Ja, es dient dem Nachweis der Identität.

Ja, wenn mehrere Personen mit demselben Rechner arbeiten, benötigt jeder sein eigenes Zertifikat.

Ja, wenn eine Person von verschiedenen Rechnern arbeitet, so kann sie auf jedem dieser Rechner das gleiche Zertifikat installieren.

Ja, unter: https://portal.dimdi.de/ruben/faces/CheckCertificatePage.xhtml (reiner Upload-Test) kann das Zertifikat ausprobiert werden.

In der Anleitung zur Nutzung der Zertifikate sind einige Zertifizierungsstellen aufgelistet, die digitale X.509-User-Zertifikate ausstellen. Die aufgeführte Liste dient ausschließlich dem Zweck, einige Beispiele zu geben und ist keinesfalls als Verweis oder Empfehlung zum Kauf der Produkte der genannten Unternehmen zu verstehen. Nicht alle der dort aufgelisteten Aussteller können das benötigte Zertifikat zur Client-Authentifizierung ausstellen.

Sogenannte Reseller (z.B. https://icertificate.eu) bieten Zertifikate verschiedener Hersteller an. Die ausgestellten Zertifikate unterscheiden sich nicht in der "Qualität", sondern im Drumherum (z. B. Schnelligkeit der Ausstellung, Preis, Support usw.).

Eine Empfehlung dürfen wir aus rechtlichen Gründen nicht aussprechen.

Diese Erweiterungen können einem Zertifikat hinzugefügt werden. Ursprünglich waren Zertifikate nur dazu geeignet, um etwas zu signieren, z. B. eine E-Mail oder ein Dokument. Wenn man es außerdem auch noch als "Ausweis" für eine Zugangskontrolle nutzen möchte, muss in der Erweiterung ein entsprechender Eintrag sein. In den Erweiterungen gibt es eine ganze Reihe von Möglichkeiten, die beim Erstellen des Zertifikates eingefügt werden können. Wir brauchen eben diese "Client Authentication", damit das Zertifikat den User "Ausweisen" kann.

Nein, nur über die in der Anleitung zur Nutzung der Zertifikate genannten Aussteller. Aber nicht alle dort genannten Hersteller bieten notwendigerweise den richtigen Typ von Zertifikat an.

Starten Sie Ihren Browser neu oder löschen Sie manuell im Browser alle Cookies und aktiven Logins (Tastenkombination STRG + SHIFT + ENTF).

Wahrscheinlich hat die Nutzerin oder der Nutzer das Zertifikat noch nicht in den Browser importiert.

Nach dem Aufruf einer hochabgesicherten Anwendung mit dem Internet Explorer erscheint zunächst das Fenster zur Zertifikatsbestätigung und anschließend noch ein weiteres Fenster "Zustimmungsaufforderung zur Verwendung eines Schlüssels" (evtl. noch mit Kennworteingabe).

Dieses zweite Fenster erscheint, wenn man beim Importieren eines Zertifikats in den Internet Explorer die Option "Hohe Sicherheit für den privaten Schlüssel aktivieren" anklickt. Bei einigen Anwendern ist diese Option anscheinend durch den System-Administrator unveränderbar voreingestellt. Die Zustimmungsaufforderung erfolgt dann bei jedem SSO-Login und muss erteilt werden (ggf. durch Eingabe eines Passwortes).

Der Browser merkt sich die erste Entscheidung des Nutzers und stellt die Benutzer-Identifikationsanfrage, also die Auswahl des Zertifikats, fortan nicht mehr. Erst wenn man die aktiven Logins im Browser löscht, erscheint die Abfrage erneut.

Vorgehensweise: Tastenkombination STRG + SHIFT + ENTF drücken, "Aktive Logins" (bzw. "Temporäre Internetdateien" im IE) auswählen und auf den Lösch-Button klicken. Manchmal hilft auch nur ein Neustart des Browsers.

Wenn man im Abschnitt "Zertifikat" auf den Button "ansehen" klickt, sollte sich ein Dialog-Fenster öffnen, in dem die Option "Öffnen mit" selektiert ist und sich daneben ein "Durchsuchen"-Button befindet. In diesem Fall reicht "ok" und das Zertifikat wird mit dem Zertifikate-Viewer angezeigt.

