Nutzerzertifikat: Unterschied zwischen den Versionen

Aus HSMWiki
Wechseln zu: Navigation, Suche
 
(17 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=Allgemeines=
+
Unter https://cert-manager.com/customer/DFN/idp/clientgeant können Angehörige der Hochschule Mittweida selbstständig Nutzerzertifikate beziehen.
  
Die Hochschule Mittweida ist Teil der PKI (Public-Key-Infrastruktur) des DFN und Zertifizierungsstelle für die Angehörigen der Hochschule. Damit haben alle Angehörigen der Hochschule die Möglichkeit, ein persönliches Zertifikat beim DFN zu beantragen.
+
Mit Hilfe eines Zertifikates können E-Mails vom Absender digital signiert werden. Digital signierte E-Mails geben dem Empfänger die Sicherheit, dass
  
Die Zertifikate werden von der Hochschule nach Prüfung der Identität des Antragstellers freigeschaltet. Zertifikate werden nur an Personen ausgestellt. Das Verfahren zur Beantragung eines persönlichen Zertifikats muss von jeder Person selbst durchgeführt werden.
 
Mit Hilfe eines Zertifikates können E-Mails vom Absender digital signiert werden. Digital signierte E-Mails geben dem Empfänger die Sicherheit, dass
 
 
# Der Absender der Mail verbindlich geprüft werden kann  
 
# Der Absender der Mail verbindlich geprüft werden kann  
 
# Der Inhalt der Mail während der Übertragung nicht geändert wurde.
 
# Der Inhalt der Mail während der Übertragung nicht geändert wurde.
 +
 +
 
An den Inhaber eines Zertifikats können verschlüsselte E-Mails gesendet werden, wenn dieser seinen öffentlichen Schlüssel bereitstellt.
 
An den Inhaber eines Zertifikats können verschlüsselte E-Mails gesendet werden, wenn dieser seinen öffentlichen Schlüssel bereitstellt.
  
Das Ausstellen von Zertifikaten ist nur für E-Mail-Adressen mit der Domain hs-mittweida.de möglich. Anträge für andere Domains werden abgewiesen.
+
<div class="alert alert-info">
 +
<p><strong>Hinweis:</strong></p>
 +
<p class="mb-0">Die Nutzerzertifikate können nicht für das Signieren von PDFs verwendet werden. Sie dienen der Signierung und Verschlüsselung von E-Mails.</p>
 +
</div>
 +
 
 +
__TOC__
 +
 
 +
== Beantragungsprozess ==
 +
 
 +
Gehen sie auf https://cert-manager.com/customer/DFN/idp/clientgeant und wählen sie die Hochschule Mittweida aus.
 +
 
 +
[[File:sectigo_01.png|500px|center|Organisation auswählen]]
 +
 
 +
Nach erfolgreicher Anmeldung gelangen sie zum Certificate Enrollment Formular. Im Kopfbereich sollte ihr Vor- und Nachname, die Hochschule Mittweida - University of Applied Sciences als Organisation und ihre E-Mail-Adresse angezeigt werden, für die sie das Zertifikat beantragen.
 +
 
 +
[[File:sectigo_02.png|500px|center|Persönliche Daten]]
  
=Zertifikat beantragen=
+
Wählen sie anschließend ein ''Certificate Profile'' aus. Wir empfehlen an dieser Stelle das '''GÉANT Personal email signing and encryption'''.
  
<span class="spotschrift">Da die erforderliche persönliche Identifizierung für Nutzerzertifikate derzeit nicht persönlich im Netz- und Kommunikationszentrum durchgeführt werden kann, bieten wir alternativ ein Verfahren per Video-Idententifizierung an. Nähere Informationen im Abschnitt [[#Video-Identifizierung]]</span>
+
Anschließend legen sie die Gültigkeitsdauer (''Term'') fest. Die Optionen sind hier '''356 Tage''' oder '''730 Tage'''.
  
Folgende Aktionen bzw. Schritte sind erforderlich, um das Zertifikat zu erstellen
+
Als ''Enrollment Method'' empfehlen wir für unerfahrene Nutzer '''Key Generation'''. Bei dieser Variante wird sowohl der private und der öffentliche Schlüssel bei Sectigo erstellt. Alternativ kann vom Beantragenden vorab selbst ein '''CSR''' generiert werden, der dann im Formular zur Zertifikaterstellung hochgeladen wird.
  
