Nutzerzertifikat: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „'''Zertifikat für digitale Signatur beantragen und nutzen''' Die Hochschule Mittweida ist Teil der PKI (Public-Key-Infrastruktur) des DFN und Zertifizierungs…“) |
|||
| (46 dazwischenliegende Versionen von 5 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | + | Unter https://cert-manager.com/customer/DFN/idp/clientgeant können Angehörige der Hochschule Mittweida selbstständig Nutzerzertifikate beziehen. | |
| − | + | Mit Hilfe eines Zertifikates können E-Mails vom Absender digital signiert werden. Digital signierte E-Mails geben dem Empfänger die Sicherheit, dass | |
| − | |||
| − | |||
# Der Absender der Mail verbindlich geprüft werden kann | # Der Absender der Mail verbindlich geprüft werden kann | ||
# Der Inhalt der Mail während der Übertragung nicht geändert wurde. | # Der Inhalt der Mail während der Übertragung nicht geändert wurde. | ||
| + | |||
| + | |||
An den Inhaber eines Zertifikats können verschlüsselte E-Mails gesendet werden, wenn dieser seinen öffentlichen Schlüssel bereitstellt. | An den Inhaber eines Zertifikats können verschlüsselte E-Mails gesendet werden, wenn dieser seinen öffentlichen Schlüssel bereitstellt. | ||
| − | Die | + | <div class="alert alert-info"> |
| − | https:// | + | <p><strong>Hinweis:</strong></p> |
| + | <p class="mb-0">Die Nutzerzertifikate können nicht für das Signieren von PDFs verwendet werden. Sie dienen der Signierung und Verschlüsselung von E-Mails.</p> | ||
| + | </div> | ||
| + | |||
| + | __TOC__ | ||
| + | |||
| + | == Beantragungsprozess == | ||
| + | |||
| + | Gehen sie auf https://cert-manager.com/customer/DFN/idp/clientgeant und wählen sie die Hochschule Mittweida aus. | ||
| + | |||
| + | [[File:sectigo_01.png|500px|center|Organisation auswählen]] | ||
| + | |||
| + | Nach erfolgreicher Anmeldung gelangen sie zum Certificate Enrollment Formular. Im Kopfbereich sollte ihr Vor- und Nachname, die Hochschule Mittweida - University of Applied Sciences als Organisation und ihre E-Mail-Adresse angezeigt werden, für die sie das Zertifikat beantragen. | ||
| + | |||
| + | [[File:sectigo_02.png|500px|center|Persönliche Daten]] | ||
| + | |||
| + | Wählen sie anschließend ein ''Certificate Profile'' aus. Wir empfehlen an dieser Stelle das '''GÉANT Personal email signing and encryption'''. | ||
| + | |||
| + | Anschließend legen sie die Gültigkeitsdauer (''Term'') fest. Die Optionen sind hier '''356 Tage''' oder '''730 Tage'''. | ||
| + | |||
| + | Als ''Enrollment Method'' empfehlen wir für unerfahrene Nutzer '''Key Generation'''. Bei dieser Variante wird sowohl der private und der öffentliche Schlüssel bei Sectigo erstellt. Alternativ kann vom Beantragenden vorab selbst ein '''CSR''' generiert werden, der dann im Formular zur Zertifikaterstellung hochgeladen wird. | ||
| + | |||
| + | Im nächsten Schritt muss der ''Key Type'' selektiert werden. Wir empfehlen '''RSA - 2048''', da es mit längeren Schlüsseln zu Problemen bei einigen E-Mail-Anbietern (z.B. Google-Mail) kommen kann. | ||
| + | |||
| + | <div class="alert alert-info"> | ||
| + | <p class="alert-heading"><strong>Beachten sie:</strong></p> | ||
| + | <p class="mb-0"><strong>EC - P-384</strong> und <strong>EC - P-256</strong> können nur für Signatur und Authentisierung verwendet werden. Verschlüsselung ist hiermit nicht möglich!</p> | ||
