Nutzerzertifikat: Unterschied zwischen den Versionen

Keine Bearbeitungszusammenfassung
Zeile 24: Zeile 24:
Nach erfolgreicher Identifikations-Prüfung erfolgt die Freischaltung des Zertifikats. Es wird Link zum Zertifikat vom DFN an den Antragssteller gesendet. Über diesen Link können sie das Zertifikat (p12-Datei) herunterladen und anschließend auf ihren Rechner installieren. Sie sollten ihr Zertifikat zudem sichern (bspw. persönlicher Netzwerkspeicher), damit sie bei einer Neuinstallation oder o.ä. wieder darauf zugreifen können.
Nach erfolgreicher Identifikations-Prüfung erfolgt die Freischaltung des Zertifikats. Es wird Link zum Zertifikat vom DFN an den Antragssteller gesendet. Über diesen Link können sie das Zertifikat (p12-Datei) herunterladen und anschließend auf ihren Rechner installieren. Sie sollten ihr Zertifikat zudem sichern (bspw. persönlicher Netzwerkspeicher), damit sie bei einer Neuinstallation oder o.ä. wieder darauf zugreifen können.


== Beantragung des Zertifikats auf der PKI-Seite des DFN ==
== Detaillierte Anleitung zur Beantragung des Zertifikats ==


[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/2710 Link] zu der Seite.
[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/2710 Link] zu der Seite.

Version vom 28. April 2020, 13:22 Uhr

Allgemeines

Die Hochschule Mittweida ist Teil der PKI (Public-Key-Infrastruktur) des DFN und Zertifizierungsstelle für die Angehörigen der Hochschule. Damit haben alle Angehörigen der Hochschule die Möglichkeit, ein persönliches Zertifikat beim DFN zu beantragen.

Die Zertifikate werden von der Hochschule nach Prüfung der Identität des Antragstellers freigeschaltet. Zertifikate werden nur an Personen ausgestellt. Das Verfahren zur Beantragung eines persönlichen Zertifikats muss von jeder Person selbst durchgeführt werden. Mit Hilfe eines Zertifikates können E-Mails vom Absender digital signiert werden. Digital signierte E-Mails geben dem Empfänger die Sicherheit, dass

  1. Der Absender der Mail verbindlich geprüft werden kann
  2. Der Inhalt der Mail während der Übertragung nicht geändert wurde.

An den Inhaber eines Zertifikats können verschlüsselte E-Mails gesendet werden, wenn dieser seinen öffentlichen Schlüssel bereitstellt.

Zertifikat beantragen

Da die erforderliche persönliche Identifizierung für Nutzerzertifikate derzeit nicht gewährleistet ist, können zur Zeit keine Nutzerzertifaktsanträge bearbeitet werden.

Die Beantragung des Zertifikats geschieht auf der Seite https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/2710

Wählen Sie die Registerkarte Nutzerzertifikat und folgen Sie den Anweisungen am Bildschirm.

Wenn Sie wollen, dass Ihnen Partner verschlüsselte E-Mails schicken können, müssen Sie einer Veröffentlichung des Zertifikats im Verzeichnisdienst des DFN zustimmen. Das NCC empfiehlt die Veröffentlichung.

Danach erhalten Sie eine E-Mail des DFN mit einem Link zu einem PDF-Dokument, welches sie ausdrucken und unterschreiben müssen. Dieses Dokument und ein amtliches Ausweisdokument muss persönlich zur Verifikation ihren Identität im NCC vorgelegt werden. Berechtigt zur Überprüfung sind an der Hochschule Mittweida Herr Herzberg und Herr Lühr im NCC.

Nach erfolgreicher Identifikations-Prüfung erfolgt die Freischaltung des Zertifikats. Es wird Link zum Zertifikat vom DFN an den Antragssteller gesendet. Über diesen Link können sie das Zertifikat (p12-Datei) herunterladen und anschließend auf ihren Rechner installieren. Sie sollten ihr Zertifikat zudem sichern (bspw. persönlicher Netzwerkspeicher), damit sie bei einer Neuinstallation oder o.ä. wieder darauf zugreifen können.

