In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Krankenanstalten Software-Zertifikat Anmeldeformular v2.1 - E-Card

Werbung 
e-card in
Krankenanstalten
Anmeldeformular
Software-Zertifikate
Wien, März 2014
Inhaltsverzeichnis
1
1.1
1.1.1
1.1.1.1
1.1.1.2
1.1.2
1.1.3
1.1.4
1.2
1.2.1
1.2.2
2
2.1
2.2
2.3
2.4
3
3.1
3.2
3.3
3.4
Document1
Allgemeine Informationen ....................................................................................................... 3
Anforderungen an Software-Zertifikate ...................................................................................3
Zuordnung Software-Zertifikate zu einer Vertragspartnernummer ...........................................3
Produktivsystem .....................................................................................................................3
Test-Referenzsystem ..............................................................................................................4
Technische Vorgaben .............................................................................................................4
Zertifikat Aussteller - DN .........................................................................................................4
Prüfungen ...............................................................................................................................4
Zulieferung von Software-Zertifikaten .....................................................................................5
Produktivsystem .....................................................................................................................5
Test-Referenzsystem ..............................................................................................................5
Formulare ............................................................................................................................... 6
Kontaktdaten (Zentrale Ansprechpartner für SW-Zertifikate) ...................................................6
Anfrageart ...............................................................................................................................6
Anmeldung Zertifikat ...............................................................................................................7
Widerruf eines bereits angemeldeten Zertifikats .....................................................................8
Anhang ................................................................................................................................... 9
Dokumentationen....................................................................................................................9
Beispieltext für Bestätigung...................................................................................................10
Hinweise – Ausfüllen Antragsformular ..................................................................................11
Checkliste – Einmeldung Software-Zertifikat .........................................................................12
Seite 2 von 12
1 Allgemeine Informationen
Diese Formulare ermöglichen die Anmeldung von Software-Zertifikaten, die für die
Authentifizierung gegenüber dem e-card-System eingesetzt werden können.
SW-Zertifikate können entweder anstatt der o-cards oder auch in Kombination mit diesen
verwendet werden. Die dem Zertifikat zugeordneten o-cards behalten auch nach der Aktivierung
von SW-Zertifikaten die volle Funktionsfähigkeit und können somit parallel zu den Zertifikaten
verwendet werden.
Links zu Dokumentationen sind im Kapitel 3.1 Dokumentationen zu finden.
1.1 Anforderungen an Software-Zertifikate
1.1.1 Zuordnung Software-Zertifikate zu einer Vertragspartnernummer
1.1.1.1 Produktivsystem
Einem Software-Zertifikat kann nur eine Vertragspartnernummer (VPNR) zugeordnet werden. Es
wird empfohlen die Haupt-Vertragspartnernummer (VPNR) der Krankenanstalt, für die das
Zertifikat gelten soll anzugeben. Es werden automatisch alle Bezugs-VPNR (z.B. für Abteilungen,
Stationen, Ambulanzen usw.) – wenn vorhanden – zu diesem Zertifikat zugeteilt.
Software-Zertifikate in Krankenanstaltenverbünden
- In Verbünden mit mehreren Häusern muss pro Haupt-VPNR (pro Haus) ein Zertifikat
angemeldet werden.
- Das KIS muss alle SW-Zertifikate verwalten.
- Ein SW-Zertifikat pro Anstalt ist ausreichend, auch wenn die Abteilung (Bezugs-VPNR) bei
der Applikation angegeben werden muss (Verwaltung durch KIS).
Verbund
SW-Zertifikat
SW-Zertifikat
1
3
Krankenanstalt
1
Krankenanstalt
2
Krankenanstalt
3...n
SW-Zertifikat
2
Abteilung 1...n
Abteilung 1
Abteilung 1
Abteilung 2...n
Abteilung 2...n
Abbildung 1: Konzeptuelle Darstellung der Verwendung von Software-Zertifikate in Krankenanstaltenverbünden mit mehreren
Häusern.
Document1
Seite 3 von 12
1.1.1.2 Test-Referenzsystem
Ein Zertifikat für das Test-Referenzsystem MUSS einer VPNR der gelieferten Pseudo-o-cards
zugeordnet werden. Es dürfen keine produktiven VPNRs verwendet werden.
Aus dem Filenamen des Zertifikats soll erkennbar sein, für welche VPNR es ausgestellt wurde.
Im Test-Referenzsystem gibt es keine hierarchische Struktur, jedes Zertifikat gilt für eine
bestimmte VPNR.