| + | </div> | ||
| + | |||
| + | Legen sie nun ein Passwort fest. '''Bitte merken!''' | ||
| + | |||
| + | Im letzten Schritt kann der Algorithmus zum Schutz des Schlüssels (''Key Protection Algorithm'') angepasst werden. Standardmäßig ist hier '''Secure AES256-SHA256''' selektiert. | ||
| + | |||
| + | <div class="alert alert-info"> | ||
| + | <p class="alert-heading"><strong>Beachten sie:</strong></p> | ||
| + | <p class="mb-0">Sollte es zu Problemen beim Import des Zertifikats kommen, d.h. z.B. beim macOS eine Meldung, dass das Passwort falsch ist, obwohl es korrekt eingegeben wurde, wählen sie als <i>Key Protection Algorithm</i> den Wert <strong>Compatible TribleDES-SHA1</strong> aus.</p> | ||
| + | </div> | ||
| + | |||
| + | [[File:sectigo_03.png|500px|center|Komplettes Antragsformular]] | ||
| + | |||
| + | Nach dem Bestätigen der EULA und einem Klick auf den Submit-Button, erfolgt direkt im Anschluss der Download des '''certs.p12'''. | ||
| + | |||
| + | [[File:sectigo_04.png|500px|center|Abschluss]] | ||
| + | |||
| + | == Beschränkung der Anzahl der Zertifikate pro Nutzer == | ||
| + | |||
| + | Jeder Nutzer kann gleichzeitig pro ''Certificate Profile'' zwei gültige Nutzerzertifikate besitzen. Wird ein weiteres Zertifikat beantragt, so wird jeweils das älteste Zertifikat automatisch gesperrt. | ||
| + | |||
| + | == Zertifikat installieren == | ||
| + | |||
| + | Um das Zertifikat mit ihrem Mailprogramm nutzen zu können, muss ihr persönliches Zertifikat im Zertifikatsspeicher der Anwendung oder Zertifikatsspeicher des Betriebssystems hinterlegt werden. Bei der Installation des Zertifikats in den Zertifikatsspeicher müssen sie das Passwort eingeben, welches sie beim Beantragungsprozess festgelegt haben. | ||
| + | |||
| + | Die heruntergeladene Zertifikatsdatei '''certs.p12''' sollte an einen sicheren Speicherort für eventuell spätere Verwendung (Installation auf weiteren Geräten, bzw. Neuinstallation) aufbewahrt werden. | ||
| + | |||
| + | === Import === | ||
| + | |||
| + | Zur Installation klicken sie doppelt auf die Datei '''certs.p12''' und wählen anschließend als ''Speicherort'' den Wert '''Aktueller Benutzer'''. | ||
| + | |||
| + | [[File:Sectigo-inst-01.png|500px|center|caption]] | ||
| + | |||
| + | |||
| + | Klicken sie auf '''Weiter'''. | ||
| + | |||
| + | Im nächsten Dialog sollte bereits der aktuelle Speicherort der '''certs.p12''' ausgewählt sein. Bestätigen sie wiederum mit '''Weiter'''. | ||
| + | |||
| + | [[File:Sectigo-inst-02.png|500px|center|caption]] | ||
| + | |||
| + | |||
| + | Geben sie nun das Passwort ein, was sie beim Erstellen des Zertifikats vergeben haben. Wir empfehlen die Option '''Schlüssel als exportierbar markieren…''' zu aktivieren. | ||
| + | |||
| + | [[File:Sectigo-inst-03.png|500px|center|caption]] | ||
| + | |||
| + | |||
| + | Wählen sie jetzt die Option '''Zertifikatsspeicher automatisch auswählen''' aus. | ||
| + | |||
| + | [[File:Sectigo-inst-04.png|500px|center|caption]] | ||
| + | |||
| + | |||
| + | Beenden sie die Installation durch einen Klick auf '''Fertigstellen'''. | ||
| + | |||
| + | [[File:Sectigo-inst-05.png|500px|center|caption]] | ||
| + | |||
| + | |||
| + | [[File:Sectigo-inst-06.png|300px|center|caption]] | ||
| + | |||
| + | === Zertifikat für Sichere E-Mail aktivieren === | ||
| + | |||