Detaillierte Anleitung zur Beantragung des Zertifikats

Link zu der Seite. Die Seiten enthalten detaillierte Erläuterungen. Nehmen sie sich Zeit, diese zu lesen.

Nutzung digitale sig01.png

Da das Schlüsselpaar schon bei der Beantragung generiert wird, müssen sie den privaten Schlüssel schützen. Das geschieht mit einem Kennwort für den Browser-Speicher, in dem der private Schlüssel abgelegt wird.

Nutzung digitale sig02.png

Dann geht es wirklich los.

Nutzung digitale sig03.png


Die Daten für das Zertifikat müssen eingegeben werden. Auch eine PIN (ein Kennwort), mit der sie das Zertifikat sperren können. Das NCC enpfiehlt die Veröffentlichung des Zertifikats. Informationen dazu können sie hier nachlesen.

Nutzung digitale sig04.png


Die Daten werden in den Antrag übernommen und nochmals dargestellt. Der Zeritfikatsantrag muss nach dem Anzeigen ausgedruckt werden. Dann ist erst einmal Schluss am PC.

Nutzung digitale sig05.png

Den Antrag unterschreiben und persönlich zur Prüfung vorlegen. Die Prüfung der Identität des Antragstellers erfolgt im NCC anhand des Personalausweises.

Nutzung digitale sig06.png


Nach der Prüfung und Bestätigung im NCC erhalten sie eine E-Mail. Sie enthält ihren öffentlichen Schlüssel und den Link zur weiteren Bearbeitung. Die E-Mail ist signiert! Die Bearbeitung muss auf dem selben Endgerät mit dem selben Browser fortgesetzt werden, mit dem der Antrag gestellt wurde.

Nutzung digitale sig07.png

Sie sehen dann ihren Zertifikatsantrag und können die Bearbeitung fertigstellen, in dem sie die Zertifikatsdatei erzeugen. Sie benötigen dazu

Nutzung digitale sig08.png

Nutzung digitale sig09.png

Nutzung digitale sig10.png

Jetzt wird die Datei mit ihrem persönlichen Schlüssel erzeugt. Diese schützen sie mit einem Kennwort.

Nutzung digitale sig11.png

Nutzung digitale sig12.png

Wenn Sie wollen, dass Ihnen Partner verschlüsselte E-Mails schicken können, müssen Sie einer Veröffentlichung des Zertifikats im Verzeichnisdienst des DFN zustimmen. Das NCC empfiehlt die Veröffentlichung. Das Zertifikat wird dann per E-Mail vom DFN an den Antragsteller gesendet. Es muss im Browser über den in der Mail mitgelieferten Link registriert werden. Aus dem Browser kann das Zertifikat exportiert und im E-Mail Client (Outlook, Thunderbird o.ä.) importiert und zur Signatur verwendet werden.

Export im Firefox:

  1. Menü "Erweitert"
  2. "Zertifikate" auswählen
  3. Zertifikat
  4. Zertifikate anzeigen
  5. Ihre Zertifikate
  6. Auswählen und sichern

Zertifikat installieren

Um das Zertifikat mit ihrem Mailprogramm nutzen zu können, muss ihr persönliches Zertifikat im Zertifikatsspeicher der Anwendung oder Zertifikatsspeicher des Betriebssystems hinterlegt werden. Bei der Installation des Zertifikats in den Zertifikatsspeicher müssen sie die Zertifikats-PIN eingeben, welche sie bei der Erstellung angegeben haben.