1.1.2 Technische Vorgaben
Für neu ausgestellte Software-Zertifikate gelten Vorgaben hinsichtlich folgender Parameter:
Parameter
Zertifikats-Signaturalgorithmus
Zertifikats-Schlüsseltyp
Schlüssellänge Min.
Schlüssellänge Max.
Anwendungs-Signatur
Die Aktuellen Vorgaben sind im Kapitel 3.2 Erlaubte Parameter definiert.
1.1.3 Zertifikat Antragsteller - DN
Aus den Parametern für den Antragsteller muss erkennbar sein, für welche Krankenanstalt und
für welche Haupt-VPNR das Zertifikat ausgestellt wurde.
Aus dem Filenamen des Zertifikats soll erkennbar sein, für welche VPNR es ausgestellt wurde.
Die im Zertifikat verwendeten Distinguished Names (Subject, Issuer) dürfen nur folgende, in RFC
1779 (A String Representation of Distinguished Names) definierten RDNs enthalten:
Key
Attribute (X.520 keys)
CN
L
ST
O
OU
C
STREET
CommonName
LocalityName
StateOrProvinceName
OrganizationName
OrganizationalUnitName
CountryName
StreetAddress
Hinweis: Die Verwendung einer E-Mail-Adresse beim Antragsteller oder Aussteller des Zertifikats
mit dem X.520 Attribute E ist nicht erlaubt.
1.1.4 Prüfungen
Es erfolgen sowohl bei der Zulieferung eines neuen Software-Zertifikats, als auch bei der
Verwendung dieses in den Anwendungen Überprüfungen auf die verwendeten Algorithmen.
- Prüfung Zertifikatsignatur – verwendete Digest- und Verschlüsselungsalgorithmen sowie
Schlüsselinformationen
- Prüfung Anwendungssignatur – verwendete Signatur- und Digest-Algorithmen
Document1
Seite 4 von 12
1.2 Zulieferung von Software-Zertifikaten
1.2.1 Produktivsystem
Die Erstellung und Anmeldung der Software-Zertifikate erfolgt durch die Krankenanstalt. An die
SVC müssen die Public-Keys (das Zertifikat) zur Registrierung übergeben werden. Das Zertifikat
muss digital im Format *.CER an [email protected] gesendet werden (alternativ als
Zip- oder Textfile).
Das entsprechende Antragsformular muss ausgefüllt und unterschrieben per Mail an
[email protected] oder per Fax an die Nummer 050 124 714 – 3776 übermittelt
werden.
Hinweis: Es werden nur Zertifikate von dafür berechtigten Personen in das e-card-System
eingespielt. Zur Bestätigung der einmeldeberechtigten Personen muss ein entsprechend
ausgefülltes Formular, siehe „3.3 Berechtigungsschreiben Software-Zertifikate – Beispieltext“ an
die SVC übergeben werden.
Vor dem Einspielen eines neuen Software-Zertifikats werden die jeweiligen Anforderungen
überprüft:
- Korrekte Zuordnung einer Vertragspartnernummer
- Einhaltung der technischen Vorgaben
- Angabe eines korrekten Antragstellers – DN
- Korrektes Format und File-Name des Zertifikats
- Vollständig ausgefülltes Anmeldeformular
- Überprüfung der Berechtigung zum Einmelden von Zertifikaten
1.2.2 Test-Referenzsystem
Bei Zertifikaten für das Test-Referenzsystem erfolgt die
Softwarehersteller oder durch die testende Krankenanstalt selbst.
Die Bedingungen sind ident denen für das Produktivsystem.
Document1
Registrierung
durch
den
Seite 5 von 12
2 Formulare
2.1 Kontaktdaten (Zentrale Ansprechpartner für SW-Zertifikate)
Organisation
Anschrift
Ansprechperson
Frau
Herr
Familienname
Titel
Vorname
Funktion
Telefon Büro
Fax
E-Mail Adresse
Vertretung
Frau
Herr
Familienname
Titel
Vorname
Funktion
Telefon Büro
Fax
E-Mail Adresse
2.2 Anfrageart
Erstanmeldung von Zertifikaten
Änderung von Kontaktdaten
Für diese Anfrage müssen nur die geänderten Kontaktdaten (siehe 2
Kontaktdaten (Zentrale Ansprechpartner für SW-Zertifikate)) übermittelt
werden
Widerruf von bereits angemeldeten Zertifikaten
Hinweis: Abhängig von der Anfrageart müssen die entsprechenden Formulare ausgefüllt und an
die SVC übermittelt werden.