| + | Nach dem erfolgreichen Import kann das Zertifikat für Sichere E-Mail aktiviert werden. | ||
| + | |||
| + | Suchen und öffnen sie über das ''Startmenü'' den Dialog '''Benutzerzertifikate verwalten'''. | ||
| + | |||
| + | [[File:Certmgr-01.png|500px|center|caption]] | ||
| + | |||
| + | |||
| + | Öffnen sie auf der linken Seite den Ordner '''Eigene Zertifikate''' > '''Zertifikate'''. Auf der rechten Seite sollten sie jetzt ihr Zertifikat finden. | ||
| + | |||
| + | Öffnen sie die '''Eigenschaften''' ihres Zertifikats mittels eines Rechtsklicks. | ||
| + | |||
| + | [[File:Certmgr-02.png|550px|center|caption]] | ||
| + | |||
| + | |||
| + | Im Reiter ''Allgemein'' wählen sie '''Nur für folgende Zwecke aktivieren''' und darin die Option '''Sichere E-Mail'''. | ||
| + | |||
| + | [[File:Certmgr-03.png|400px|center|caption]] | ||
| + | |||
| − | + | Bestätigen sie mit '''OK'''. | |
| − | + | == Zertifikat nutzen == | |
| − | |||
| + | Die Einbindung und Verwendung des Zertifikats gestaltet sich je nach Betriebssystem, Anwendungsprogramm und verwendeten Version sehr unterschiedlich. Generell sollte man auf den Hilfeseiten des jeweiligen Programms unter den Stichworten "Zertifikat", "S/MIME" oder "Signieren/Verschlüsseln" fündig werden. Unter dem nachfolgenden Abschnitt finden sie einige spezielle Anleitungen zu häufig verwendeten Programmen. | ||
| − | + | === Beispiel: Verwendung des Zertifikats im Outlook zum Signieren von Nachrichten === | |
| + | Der private Schlüssel muss Outlook zur Verfügung gestellt werden, damit Nachrichten signiert werden können. | ||
| + | Die Einstellungen lassen sich mit folgenden Schritten öffnen: | ||
| + | # In der Menüleiste auf "Datei" klicken | ||
| + | # Optionen auswählen | ||
| + | # Anschließend "Trust Center" | ||
| + | # Einstellungen für das Trust Center öffnen | ||
| + | # E-Mail-Sicherheit auswählen | ||
| + | # "Digitale ID Importieren/Exportieren" | ||
| + | # Anschließend die Datei mit dem privaten Schlüssel auswählen (Kennwort erforderlich!) | ||
| − | + | Mit der Option „Ausgehenden Nachrichten digitale Signatur hinzufügen“ kann das Signieren von Nachrichten als Standardeinstellung vereinbart werden. Von der gewählten Standardeinstellung kann im Outlook bei einer E-Mail unter Optionen -> Signieren abgewichen werden. | |
| − | + | === Detaillierte Anleitungen zur Verwendung === | |
| − | + | Die nachfolgenden detaillierten Anleitung beziehen sich auf die beispielhafte Verwendung von Zertifikaten in den angebenden Programmen: | |
| − | + | * [https://www.rz.uni-osnabrueck.de/Dienste/Mailing/E-Mail/Sicherheit/sicher_outlook2016.htm Verwendung von Zertifikaten mit Microsoft Outlook 2016] | |
| + | * [https://www.rz.uni-osnabrueck.de/Dienste/Mailing/E-Mail/Sicherheit/sicher_thunderbird.htm Verwendung von Zertifikaten mit Thunderbird] | ||
| + | * [https://blog.doenselmann.com/smime-unter-ios-nutzen/ Verwendung unter Apple iOS] | ||
| − | + | [[Kategorie:Sicherheit]] | |
| + | [[Kategorie:E-Mail]] | ||
| + | [[Kategorie:Outlook]] | ||
| + | [[Kategorie:Windows]] | ||
| + | [[Kategorie:macOS]] | ||
| + | [[Kategorie:iOS]] | ||
| + | [[Kategorie:iPadOS]] | ||
| + | [[Kategorie:Android]] | ||
Aktuelle Version vom 25. Oktober 2023, 06:48 Uhr
Unter https://cert-manager.com/customer/DFN/idp/clientgeant können Angehörige der Hochschule Mittweida selbstständig Nutzerzertifikate beziehen.
