelligen GEHEIMHALTUNGSPIN eingeben.
• Nun werden sie gefragt ob die wirklich die Daten auf die Karte schreiben möchten. Bitte diese Meldung ebenfalls mit "ja/OK" bestätigen und danach ein letztes Mal den4stelligen GEHEIMHALTUNGSPINeingeben.
• Sie sollten nun die Meldung lesen "ZMR Bindung wurde erfolgreich auf Karte geschrieben". ZMR Bindung ist nun abgeschlossen. Diese kann jederzeit wiederholt werden wenn sich die Meldedaten ändern.

Hinweis: Wenn sie bei der Abfrage der Daten die Fehlermeldung erhalten: "es wurde kein Eintrag im Melderegister gefunden" sind die Daten mit den Meldedaten zu vergleichen. Für die Bereitstellung dieser Daten ist direkt die Meldebehörde zuständig.

Der e-Tresor als persönlicher zentraler elektronischer Speicherort bietet Ihnen die Möglichkeit, alle wichtigen Dokumente in digitaler Form verschlüsselt abzulegen.

Es stehen Ihnen mehrere Varianten zur Verfügung, Ihren E-Tresor mit Dokumenten zu füllen.

Zum einen können Sie Dokumente einfach von einem lokalen Speicherplatz hochladen (Festplatte,USB-Speicher).
Sie können sich Dokumente auch selbst an Ihre e-Tresor E-Mail Adresse senden. Diese Dokumente werden in Ihrer Inbox abgelegt und Sie entscheiden, wie Sie die Schriftstücke ablegen möchten.
Wenn Sie Ihre e-Tresor E-Mail Adresse bekannt geben, können Sie sich auch von anderen Personen Dokumente an den e-Tresor senden lassen.
Neben der Möglichkeit Ihre Dokumente im e-Tresor zu sammeln und sicher abzuspeichern, können Sie einzelne dieser Schriftstücke auch für andere Personen sichtbar machen.
Hierfür stellen Sie einfach die gewünschten Dokumente in die so genannte Showbox des e-Tresors und verschlüsseln den Zugriff darauf mit einem Passwort Ihrer Wahl. Zudem können Sie dabei angeben, wie lange diese Dokumente in Ihrer Showbox verbleiben sollen.

Jenen Personen, denen Sie auf diese Dokumente Zugriff gewähren wollen, geben Sie das Passwort Ihrer Showbox bekannt. So ermöglichen Sie diesen einen einfachen und schnellen Zugriff auf Ihre Dokumente.

Nach Ablauf der von Ihnen gewählten Zeit werden die Schriftstücke automatisch aus der Showbox entfernt.

 

Jetzt für Ihren e-Tresor anmelden.

Haben Sie noch Fragen?

Ihre wichtigen Dokumente werden in verschlüsselter Form gespeichert und liegen auf Servern im Hochsicherheits-Rechenzentrum der A-Trust.

Der Zugriff auf Ihre Dokumente erfolgt nach Ihrer Wahl nur über Ihre sichere Signatur. Somit können ausschließlich Sie auf Ihren e-Tresor zugreifen.

Sie haben jedoch die Möglichkeit, Ihre Dokumente anderen Personen zugänglich zu machen. Dabei können Sie die gewünschten Dokumente in die Showbox verschieben, mit einem eigenen Passwort verschlüsseln und die Dauer für deren Sichtbarkeit auch selbst bestimmen. So haben auch nur Personen für den gewählten Zeitraum Zugriff auf Ihre Dokumente, denen Sie das Showbox-Passwort bekannt gegeben haben.

Der e-Tresor ist eine nach der ÖNORM A 7700 zertifizierte Webapplikation.

Zur erstmaligen Registrierung Ihres e-Tresors benötigen Sie eine aktivierte Bürgerkarte (Smartcard oder Handy-Signatur).

Neben der Anmeldung zum e-Tresor können Sie mit dieser auch Ihre Dokumente signieren oder sich mit der Bürgerkartenfunktion bei anderen bürgerkartentauglichen Anwendungen anmelden.

Bei der Anmeldung zum e-Tresor wird Ihnen eine e-Tresor E-Mail Adresse zugewiesen, mit der Sie sich Dokumente an den e-Tresor senden lassen können. Alle Dokumente werden dabei verschlüsselt auf einem der e-Tresor Server abgelegt.

Die Entschlüsselung Ihrer Dokumente erfolgt nach der Authentifizierung des e-Tresor Inhabers. Somit sind Sie die einzige Person, die auf die Daten in Ihrem e-Tresor tatsächlich zugreifen kann.