Beispiel: Verwendung des Zertifikats im Outlook zum Signieren von Nachrichten

Der private Schlüssel muss Outlook zur Verfügung gestellt werden, damit Nachrichten signiert werden können. Die Einstellungen lassen sich mit folgenden Schritten öffnen:

  1. In der Menüleiste auf "Datei" klicken
  2. Optionen auswählen
  3. Anschließend "Trust Center"
  4. Einstellungen für das Trust Center öffnen
  5. E-Mail-Sicherheit auswählen
  6. "Digitale ID Importieren/Exportieren"
  7. Anschließend die Datei mit dem privaten Schlüssel auswählen (Kennwort erforderlich!)

Mit der Option „Ausgehenden Nachrichten digitale Signatur hinzufügen“ kann das Signieren von Nachrichten als Standardeinstellung vereinbart werden. Von der gewählten Standardeinstellung kann im Outlook bei einer E-Mail unter Optionen -> Signieren abgewichen werden.

Zertifikat nutzen

Die Einbindung und Verwendung des Zertifikats gestaltet sich je nach Betriebssystem, Anwendungsprogramm und verwendeten Version sehr unterschiedlich. Generell sollte man auf den Hilfeseiten des jeweiligen Programms unter den Stichworten "Zertifikat", "S/MIME" oder "Signieren/Verschlüsseln" fündig werden. Unter dem nachfolgenden Abschnitt finden sie einige spezielle Anleitungen zu häufig verwendeten Programmen.

Detaillierte Anleitungen zur Verwendung

Die nachfolgenden detaillierten Anleitung beziehen sich auf die beispielhafte Verwendung von Zertifikaten in den angebenden Programmen:

Was bedeutet die Veröffentlichung von Zertifikaten?

Bei der Veröffentlichung von Zertifikaten muss grundsätzlich zwischen Nutzer- und Serverzertifikaten unterschieden werden.

Für Nutzerzertifikate gilt:

Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats zustimmen, wird dieses zum Verzeichnisdienst der DFN-PKI hinzugefügt, der im Internet frei zugänglich ist. Der Vorteil einer Veröffentlichung besteht darin, dass jeder, der Ihnen eine verschlüsselte E-Mail senden möchte, dies leicht tun kann, da das entsprechende Zertifikat frei verfügbar ist. Da Nutzerzertifikate den Namen und die E-Mail Adresse des Zertifikatnehmers enthalten, sind diese Daten bei einer Zustimmung zur Veröffentlichung frei verfügbar.

Die Veröffentlichung eines Nutzerzertifikats ist vergleichbar mit einer Telefonnummer, die Sie in ein öffentliches Telefonverzeichnis eintragen lassen können. Stimmen Sie der Eintragung zu, so kann jeder (ob gewünscht oder ungewünscht) Sie ohne vorherige Kontaktaufnahme telefonisch erreichen.

Bitte beachten Sie:

  • Sie können Ihre Zustimmung zur Veröffentlichung Ihres Zertifikats jederzeit mit Wirkung für die Zukunft durch eine E-Mail an dfnpca@dfn-cert.de widerrufen. Nennen Sie uns in der E-Mail bitte die Seriennummer des Zertifikats und die ausstellende Zertifizierungsstelle. Diese Informationen sind aus den Zertifikatdetails ersichtlich.
  • Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats nicht zustimmen, kann dies nachträglich nicht geändert werden. Sie müssen dann ein neues Zertifikat beantragen und dafür der Veröffentlichung zustimmen.

Für Serverzertifikate gilt: Serverzertifikate werden in der DFN-PKI in Certificate Transparency Logs veröffentlicht. Dies sind von Dritten betriebene Systeme, die der Transparenz und damit der Sicherheit der Web-PKI dienen. Ohne die Veröffentlichung wären Serverzertifikate nicht mehr in Google Chrome funktionsfähig. Die Veröffentlichung von Serverzertifikaten kann nicht zurückgenommen werden. Certificate Transparency Logs werden von Dritten betrieben, auf die der DFN keinen Einfluss hat. Darüber hinaus basiert Certificate Transparency auf Datenstrukturen, die durch digitale Signaturen inhärent gegen nachträgliche Änderungen gesichert ist. Weitere Erläuterungen finden Sie im Blog der DFN-PKI