Mit Hilfe eines Zertifikates können E-Mails vom Absender digital signiert werden. Digital signierte E-Mails geben dem Empfänger die Sicherheit, dass
- Der Absender der Mail verbindlich geprüft werden kann
- Der Inhalt der Mail während der Übertragung nicht geändert wurde.
An den Inhaber eines Zertifikats können verschlüsselte E-Mails gesendet werden, wenn dieser seinen öffentlichen Schlüssel bereitstellt.
Hinweis:
Die Nutzerzertifikate können nicht für das Signieren von PDFs verwendet werden. Sie dienen der Signierung und Verschlüsselung von E-Mails.
Beantragungsprozess
Gehen sie auf https://cert-manager.com/customer/DFN/idp/clientgeant und wählen sie die Hochschule Mittweida aus.
Nach erfolgreicher Anmeldung gelangen sie zum Certificate Enrollment Formular. Im Kopfbereich sollte ihr Vor- und Nachname, die Hochschule Mittweida - University of Applied Sciences als Organisation und ihre E-Mail-Adresse angezeigt werden, für die sie das Zertifikat beantragen.
Wählen sie anschließend ein Certificate Profile aus. Wir empfehlen an dieser Stelle das GÉANT Personal email signing and encryption.
Anschließend legen sie die Gültigkeitsdauer (Term) fest. Die Optionen sind hier 356 Tage oder 730 Tage.
Als Enrollment Method empfehlen wir für unerfahrene Nutzer Key Generation. Bei dieser Variante wird sowohl der private und der öffentliche Schlüssel bei Sectigo erstellt. Alternativ kann vom Beantragenden vorab selbst ein CSR generiert werden, der dann im Formular zur Zertifikaterstellung hochgeladen wird.
Im nächsten Schritt muss der Key Type selektiert werden. Wir empfehlen RSA - 2048, da es mit längeren Schlüsseln zu Problemen bei einigen E-Mail-Anbietern (z.B. Google-Mail) kommen kann.
Beachten sie:
EC - P-384 und EC - P-256 können nur für Signatur und Authentisierung verwendet werden. Verschlüsselung ist hiermit nicht möglich!
Legen sie nun ein Passwort fest. Bitte merken!
Im letzten Schritt kann der Algorithmus zum Schutz des Schlüssels (Key Protection Algorithm) angepasst werden. Standardmäßig ist hier Secure AES256-SHA256 selektiert.
Beachten sie:
Sollte es zu Problemen beim Import des Zertifikats kommen, d.h. z.B. beim macOS eine Meldung, dass das Passwort falsch ist, obwohl es korrekt eingegeben wurde, wählen sie als Key Protection Algorithm den Wert Compatible TribleDES-SHA1 aus.
Nach dem Bestätigen der EULA und einem Klick auf den Submit-Button, erfolgt direkt im Anschluss der Download des certs.p12.