Achtung: Das Formular „Kontaktdaten“ muss bei der Erstanmeldung immer mitgeschickt
werden!
_________________________
Datum
Document1
________________________________
Unterschrift
Seite 6 von 12
2.3 Anmeldung Zertifikat
Mit diesem Formular können neue SW-Zertifikate angemeldet werden.
Zertifikat für Produktiv Instanz
Zertifikat für Test Instanz
Details für das Zertifikat
VPNR*
Algorithmus**
(SHA256/RSA)
Schlüssellänge
(>=2048 bit)
Fingerprint
Ablaufdatum
(max. 5 Jahre)
Antragsteller***
Seriennummer****
*
Es sollte die Haupt-VPNR eingetragen werden. Damit werden alle Bezugs-VPNRs automatisch für dieses Zertifikat
freigegeben.
**
***
Neu ausgestellte Zertifikate sollen SHA256 einsetzen. Details siehe 3.2 Erlaubte Parameter
Aus den Parametern für den Antragsteller muss erkennbar sein, für welche Krankenanstalt und für welche Haupt-VPNR
das Zertifikat ausgestellt wurde.
Wird ein Zertifikat für die Test-Instanz registriert, MUSS eine VPNR der gelieferten Pseudo-o-cards verwendet werden.
Die Verwendung einer produktiven VPNR ist nicht zulässig!
Aus dem Filenamen des Zertifikats soll auch erkennbar sein für welche VPNR es ausgestellt wurde.
WICHTIG: Das Zertifikat muss digital im Format CER an [email protected] gesendet
werden (als Zip- oder Textfile).
Abgelaufene Zertifikate werden vom e-card-System automatisch als ungültig vermerkt und
können in Folge nicht mehr verwendet werden. Die Verantwortung zur Überprüfung des
Ablaufdatums und das rechtzeitige Einmelden neuer, gültiger Zertifikate obliegt dem
Aussteller!
Es wird empfohlen abgelaufene bzw. nicht mehr verwendete Zertifikate zu widerrufen.
Document1
Seite 7 von 12
2.4 Widerruf eines bereits angemeldeten Zertifikats
Mit diesem Formular können bereits angemeldete SW-Zertifikate widerrufen werden.
WICHTIG: Bei Missbrauch wird das Zertifikat automatisch gesperrt.
Zertifikat für Produktiv Instanz
Zertifikat für Test Instanz
Details für das Zertifikat
VPNR
Seriennummer
Antragsteller (DN/CN)
Fingerprint
Ablaufdatum
Antragsteller
Hinweis: In diesem Formular sind die Details, des zu widerrufenden Zertifikats aus dem
korrespondierenden Formular „Anmeldung Zertifikat“ einzutragen.
Document1
Seite 8 von 12
3 Anhang
3.1 Dokumentationen
Eine Hilfestellung zur Erstellung selbstsignierter SW-Zertifikate ist auf www.chipkarte.at im
Abschnitt „Erstellung selbstsignierter SW-Zertifikate“ unter folgendem Link zu finden:
http://www.chipkarte.at/portal27/portal/ecardportal/channel_content/cmsWindow?p_pubid=135462&action=2&p_menuid=66971
&p_tabid=3#pd941047
Für genauere Informationen zur Funktionalität und Verwendung von SW-Zertifikaten und o-cards
im e-card-System wird auf die Infrastrukturdokumente auf www.chipkarte.at im Bereich Partner
 Krankenanstalten und KIS-Hersteller  Download verwiesen.
Das Dokument „Enterprise-Funktionalität – KIS-ENT“ kann unter folgendem Link bezogen
werden: „b) Technische Infos“
3.2 Erlaubte Parameter
Für neu einzumeldende Software-Zertifikate sind die folgend angeführten Parameter einzuhalten.
Parameter
Zertifikats-Signaturalgorithmus
Zertifikats-Schlüsseltyp
Schlüssellänge Min.
Schlüssellänge Max.