Falls die Anzeige nicht so läuft oder nicht funktioniert, hilft Folgendes:
im Windows-Explorer auf einem Zertifikat (xyz.der) mit *rechte Maustaste* → Öffnen mit → Standardprogramm auswählen → Krypto-Shellerweiterungen wählen → ok, danach sollte in RuBen das Zertifikat automatisch mit diesem Programm geöffnet werden.

Wenn das Zertifikat nicht als Nachfolgezertifikat erkennbar war, muss die Identität des Inhabers des Zertifikats, das aus technischer Sicht valide ist und alle Anforderungen erfüllt, vom Administrator bestätigt werden.

Anwendungen, welche mit einem hohen Schutzbedarf eingestuft wurden, erfordern eine Zwei-Faktor-Authentifizierung. Hierfür ist ein Nutzerzertifikat mit entsprechenden Merkmalen (X.509-Standard, „Extended Key Usage“) notwendig.

Zum gegenwärtigen Zeitpunkt erfüllen folgende Anwendungen diesen Schutzbedarf:

• PharmNet.Bund "Sunset Clause"
• PharmNet.Bund "elektronische Änderungsanzeigen"
• PharmNet.Bund "Lieferengpassmeldungen"
• PharmNet.Bund "Chargenprüfung" (PEI-CR)
• Samenspenderregister
• RuBen (hier: Benutzerverwaltung)

Alle Nutzerinnen und Nutzer, die auf eine Anwendung mit hohen Schutzbedarf zugreifen.

Darunter zählen unter anderem sogenannte "Superuser". Dieser stellt im engeren Sinne ein Hauptnutzer (OrgaAdmin) eines pharmazeutischen Unternehmens dar, der beispielsweise für die Eingabe von Änderungsanzeigen verantwortlich ist und diesen Prozess administriert.

Der Hauptnutzer kann ebenso weitere Nutzer (User) anlegen, die dann beispielsweise für das unter dem Hauptnutzer registrierte Unternehmen Änderungsanzeigen eingeben kann.

Nein, ein Zertifikat muss genau einer natürlichen Person zugeordnet sein.

Das Zertifikat muss für eine TLS-WWW-Client-Authentifizierung ausgestellt und SHA-2 signiert sein und das Attribut "Extended-Key-Usage für Client-Authentifizierung" besitzen.

Wie Sie in Ihrem Unternehmen die Legitimation bei Beantragung eines Zertifikats durchführen, bleibt in Ihrem Ermessen. Unseres Wissens sollte die Validierung nach der E-Mail-Adresse ausreichen und mit der übereinstimmen, welche bei der Nutzerkennung eingetragen worden ist.

Es dürfen hierbei keine unspezifischen Angaben (beispielsweise Funktions-E-Mail-Adresse wie "info@..." usw.) gemacht werden. Es muss genau einer natürlichen Person zugeordnet sein.

Dieses Szenario ist zwar aus technischer Sicht möglich, wenn Sie denselben Account nutzen. Die Benutzerverwaltung lässt es aber nicht zu, mehreren Teilnehmern dasselbe Zertifikat zu vergeben.

Da die Nutzerkennungen personengebunden sind, ist die Verantwortung zur nachfolgenden Nutzung der Datenbankanwendungen höchstpersönlich: d. h. eindeutig und ausschließlich einer natürlichen Person zuzuordnen.

Die Weitergabe der Nutzer- bzw. Anmeldedaten würde im konkreten Fall gegen das Urheberrecht verstoßen, weil Rechte ohne Ermächtigung des Urhebers eingeräumt wurden.

Eigentlich nicht. Sofern Sie als Bevollmächtigter unter den jeweiligen Nutzerkennungen eindeutig identifizierbar sind, Sie beispielsweise bei jeder Ihrer Nutzerkennungen unter derselben E-Mail-Adresse registriert und erreichbar sind, ist es ausreichend, wenn Sie für sich ein einziges Zertifikat von einer Zertifizierungsstelle ausstellen lassen.

Sie müssten uns informieren, unter welcher Nutzerkennung Sie ein Zertifikat erstmalig hochgeladen haben. Dieses Zertifikat können wir dann auf die weiteren, von Ihnen zu betreuenden Nutzerkennungen übertragen. Bitte teilen Sie uns hierzu ebenso alles weiteren Nutzerkennungen mit.