# [[#Schritt_1:_Beantragung_des_Zertifikats_auf_der_PKI-Seite_des_DFN|Beantragung des Zertifikats auf der PKI-Seite des DFN]]
+
Im nächsten Schritt muss der ''Key Type'' selektiert werden. Wir empfehlen '''RSA - 2048''', da es mit längeren Schlüsseln zu Problemen bei einigen E-Mail-Anbietern (z.B. Google-Mail) kommen kann.
#* Festlegen eines Kennworts für den Schutz des Browser-Speichers
 
#* Angabe ihrer Daten, für das Zertifikat gültig sein soll
 
#* Festlegung einer PIN (eines Kennworts) zum Sperren des Zertifikats
 
#* Entscheidung über die Veröffentlichung des Zertifikats
 
# [[#Schritt 2: Zertifikatsantrag bearbeiten|Zertifikatsantrag bearbeiten]]
 
#* Drucken und Unterschrieben des Antrags
 
#* Prüfung des Antrags beim Teilnehmerservice (NCC)
 
#* Zertifikat erstellen (wird vom Teilnehmerservice durchgeführt)
 
# [[#Schritt 3: Zertifikatsdatei erstellen|Zertifikatsdatei erstellen]]
 
#* Zertifikatsdatei erzeugen und Kennwort zum Schutz festlegen
 
#* Zertifikatsdatei abspeichern (*name*.p12)
 
  
Für diesen Vorgang benötigen Sie drei verschiedene Kennworte. Da während der Beantragung des Zertifikats der persönliche Schlüssel generiert und im Browser gespeichert wird, müssen alle Schritte auf dem selben Endgerät und mit dem selben Browser durchgeführt werden.
+
<div class="alert alert-info">
 +
<p class="alert-heading"><strong>Beachten sie:</strong></p>
 +
<p class="mb-0"><strong>EC - P-384</strong> und <strong>EC - P-256</strong> können nur für Signatur und Authentisierung verwendet werden. Verschlüsselung ist hiermit nicht möglich!</p>
 +
</div>
  
== Schritt 1: Beantragung des Zertifikats auf der PKI-Seite des DFN ==
+
Legen sie nun ein Passwort fest. '''Bitte merken!'''
  
[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/2710 Link] zu der Seite.
+
Im letzten Schritt kann der Algorithmus zum Schutz des Schlüssels (''Key Protection Algorithm'') angepasst werden. Standardmäßig ist hier '''Secure AES256-SHA256''' selektiert.  
Die Seiten enthalten detaillierte Erläuterungen. Nehmen sie sich Zeit, diese zu lesen.
 
  
[[Datei:nutzung_digitale_sig01.png|border|670px]]
+
<div class="alert alert-info">
 +
<p class="alert-heading"><strong>Beachten sie:</strong></p>
 +
<p class="mb-0">Sollte es zu Problemen beim Import des Zertifikats kommen, d.h. z.B. beim macOS eine Meldung, dass das Passwort falsch ist, obwohl es korrekt eingegeben wurde, wählen sie als <i>Key Protection Algorithm</i> den Wert <strong>Compatible TribleDES-SHA1</strong> aus.</p>
 +
</div>
  
Da das Schlüsselpaar schon bei der Beantragung generiert wird, müssen sie den privaten Schlüssel schützen. Das geschieht mit einem Kennwort für den Browser-Speicher, in dem der private Schlüssel abgelegt wird.
+
[[File:sectigo_03.png|500px|center|Komplettes Antragsformular]]
  
[[Datei: nutzung_digitale_sig02.png|border|670px]]
+
Nach dem Bestätigen der EULA und einem Klick auf den Submit-Button, erfolgt direkt im Anschluss der Download des '''certs.p12'''.
  
Dann geht es wirklich los.
+
[[File:sectigo_04.png|500px|center|Abschluss]]
  
[[Datei: nutzung_digitale_sig03.png|border|670px]]
+
== Beschränkung der Anzahl der Zertifikate pro Nutzer ==
  
 +
Jeder Nutzer kann gleichzeitig pro ''Certificate Profile'' zwei gültige Nutzerzertifikate besitzen. Wird ein weiteres Zertifikat beantragt, so wird jeweils das älteste Zertifikat automatisch gesperrt.
  