Die Anwendung des e-Tresors sowie alle gespeicherten Daten befinden sich auf Servern im Hochsicherheits-Rechenzentrum der A-Trust.

Ihre Bestellung muss vor der Ausstellung durch einen Sachbearbeiter kontrolliert und freigegeben werden. Danach wird das Zertifikat automatisiert an die angegebene Adresse versendet, womit eine Bestellung im Normalfall innerhalb eines Werktages abgewickelt ist.

Wenn es sich um eine dringende Bestellung handelt, kontaktieren Sie uns bitte unmittelbar nach dem Absenden der Mail.

Da Sie den PIN selbst gewählt haben, hilft in diesem Fall nur die Anforderung eines neuen Zertifikats über die A-Trust Website.

A-Trust informiert Sie per E-Mail rechtzeitig über den Ablauf Ihres alten Zertifikats, wobei ein neues Zertifikat bereits ausgestellt und mitgesendet wird.

Bei a.sign light handelt es sich um ein Softwarezertifikat, das auf einem Rechner installiert werden kann und nicht auf eine Karte gebunden ist. Da hierbei kein qualifiziertes Zertifikat ausgestellt werden darf, handelt es sich bei a.sign light nicht um eine Bürgerkarte.

Hierzu braucht man eine Applikation, welche die LDAP Kommunikation übernimmt. Geeignet sind zum Beispiel Mail Clients wie Outlook (Express) oder spezialisierte LDAP Clients. Der Zugriff erfolgt auf den Server ldap.a-trust.at auf Port 389 mittles anonymous LDAP-Bind. 

Outlook (Express)

Um auf den Verzeichnisdienst zugreifen zu können, ist ein Konto vom Typ Verzeichnis anzulegen. Unter Server ist ldap.a-trust.at einzutragen, als Searchbase o=a-trust, c=AT. Nun kann man mit Hilfe des Adressbuches nach Drücken des "Personen suchen Buttons", im Verzeichnis der A-Trust nach dem Empfänger suchen und diesen samt seines Zertifikates in sein persönliches Adressbuch übernehmen. 

LDAP Client

Als Beispiel eines LDAP Clients ist die Freeware Software "LDAP Administrator" zu empfehlen, welche unter http://www.ldapbrowser.com erhältlich ist. Als Host ist wieder ldap.a-trust.at, als Port 389, als LDAP Version 3 einzutragen. Base DN ist o=a-trust,c=AT und die Checkbox Anonymous Bind ist auszuwählen. 

Um Trivialsuchen und missbräuchliche Verwendung zu verhindern, wird der LDAP Server mit einem Timelimit und Sizelimt betrieben. Bitte zu beachten, wenn eine Abfrage länger als 300 sec dauert oder die Anzahl der Treffer 200 übersteigt, wird eine entsprechende Fehlermeldung zurückgegeben.

Die Zertifikatsgültigkeit kann auf drei Arten überprüft werden:

A-Trust Website

Sie können einzelne Zertifikate händisch über unsere Website auf Ihre Gültigkeit überprüfen. 

 

LDAP

Der Verzeichnisdienst der A-Trust ist in Form von mehreren LDAP Servern an zwei unterschiedlichen Standorten, die über ldap.a-trust.at, TCP/IP Port 389 erreichbar sind, implementiert.

Eine DNS Abfrage löst den Namen folgendermaßen auf: ldap.a-trust.at 217.13.182.84

Über diese URL werden die Ldap-Server je nach deren Auslastung zur Beantwortung der Kundenanfragen herangezogen.

Um Trivialsuchen und missbräuchliche Verwendung zu verhindern, wird der LDAP Server mit einem Timelimit und Sizelimt betrieben, bitte zu beachten, wenn eine Abfrage länger als 300 sec dauert oder die Anzahl der Treffer 200 übersteigt, wird eine entsprechende Fehlermeldung zurückgegeben.

OCSP

Der Zugriff auf den A-Trust OCSP Dienst erfolgt über den DNS Namen ocsp.a-trust.at TCP/IP Port 80:

Alternativ kann in manchen Zertifikaten auch eine andere URL der Form http://www.a-trust.at:82/ocsp stehen. Manche Standardapplikationen können automatisch eine OCSP Abfrage auf diesen Port 82 durchführen. Bei manueller Konfiguration wird allerdings die Verwendung des Port 80 empfohlen.