Anwendungs-Signatur
Anwendungs-Digest
Document1
Wert
SHA224/RSA, SHA256/RSA, SHA384/RSA, SHA512/RSA
RSA
1024 (empfohlen 2048)
4096
vgl. Zertifikats-Signaturalgorithmus
SHA224, SHA256, SHA384, SHA512
Seite 9 von 12
3.3 Berechtigungsschreiben Software-Zertifikate – Beispieltext
Name der Organisation
Adresse der Organisation
PLZ der Organisation
Ort, Datum
Sozialversicherungs-Chipkarten
Betriebs- und Errichtungsges.m.b.H. – SVC
z.H. Frau Mag. (FH) Kerstin Ackerl
Ernst-Melchior-Gasse 22
1020 Wien
Betreff: SW-Zertifikate für e-card im Haus XY
Sehr geehrte Damen und Herren!
Die unten angeführten Personen sind berechtigt, im Auftrag des Hauses XY die SW-Zertifikate,
die für die Authentifizierung gegenüber dem e-card-System notwendig sind, anzufordern, zu
erneuern, zu widerrufen und als Kommunikationspartner zur SVC zu verwalten.
Herr Max Mustermann, 01.12.1967
Frau Marianne Musterfrau, 12.05.1974
Mit freundlichen Grüßen
Unterschrift (Organisationsleitung)
Document1
Seite 10 von 12
3.4 Hinweise – Ausfüllen Antragsformular
Hinweis: So findet man im Zertifikat die richtigen Felder für das Antragsformular.
Zertifikatsfeld
Im Antragsteller
Signaturalgorithmus
Numerischer Wert in Bits von
„Öffentlicher Schlüssel“
Fingerabdruck
Gültig bis
Beispiele für Antragsteller:
CN = KH Musterklinik
OU = VPNR123456
O = Verbund
L = Stadt
S = Bundesland
C = AT
Formularfeld
VPNR
Algorithmus
Schlüssellänge
Fingerprint
Ablaufdatum
Oder
CN = VPNR654321
O = KH Musterklinik
L = Stadt
S = Bundesland
C = AT
Document1
Seite 11 von 12
3.5 Checkliste – Einmeldung Software-Zertifikat
 Erstellen des neuen SW-Zertifikats
 Algorithmus RSA/SHA256
 Schlüssellänge 2048 Bit (max. 4096 Bit)
 Schlüsselalgorithmus RSA
 Gültigkeit max. 5 Jahre
 DN im Zertifikat - Antragsteller
 VPNR
 Name der Krankenanstalt
 Ggf. Verbund
 Stadt
 Land
 VPNR im Dateinamen
 Formular(e) ausfüllen
 Berechtigung zur Verwaltung (Erstellen, Einmelden, Widerrufen) von Zertifikaten –
Berechtigungsschreiben vorhanden
 Formular „Kontaktdaten“
 Formular „Anfrageart“
 Erstanmeldung
 Änderung Kontaktdaten
 Widerruf
 Formular „Anmeldung Zertifikat“
 VPNR
 Algorithmus
 Schlüssellänge
 Fingerprint
 Ablaufdatum
 Antragsteller (DN)
 Seriennummer
 Datum und Unterschrift
 Übermittlung an SVC
 Fileformat
 *.cer
 *.zip
 *.txt
 Formulare als Attachment
 Ggf. Berechtigungsschreiben als Attachment
Document1
Seite 12 von 12
Zugehörige Unterlagen
Gebr van Beek BV - Gebr. van Beek Group
Gebr van Beek BV - Gebr. van Beek Group
Datenerhebungsblatt - Institut für Verhaltenstherapie AVM
Datenerhebungsblatt - Institut für Verhaltenstherapie AVM
Richtlinien Externe - SFER, Schule für Erwachsene
Richtlinien Externe - SFER, Schule für Erwachsene
Zertifikat
Zertifikat
VdS Schadenverhütung bescheinigt die Anwendung eines für
VdS Schadenverhütung bescheinigt die Anwendung eines für
Station 3 - TUM - Zentrum Mathematik - M9
Station 3 - TUM - Zentrum Mathematik - M9
Grünstrom-Zertifikate - BS-Wiki
Grünstrom-Zertifikate - BS-Wiki
Ohne Fleiß kein Preis Dieses alte Sprichwort wird immer wieder
Ohne Fleiß kein Preis Dieses alte Sprichwort wird immer wieder
Hier ein erster Entwurf für einen nachhaltigen
Hier ein erster Entwurf für einen nachhaltigen
Checkliste - BUND Bruhrain
Checkliste - BUND Bruhrain
Instrument Auflage Abgabe Zertifikat
Instrument Auflage Abgabe Zertifikat
Das MarKom Zertifikat ist und bleibt begehrt
Das MarKom Zertifikat ist und bleibt begehrt
Herunterladen
Werbung