Die Daten für das Zertifikat müssen eingegeben werden. Auch eine PIN (ein Kennwort), mit der sie das Zertifikat sperren können.
+
== Zertifikat installieren ==
Das NCC enpfiehlt die Veröffentlichung des Zertifikats. Informationen dazu können sie  [https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15075 hier] nachlesen.
 
  
[[Datei: nutzung_digitale_sig04.png|border|670px]]
+
Um das Zertifikat mit ihrem Mailprogramm nutzen zu können, muss ihr persönliches Zertifikat im Zertifikatsspeicher der Anwendung oder Zertifikatsspeicher des Betriebssystems hinterlegt werden. Bei der Installation des Zertifikats in den Zertifikatsspeicher müssen sie das Passwort eingeben, welches sie beim Beantragungsprozess festgelegt haben.
  
 +
Die heruntergeladene Zertifikatsdatei '''certs.p12''' sollte an einen sicheren Speicherort für eventuell spätere Verwendung (Installation auf weiteren Geräten, bzw. Neuinstallation) aufbewahrt werden.
  
Die Daten werden in den Antrag übernommen und nochmals dargestellt. Der Zeritfikatsantrag muss nach dem Anzeigen ausgedruckt werden. Dann ist erst einmal Schluss am PC.
+
=== Import ===
  
[[Datei: nutzung_digitale_sig05.png|border|670px]]
+
Zur Installation klicken sie doppelt auf die Datei '''certs.p12''' und wählen anschließend als ''Speicherort'' den Wert  '''Aktueller Benutzer'''.
  
== Schritt 2: Zertifikatsantrag bearbeiten ==
+
[[File:Sectigo-inst-01.png|500px|center|caption]]
  
Den Antrag drucken, unterschreiben und persönlich zur Prüfung vorlegen. Die Prüfung der Identität des Antragstellers erfolgt im NCC anhand des Personalausweises.
 
  
[[Datei: nutzung_digitale_sig06.png|border|670px]]
+
Klicken sie auf '''Weiter'''.  
  
== Schritt 3: Zertifikatsdatei erstellen ==
+
Im nächsten Dialog sollte bereits der aktuelle Speicherort der '''certs.p12''' ausgewählt sein. Bestätigen sie wiederum mit '''Weiter'''.
  
Nach der Prüfung und Bestätigung im NCC erhalten sie eine E-Mail. Sie enthält ihren öffentlichen Schlüssel und den Link zur weiteren Bearbeitung.
+
[[File:Sectigo-inst-02.png|500px|center|caption]]
Die E-Mail ist signiert!
 
Die Bearbeitung muss auf dem selben Endgerät mit dem selben Browser fortgesetzt werden, mit dem der Antrag gestellt wurde.
 
  
[[Datei: nutzung_digitale_sig07.png|border|670px]]
 
  
Sie sehen dann ihren Zertifikatsantrag und können die Bearbeitung fertigstellen, in dem sie die Zertifikatsdatei erzeugen. Sie benötigen dazu
+
Geben sie nun das Passwort ein, was sie beim Erstellen des Zertifikats vergeben haben. Wir empfehlen die Option '''Schlüssel als exportierbar markieren…''' zu aktivieren.
  
[[Datei: nutzung_digitale_sig08.png|border|670px]]
+
[[File:Sectigo-inst-03.png|500px|center|caption]]
  
[[Datei: nutzung_digitale_sig09.png|border|670px]]
 
  
[[Datei: nutzung_digitale_sig10.png|border|670px]]
+
Wählen sie jetzt die Option '''Zertifikatsspeicher automatisch auswählen''' aus.
  
Jetzt wird die Datei mit ihrem persönlichen Schlüssel erzeugt. Diese schützen sie mit einem Kennwort.
+
[[File:Sectigo-inst-04.png|500px|center|caption]]
  
[[Datei: nutzung_digitale_sig11.png|border|670px]]
 
  
[[Datei: nutzung_digitale_sig12.png|border|670px]]
+
Beenden sie die Installation durch einen Klick auf '''Fertigstellen'''.
  
Wenn Sie wollen, dass Ihnen Partner verschlüsselte E-Mails schicken können, müssen Sie einer Veröffentlichung des Zertifikats im Verzeichnisdienst des DFN zustimmen. Das NCC empfiehlt die Veröffentlichung. Siehe hierzu [[#Was bedeutet die Veröffentlichung von Zertifikaten?]]
+
[[File:Sectigo-inst-05.png|500px|center|caption]]
  
Das Zertifikat wird dann per E-Mail vom DFN an den Antragsteller gesendet. Es muss im Browser über den in der Mail mitgelieferten Link registriert werden.
 
Aus dem Browser kann das Zertifikat exportiert und im E-Mail Client (Outlook, Thunderbird o.ä.) importiert und zur Signatur verwendet werden.
 
  
Export im Firefox:
+
[[File:Sectigo-inst-06.png|300px|center|caption]]
# Menü "Erweitert"
 
# "Zertifikate" auswählen
 
# Zertifikat
 
# Zertifikate anzeigen
 
# Ihre Zertifikate
 
# Auswählen und sichern
 
  
=Zertifikat installieren=
+
=== Zertifikat für Sichere E-Mail aktivieren ===
  
Um das Zertifikat mit ihrem Mailprogramm nutzen zu können, muss ihr persönliches Zertifikat im Zertifikatsspeicher der Anwendung oder Zertifikatsspeicher des Betriebssystems hinterlegt werden. Bei der Installation des Zertifikats in den Zertifikatsspeicher müssen sie die Zertifikats-PIN eingeben, welche sie bei der Erstellung angegeben haben.
+
Nach dem erfolgreichen Import kann das Zertifikat für Sichere E-Mail aktiviert werden.
  
=Zertifikat nutzen=
+
Suchen und öffnen sie über das ''Startmenü'' den Dialog '''Benutzerzertifikate verwalten'''.
 +
 
 +
[[File:Certmgr-01.png|500px|center|caption]]
 +
 
 +
 
 +
Öffnen sie auf der linken Seite den Ordner '''Eigene Zertifikate''' > '''Zertifikate'''. Auf der rechten Seite sollten sie jetzt ihr Zertifikat finden.
 +
 
 +
Öffnen sie die '''Eigenschaften''' ihres Zertifikats mittels eines Rechtsklicks.
 +
 
 +
[[File:Certmgr-02.png|550px|center|caption]]
 +
 
 +
 
 +
Im Reiter ''Allgemein'' wählen sie '''Nur für folgende Zwecke aktivieren''' und darin die Option '''Sichere E-Mail'''.
 +
 
 +
[[File:Certmgr-03.png|400px|center|caption]]
 +
 
 +
 
 +
Bestätigen sie mit '''OK'''.
 +
 
 +
== Zertifikat nutzen ==
  
 
Die Einbindung und Verwendung des Zertifikats gestaltet sich je nach Betriebssystem, Anwendungsprogramm und verwendeten Version sehr unterschiedlich. Generell sollte man auf den Hilfeseiten des jeweiligen Programms unter den Stichworten "Zertifikat", "S/MIME" oder "Signieren/Verschlüsseln" fündig werden. Unter dem nachfolgenden Abschnitt finden sie einige spezielle Anleitungen zu häufig verwendeten Programmen.
 
Die Einbindung und Verwendung des Zertifikats gestaltet sich je nach Betriebssystem, Anwendungsprogramm und verwendeten Version sehr unterschiedlich. Generell sollte man auf den Hilfeseiten des jeweiligen Programms unter den Stichworten "Zertifikat", "S/MIME" oder "Signieren/Verschlüsseln" fündig werden. Unter dem nachfolgenden Abschnitt finden sie einige spezielle Anleitungen zu häufig verwendeten Programmen.
  
== Beispiel: Verwendung des Zertifikats im Outlook zum Signieren von Nachrichten ==
+
=== Beispiel: Verwendung des Zertifikats im Outlook zum Signieren von Nachrichten ===
 
Der private Schlüssel muss Outlook zur Verfügung gestellt werden, damit Nachrichten signiert werden können.
 
Der private Schlüssel muss Outlook zur Verfügung gestellt werden, damit Nachrichten signiert werden können.
 
Die Einstellungen lassen sich mit folgenden Schritten öffnen:
 
Die Einstellungen lassen sich mit folgenden Schritten öffnen:
Zeile 120: Zeile 135:
 
Mit der Option „Ausgehenden Nachrichten digitale Signatur hinzufügen“ kann das Signieren von Nachrichten als Standardeinstellung vereinbart werden. Von der gewählten Standardeinstellung kann im Outlook bei einer E-Mail unter Optionen -> Signieren abgewichen werden.
 
Mit der Option „Ausgehenden Nachrichten digitale Signatur hinzufügen“ kann das Signieren von Nachrichten als Standardeinstellung vereinbart werden. Von der gewählten Standardeinstellung kann im Outlook bei einer E-Mail unter Optionen -> Signieren abgewichen werden.
  
== Detaillierte Anleitungen zur Verwendung ==
+
=== Detaillierte Anleitungen zur Verwendung ===
  
 
Die nachfolgenden detaillierten Anleitung beziehen sich auf die beispielhafte Verwendung von Zertifikaten in den angebenden Programmen:
 
Die nachfolgenden detaillierten Anleitung beziehen sich auf die beispielhafte Verwendung von Zertifikaten in den angebenden Programmen:
Zeile 128: Zeile 143:
 
* [https://blog.doenselmann.com/smime-unter-ios-nutzen/ Verwendung unter Apple iOS]
 
* [https://blog.doenselmann.com/smime-unter-ios-nutzen/ Verwendung unter Apple iOS]
  
= Was bedeutet die Veröffentlichung von Zertifikaten? =
+
[[Kategorie:Sicherheit]]
 
+
[[Kategorie:E-Mail]]
Bei der Veröffentlichung von Zertifikaten muss grundsätzlich zwischen Nutzer- und Serverzertifikaten unterschieden werden.
+
[[Kategorie:Outlook]]
 
+
[[Kategorie:Windows]]
Für Nutzerzertifikate gilt:
+
[[Kategorie:macOS]]
 
+
[[Kategorie:iOS]]
Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats zustimmen, wird dieses zum Verzeichnisdienst der DFN-PKI hinzugefügt, der im Internet frei zugänglich ist. Der Vorteil einer Veröffentlichung besteht darin, dass jeder, der Ihnen eine verschlüsselte E-Mail senden möchte, dies leicht tun kann, da das entsprechende Zertifikat frei verfügbar ist. Da Nutzerzertifikate den Namen und die E-Mail Adresse des Zertifikatnehmers enthalten, sind diese Daten bei einer Zustimmung zur Veröffentlichung frei verfügbar.
+
[[Kategorie:iPadOS]]
 
+
[[Kategorie:Android]]
Die Veröffentlichung eines Nutzerzertifikats ist vergleichbar mit einer Telefonnummer, die Sie in ein öffentliches Telefonverzeichnis eintragen lassen können. Stimmen Sie der Eintragung zu, so kann jeder (ob gewünscht oder ungewünscht) Sie ohne vorherige Kontaktaufnahme telefonisch erreichen.
 
 
 
Bitte beachten Sie:
 
* Sie können Ihre Zustimmung zur Veröffentlichung Ihres Zertifikats jederzeit mit Wirkung für die Zukunft durch eine E-Mail an dfnpca@dfn-cert.de widerrufen. Nennen Sie uns in der E-Mail bitte die Seriennummer des Zertifikats und die ausstellende Zertifizierungsstelle. Diese Informationen sind aus den Zertifikatdetails ersichtlich.
 
 
 
* Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats nicht zustimmen, kann dies nachträglich nicht geändert werden. Sie müssen dann ein neues Zertifikat beantragen und dafür der Veröffentlichung zustimmen.
 
 
 
Für Serverzertifikate gilt:  
 
Serverzertifikate werden in der DFN-PKI in Certificate Transparency Logs veröffentlicht. Dies sind von Dritten betriebene Systeme, die der Transparenz und damit der Sicherheit der Web-PKI dienen. Ohne die Veröffentlichung wären Serverzertifikate nicht mehr in Google Chrome funktionsfähig.
 
Die Veröffentlichung von Serverzertifikaten kann nicht zurückgenommen werden. Certificate Transparency Logs werden von Dritten betrieben, auf die der DFN keinen Einfluss hat. Darüber hinaus basiert Certificate Transparency auf Datenstrukturen, die durch digitale Signaturen inhärent gegen nachträgliche Änderungen gesichert ist.
 
Weitere Erläuterungen finden Sie im Blog der [https://blog.pki.dfn.de/2018/01/certificate-transparency-in-der-dfn-pki DFN-PKI]
 
 
 
= Video-Identifizierung =
 
 
 
Die Video-Identifizierung ersetzt das persönliche Treffen von Antragsteller und TS-Mitarbeiter in den Räumlichkeiten des NCC. Alle übrigen Schritte für die Beantragung eines persönlichen Zertifikats bleiben unverändert.
 
 
 
Abweichend zum normalen Antragsverfahren ist zu beachten:
 
 
 
* Der handschriftlich unterschriebene Zertifikatsantrag muss per Post, Fax oder in elektronischer Form (per E-Mail) an den [mailto:cert@hs-mittweida.de TS-Mitarbeiter] gesendet werden.
 
* Zwischen Antragsteller und TS-Mitarbeiter muss ein Termin für die Video-Identifizierung vereinbart werden.
 
* Für die Video-Identifizierung muss der Dienst [https://www.conf.dfn.de DFNconf] verwendet werden.
 
* Der Antragsteller teilt dem TS-Mitarbeiter im Vorfeld den Typ des Ausweisdokumentes mit, der für die Identifizierung verwendet werden soll.
 
* Das Ausweisdokument muss beim Termin vorgezeigt werden und kann nicht durch ein anderes Dokument ersetzt werden.
 
* Zu Beginn des der Video-Identifizierung teilt der Antragsteller dem TS-Mitarbeiter die Antragsnummer mit.
 
 
 
 
 
Abbruchkriterien sind:
 
* die zu identifizierende Person kann die Antragsnummer nicht nennen kann
 
* die zu identifizierende Person zeigt ein anderes Ausweisdokument als vorab abgesprochen
 
* die Qualität der Videoübertragung so schlecht ist, dass die Merkmale und die Personendaten nicht zu erkennen bzw. zu lesen sind
 
* die Daten inkonsistent sind (Name stimmt nicht, Ausweis abgelaufen, Ausstellungsdatum unstimmig, Foto kann nicht zugeordnet werden, Unterschrift stimmt nicht mit vorliegendem Zertifikatantrag überein)
 
 
 
Detaillierte Information sind auf der Seite [https://www.pki.dfn.de/policies/videoident Video-Identifizierung] des DFN zu finden.
 

Aktuelle Version vom 25. Oktober 2023, 06:48 Uhr

Unter https://cert-manager.com/customer/DFN/idp/clientgeant können Angehörige der Hochschule Mittweida selbstständig Nutzerzertifikate beziehen.

Mit Hilfe eines Zertifikates können E-Mails vom Absender digital signiert werden. Digital signierte E-Mails geben dem Empfänger die Sicherheit, dass

  1. Der Absender der Mail verbindlich geprüft werden kann
  2. Der Inhalt der Mail während der Übertragung nicht geändert wurde.


An den Inhaber eines Zertifikats können verschlüsselte E-Mails gesendet werden, wenn dieser seinen öffentlichen Schlüssel bereitstellt.

Hinweis:

Die Nutzerzertifikate können nicht für das Signieren von PDFs verwendet werden. Sie dienen der Signierung und Verschlüsselung von E-Mails.

Beantragungsprozess

Gehen sie auf https://cert-manager.com/customer/DFN/idp/clientgeant und wählen sie die Hochschule Mittweida aus.

Organisation auswählen

Nach erfolgreicher Anmeldung gelangen sie zum Certificate Enrollment Formular. Im Kopfbereich sollte ihr Vor- und Nachname, die Hochschule Mittweida - University of Applied Sciences als Organisation und ihre E-Mail-Adresse angezeigt werden, für die sie das Zertifikat beantragen.

Persönliche Daten

Wählen sie anschließend ein Certificate Profile aus. Wir empfehlen an dieser Stelle das GÉANT Personal email signing and encryption.

Anschließend legen sie die Gültigkeitsdauer (Term) fest. Die Optionen sind hier 356 Tage oder 730 Tage.

Als Enrollment Method empfehlen wir für unerfahrene Nutzer Key Generation. Bei dieser Variante wird sowohl der private und der öffentliche Schlüssel bei Sectigo erstellt. Alternativ kann vom Beantragenden vorab selbst ein CSR generiert werden, der dann im Formular zur Zertifikaterstellung hochgeladen wird.

Im nächsten Schritt muss der Key Type selektiert werden. Wir empfehlen RSA - 2048, da es mit längeren Schlüsseln zu Problemen bei einigen E-Mail-Anbietern (z.B. Google-Mail) kommen kann.