Die Antworten des OCSP Servers sind digital signiert. Die Verifikation der Signatur ist mit folgendem Zertitikat möglich:

 Dieses Zertifikat läuft am 05.12.2008 ab. A-Trust wird am Fr. 28.11.2008 15:00 dieses Zertifikat durch das unten angeführte ersetzen.

Ab 28.11.2008 15:00 muss zur Verifikation der OCSP Requests dieses Zertifikat verwendet werden. 

Bei openSSL handelt es sich um ein freies, offenes Toolkit, welches viele Aspekte der PKI abdeckt. Nähere Informationen sind unter www.openssl.org zu finden.

Eine Win32 Portierung ist unter OpenSSL for Windows zu beziehen.

Zertifikate vom DER codierten .cer Format nach PEM umwandeln. Zertifikate werden von A-Trust im .cer Format behandelt, manchmal ist es allerdings nötig, diese in das PEM Format umzuwandeln:

openssl x509 -in MyCert.cer -inform DER -out MyCert.pem -outform PEM

Diese Commandline wandelt MyCert.cer nach MyCert.pem um.

PEM nach p12

Wenn man den privaten Schlüssel im PEM Format vorliegen hat, und diesen samt zugehörigem Zertifikat in eine PKCS #12 Datei (p12) umwandeln möchte:

openssl pkcs12 -export -inkey newkey.pem -out pkcs12.p12 -in MyCert.pem

Diese Commandline wandelt den privaten Schlüssel newkey.pem samt zugehörigem Zertifikat MyCert.pem in die PKCS#12 Datei pkcs12.p12 um.
Hierbei wird man zunächst nach dem Passwort für newkey.pem, anschließend 2x nach dem neuen PIN für die p12 Datei gefragt.
Gegebenenfalls ist das von A-Trust zugesendete .cer Zertifikat noch in das .pem Format umzuwandeln.

In unserem Wiki finden Sie einige Anleitungen, wie diverse Produkte eingerichtet werden müssen, um  Zertifikate von A-Trust zu unterstützen.

Wenn jemand nicht mehr berechtigt ist, sein Zertifikat zu nutzen, oder der Schlüssel in fremde Hände gerät, wird dieses Zertifikat von der A-Trust zurückgezogen und in eine Liste der gesperrten Zertifikate CRL (Certificate Revocation List) aufgenommen. 

Es ist also wichtig, ein Fremdzertifikat vor jeder Anwendung auf Gültigkeit zu prüfen (z. B.: prüfen der Signatur), indem die Zertifikatsseriennummer gegen die Liste in der momentan aktuellsten CRL verglichen wird. Die Liste der zurückgezogenen Zertifikate ist im Verzeichnisdienst der A-Trust zu finden (ldap://ldap.a-trust.at).

In jedem von der A-Trust ausgestellten Zertifikat befindet sich ein Verweis auf diese Liste. Trotzdem bedarf es einiger Konfigurationsschritte, um Standardapplikationen dazu zu bringen, diese Liste zu verwenden. MS Outlook Express: Menü Tools | Optionen | Sicherheit Button Erweitert Hier gibt es die Mögichkeit die Option auszuwählen, dass Zertifikate gegen die CRL verglichen werden.

Alle unter A-Trust-(n)Qual ausgestellten Sperrlisten haben folgende Gültigkeit:

• Alle zwei Stunden wird eine neue CRL erzeugt 
• Jede CRL ist maximal sechs Stunden gültig 
• Im Falle eines Widerrufs wird sofort eine neue CRL publiziert, die allerdings nicht länger gültig ist, als die reguläre CRL.
  zB.: die letzte CRL war bis 16:30 gültig, um 14:00 wird ein Zertifikat widerrufen, daraufhin wird eine neue CRL mit der Gültigkeit 14:00 bis 16:30 erzeugt (kürzer als sechs Stunden möglich).

Die qualifizierte digitale Signatur ist im Signaturgesetz (SigG) auf Basis der EU-Richtlinie für elektronische Signaturen geregelt:

Die qualifizierte digitale Signatur ist ein Werkzeug, mit dem man Informationen in Form von elektronischen Daten (z.B. im Internet) genauso rechtsgültig unterschreiben kann wie Informationen auf Papier mittels der eigenhändigen Unterschrift.

Neben dieser Rechtsgültigkeit leistet die qualifizierte digitale Signatur mit weltweit unvergleichbarer Sicherheit den Schutz vor unbemerkter Veränderung/Fälschung der Daten, die man unterschrieben, also signiert hat.