Zertifikatsproblem?! bei Bürgerkarten Anmeldung

  • Sg. Damen u. Herren,


    vl. erstmal kurz die Vorgeschichte:
    Wir (vorletztes Sem. HTL Spengergasse) haben eine fast fertige Bürgerkartenumgebung + Logintemplate gebastelt. System Ubuntu 12.10.


    Unser Problem, wenn wir uns nun mit der Bürgerkarte anmelden wollen bekommen wir folgende Fehlermeldungen:


    Wenn wir ein temporäres Zertifikat von EGIZ verwenden:


    Code
    1. Fehler bei der Anmeldung!
    2. Bei der Anmeldung ist ein Fehler aufgetreten. Das Zertifikat der Personenbindung ist ungültig. Es konnte keine formal korrekte Zertifikatskette vom Signatorzertifikat zu einem vertrauenswürdigen Wurzelzertifikat konstruiert werden.


    Wenn wir ein selbst erstelltes Zertifikat verwenden:


    Code
    1. An error has occured upon a request processing by the citizen card software
    2. Error Code: 2010
    3. HTTPS-Bindung: Fehler beim Aufbau der TLS-Verbindung.


    Nun stellt sich uns langsam aber doch die Frage ob das so überhaupt funktionieren kann wenn wir nicht von einer Stelle wie der A-Trust signiert wurden?!


    Im Prinzip wollen wir nur lokal Prüfen ob der User der sich mithilfe der Bürgerkarte anmelden will auch in unserer Datenbank steht und falls ja, darf dieser weiter.


    Ich hoffe das ganze ist halbwegs verständlich formuliert und hört sich nicht an als hätten wir keine Ahnung. Falls doch stehe ich natürlich für Details der Konfiguration jederzeit zu Verfügung.



    Wir würden uns sehr über hilfreiche Antworten freuen.
    Beste Grüße
    NR

  • Es ist aus der Anfrage nicht klar, was für das Login verwendet wird (MOA-ID oder Eigenbau?) bzw. ob tatsächlich eine "Bürgerkartenumgebung" (im Sinne der Software, die mit der SmartCard / Handy-Signatur via Security Layer Schnittstelle kommuniziert) selbst entwickelt wurde.


    Daraus scheinen die zwei Fragen irgendwie auch nicht im Zusammenhang, es ist nicht klar, welches Zertifikat gemeint ist.


    Zum ersten Fehler: Die Personenbindung wird vom Stammzahlenregister signiert. Wenn eine Testpersonenbndung mit einem eigenen Zertifikat signiert wird, muss man dieses am Testzugang in den TrustStore (bei MOA-SP "identityLink+Test-signerCerts") spielen. (das ist nru dann relevant, wenn eine eigene BKU geschrieben wurde und man z.B. mit Karten-Emulation oder Testkarten agiert).


    Ad 2. Fehler: Bürgerkartenumgebungen übermitteln Daten an die sog. DataUrl nur, wenn der Verbindung vertraut wird. D.h. für selbst-signierte Zertifikate muss der Benutzer das in den BKU-Truststore eintragen. (bzw. bei MOCCA-Online der Betreiber - in dem Fall Euer System).


    Dazu, wie man MOA-ID und OnlineBKU installiert / konfiguriert gibt es es auch eine Video-Anleitung vonexthex