Beschränkung der Anzahl der Zertifikate pro Nutzer
Jeder Nutzer kann gleichzeitig pro Certificate Profile zwei gültige Nutzerzertifikate besitzen. Wird ein weiteres Zertifikat beantragt, so wird jeweils das älteste Zertifikat automatisch gesperrt.
Zertifikat installieren
Um das Zertifikat mit ihrem Mailprogramm nutzen zu können, muss ihr persönliches Zertifikat im Zertifikatsspeicher der Anwendung oder Zertifikatsspeicher des Betriebssystems hinterlegt werden. Bei der Installation des Zertifikats in den Zertifikatsspeicher müssen sie das Passwort eingeben, welches sie beim Beantragungsprozess festgelegt haben.
Die heruntergeladene Zertifikatsdatei certs.p12 sollte an einen sicheren Speicherort für eventuell spätere Verwendung (Installation auf weiteren Geräten, bzw. Neuinstallation) aufbewahrt werden.
Import
Zur Installation klicken sie doppelt auf die Datei certs.p12 und wählen anschließend als Speicherort den Wert Aktueller Benutzer.
Klicken sie auf Weiter.
Im nächsten Dialog sollte bereits der aktuelle Speicherort der certs.p12 ausgewählt sein. Bestätigen sie wiederum mit Weiter.
Geben sie nun das Passwort ein, was sie beim Erstellen des Zertifikats vergeben haben. Wir empfehlen die Option Schlüssel als exportierbar markieren… zu aktivieren.
Wählen sie jetzt die Option Zertifikatsspeicher automatisch auswählen aus.
Beenden sie die Installation durch einen Klick auf Fertigstellen.
Zertifikat für Sichere E-Mail aktivieren
Nach dem erfolgreichen Import kann das Zertifikat für Sichere E-Mail aktiviert werden.
Suchen und öffnen sie über das Startmenü den Dialog Benutzerzertifikate verwalten.
Öffnen sie auf der linken Seite den Ordner Eigene Zertifikate > Zertifikate. Auf der rechten Seite sollten sie jetzt ihr Zertifikat finden.
Öffnen sie die Eigenschaften ihres Zertifikats mittels eines Rechtsklicks.
Im Reiter Allgemein wählen sie Nur für folgende Zwecke aktivieren und darin die Option Sichere E-Mail.
Bestätigen sie mit OK.
Zertifikat nutzen
Die Einbindung und Verwendung des Zertifikats gestaltet sich je nach Betriebssystem, Anwendungsprogramm und verwendeten Version sehr unterschiedlich. Generell sollte man auf den Hilfeseiten des jeweiligen Programms unter den Stichworten "Zertifikat", "S/MIME" oder "Signieren/Verschlüsseln" fündig werden. Unter dem nachfolgenden Abschnitt finden sie einige spezielle Anleitungen zu häufig verwendeten Programmen.
Beispiel: Verwendung des Zertifikats im Outlook zum Signieren von Nachrichten
Der private Schlüssel muss Outlook zur Verfügung gestellt werden, damit Nachrichten signiert werden können. Die Einstellungen lassen sich mit folgenden Schritten öffnen:
- In der Menüleiste auf "Datei" klicken
- Optionen auswählen
- Anschließend "Trust Center"
- Einstellungen für das Trust Center öffnen
- E-Mail-Sicherheit auswählen
- "Digitale ID Importieren/Exportieren"
- Anschließend die Datei mit dem privaten Schlüssel auswählen (Kennwort erforderlich!)
Mit der Option „Ausgehenden Nachrichten digitale Signatur hinzufügen“ kann das Signieren von Nachrichten als Standardeinstellung vereinbart werden. Von der gewählten Standardeinstellung kann im Outlook bei einer E-Mail unter Optionen -> Signieren abgewichen werden.
Detaillierte Anleitungen zur Verwendung
Die nachfolgenden detaillierten Anleitung beziehen sich auf die beispielhafte Verwendung von Zertifikaten in den angebenden Programmen: