Eidgenössisches Departement des Innern EDI Bundesamt für Statistik BFS Abteilung Register 1 Update sedex-Client................................................................ 1 2 Umgang mit Zertifikaten ......................................................... 2 3 Installationen mittels Restore ................................................ 2 4 End-of-Life der CA AdminCA-CD-T01 ................................... 3 5 sedex-Verzeichnisse ............................................................... 3 Werter Leser, diese Information richtet sich an Anwender, Betreiber von sedex-Clients, Domänenvertreter sowie technisch interessierte Personen. Das sedex-Team informiert Sie punktuell über technische oder organisatorische aktuelle Themen rund um sedex. 1 Update sedex-Client Wir bitten alle Betreiber im Verlauf des Jahres 2016 den sedex-Client auf die aktuellste Version zu bringen. Etliche noch eingesetzte sedex-Client Versionen sind in die Jahre gekommen. Bis zu der Version 4 sind für die Kommunikation zwischen sedex-Client und sedex-Server vier URL, daher Web-Services, erforderlich. Diese verursachen entsprechende Betriebskosten sowie zum Teil komplizierte Supportfälle. Die Version 5 verwendet eine neue URL mit optimiertem Web-Service. Aber auch aus Sicherheitsgründen drängt sich nun das Update zur Version 5 auf. Die älteren sedex-Clients verwenden Java-Programmteile, welche zwischenzeitlich als nicht mehr sicher gelten. Mit den Domänenvertretern wurde vereinbart, dass die sedex-Client Versionen kleiner als 5.x, noch bis 31.12.2016 betrieben werden können. Der jeweils aktuelle sedex-Client mit Installationsanleitung steht auf der Website www.sedex.ch > Downloads zur Verfügung. Das Update erfolgt autonom. Wird gemäss der Installationsanleitung vorgegangen ist keine Koordination mit dem sedex-Support erforderlich. Pro Installation ist mit ca. 10-20 Minuten zu rechnen. Eventuell wird eine URL-Freischaltung / Portöffnung benötigt (https://sedex-service.admin.ch). Anfang 2017 planen wir die vier URL (Web-Services) für die älteren Versionen ausser Betrieb zu nehmen. Danach werden die sedex-Clients bis und mit Version 4.0.4 nicht mehr funktionieren. Office fédéral de la statistique OFS Service clientèle sedex Espace de l'Europe 10, 2010 Neuchâtel Referenz/Aktenzeichen: pod 2 Umgang mit Zertifikaten Wir bitten die Betreiber von sedex-Clients, ihre Backupkonzepte zu verifizieren. Mit der sedex-Client Version 5 ist auch der Ausgabeprozess für die Zertifikate überarbeitet worden. Das individuelle Zertifikat (private key) sowie das Passwort werden nicht mehr transportiert und sind nur dem sedex-Client bekannt. Ein allfällig abhanden gekommenes Zertifikat kann vom sedex-Support oder der CA (Certificate Authority) nicht wieder hergestellt werden. Im schlimmsten Fall führt dies dazu, dass erhaltene Meldungen nicht entschlüsselt werden können. Melden Sie einen Verlust oder den Verdacht auf eine unautorisierte Kopie umgehend dem sedex-Support, damit das betroffene Zertifikat deaktiviert werden kann; dies auch, um zu verhindern, dass andere sedex-Teilnehmer weitere Meldungen senden. Es ist zu beachten, dass ein sedex-Zertifikat jederzeit erneuert werden kann. Aufgrund von Zertifikatserneuerungen oder Supportfällen kann ausserdem ein sedex-Client bis zu 31 Tage über mehrere gleichzeitig gültige Zertifikate verfügen. Das Backupkonzept des sedex-Client Betreibers muss diese Konstellationen abdecken. Weitere Angaben dazu finden Sie im „sedex Betriebs- / Integrationshandbuch“ unter www.sedex.ch > Downloads. 3 Installationen mittels Restore Vermeiden Sie die Restore Falle (zurückspielen von Backup) Der sedex-Client besteht aus diversen ausführbaren Programmteilen, einer Datenbank, Protokolldateien, Zertifikate etc… Während die Programmteile eher statischen Charakter haben, verändern sich die Datenbank, Protokolldateien laufend. Auch die Zertifikate ändern periodisch. Wird zum Beispiel eine Meldung versendet, merkt sich der sedex-Client die Message ID und den Status „versendet“. Sobald die Quittung des Empfängers eintrifft, wird der Status auf „erfolgreich versendet“ gesetzt und die Transaktion abgeschlossen. Wird nun der sedex-Client auf einem neuen Rechner installiert und es wird dazu auf ein Backup von vor dem Versand der Meldung zurückgegriffen, ist die erwähnte Message ID in der Datenbank nicht enthalten. Trifft nun die Quittung des Empfängers ein, generiert dies einen Fehler. Die Transaktion kann nicht abgeschlossen werden. Der Versand dieser Meldung ist nicht mehr nachvollziehbar (Hinweis: Auf dem sedex-Server ist natürlich dennoch der gesamte Verlauf protokolliert). Im Beispiel von erneuerten Zertifikaten und Passwörter sind diese verloren. Der sedex-Client kann dann allenfalls nicht mehr mit dem sedex-Server verbinden. Diese können in der alten Installation aufgefunden werden. Wenn immer möglich ist daher unbedingt gemäss dem publizierten „sedex Betriebs- / Integrationshandbuch“ unter www.sedex.ch > Downloads vorzugehen. Dort wird aufgezeigt wie die aktuelle Installation des sedex-Client herangezogen wird. Nicht aktuelle Backup haben in der Vergangenheit immer wieder zu Supportfällen geführt. Diese Methode sollte nur im äussersten Fall angewendet werden. sedex-insider – Januar 2016 Seite 2 Referenz/Aktenzeichen: pod 4 End-of-Life der CA AdminCA-CD-T01 Der Prozess zur Erneuerung der Zertifikate ist abgeschlossen. Jeder sedex-Client benötigt für die Authentifizierung sowie Verschlüsselung ein individuelles elektronisches Zertifikat. Diese Zertifikate werden mittels einer CA (Certificate Authority) der Swiss Government PKI erzeugt. Die sedex Zertifikate wurden bisher mit der CA „AdminCA-CD-T01“ erzeugt. Seit Sommer 2015 verwenden wir die neue CA „Swiss Government Regular CA 01“. Mit dem End-of-Life der CA „AdminCA-CD-T01“ laufen auch alle damit erstellten Zertifikate per 25.01.2016 aus. Die erforderliche Erneuerung der sedex-Zertifikate wurde vom sedex-Team Ende 2015 vorgenommen. Rund 2‘800 Zertifikate wurden so ersetzt. Als Betreiber eines sedex-Client mussten Sie keine weiteren Schritte vornehmen. Bei technischen Problemen hatte das Support-Team die verantwortliche Person direkt kontaktiert. sedex-Clients, welche sich im Verlauf 2015 nie an der sedex-Plattform angemeldet hatten und somit der sedex-Client nie gestartet wurde sowie Test-Clients (zum Beispiel T1-123-1), mit einer Version kleiner als 5.0, bitten wir bei Gelegenheit unseren Support zu kontaktieren und mitzuteilen, ob der sedexTeilnehmer noch benötigt wird. 5 sedex-Verzeichnisse Online Verzeichnisse Unsere Webseite www.sedex.ch wurde überarbeitet. Sie finden täglich aktualisierte, dynamische Listen mit den aktiven Domänen, Meldungstypen sowie allen sedex-Teilnehmern. Service sedex www.sedex.ch [email protected] 0800 866 700 Wenn Sie diese Information nicht mehr erhalten möchten, klicken Sie bitte hier: annullieren sedex-insider – Januar 2016 Seite 3