Beachten sie:

EC - P-384 und EC - P-256 können nur für Signatur und Authentisierung verwendet werden. Verschlüsselung ist hiermit nicht möglich!

Legen sie nun ein Passwort fest. Bitte merken!

Im letzten Schritt kann der Algorithmus zum Schutz des Schlüssels (Key Protection Algorithm) angepasst werden. Standardmäßig ist hier Secure AES256-SHA256 selektiert.

Beachten sie:

Sollte es zu Problemen beim Import des Zertifikats kommen, d.h. z.B. beim macOS eine Meldung, dass das Passwort falsch ist, obwohl es korrekt eingegeben wurde, wählen sie als Key Protection Algorithm den Wert Compatible TribleDES-SHA1 aus.

Komplettes Antragsformular

Nach dem Bestätigen der EULA und einem Klick auf den Submit-Button, erfolgt direkt im Anschluss der Download des certs.p12.

Abschluss

Beschränkung der Anzahl der Zertifikate pro Nutzer

Jeder Nutzer kann gleichzeitig pro Certificate Profile zwei gültige Nutzerzertifikate besitzen. Wird ein weiteres Zertifikat beantragt, so wird jeweils das älteste Zertifikat automatisch gesperrt.

Zertifikat installieren

Um das Zertifikat mit ihrem Mailprogramm nutzen zu können, muss ihr persönliches Zertifikat im Zertifikatsspeicher der Anwendung oder Zertifikatsspeicher des Betriebssystems hinterlegt werden. Bei der Installation des Zertifikats in den Zertifikatsspeicher müssen sie das Passwort eingeben, welches sie beim Beantragungsprozess festgelegt haben.

Die heruntergeladene Zertifikatsdatei certs.p12 sollte an einen sicheren Speicherort für eventuell spätere Verwendung (Installation auf weiteren Geräten, bzw. Neuinstallation) aufbewahrt werden.

Import

Zur Installation klicken sie doppelt auf die Datei certs.p12 und wählen anschließend als Speicherort den Wert Aktueller Benutzer.

caption


Klicken sie auf Weiter.

Im nächsten Dialog sollte bereits der aktuelle Speicherort der certs.p12 ausgewählt sein. Bestätigen sie wiederum mit Weiter.

caption


Geben sie nun das Passwort ein, was sie beim Erstellen des Zertifikats vergeben haben. Wir empfehlen die Option Schlüssel als exportierbar markieren… zu aktivieren.

caption


Wählen sie jetzt die Option Zertifikatsspeicher automatisch auswählen aus.

caption


Beenden sie die Installation durch einen Klick auf Fertigstellen.

caption


caption

Zertifikat für Sichere E-Mail aktivieren

Nach dem erfolgreichen Import kann das Zertifikat für Sichere E-Mail aktiviert werden.

Suchen und öffnen sie über das Startmenü den Dialog Benutzerzertifikate verwalten.

caption


Öffnen sie auf der linken Seite den Ordner Eigene Zertifikate > Zertifikate. Auf der rechten Seite sollten sie jetzt ihr Zertifikat finden.

Öffnen sie die Eigenschaften ihres Zertifikats mittels eines Rechtsklicks.

caption


Im Reiter Allgemein wählen sie Nur für folgende Zwecke aktivieren und darin die Option Sichere E-Mail.

caption


Bestätigen sie mit OK.

Zertifikat nutzen

Die Einbindung und Verwendung des Zertifikats gestaltet sich je nach Betriebssystem, Anwendungsprogramm und verwendeten Version sehr unterschiedlich. Generell sollte man auf den Hilfeseiten des jeweiligen Programms unter den Stichworten "Zertifikat", "S/MIME" oder "Signieren/Verschlüsseln" fündig werden. Unter dem nachfolgenden Abschnitt finden sie einige spezielle Anleitungen zu häufig verwendeten Programmen.

Beispiel: Verwendung des Zertifikats im Outlook zum Signieren von Nachrichten

Der private Schlüssel muss Outlook zur Verfügung gestellt werden, damit Nachrichten signiert werden können. Die Einstellungen lassen sich mit folgenden Schritten öffnen:

  1. In der Menüleiste auf "Datei" klicken
  2. Optionen auswählen
  3. Anschließend "Trust Center"
  4. Einstellungen für das Trust Center öffnen
  5. E-Mail-Sicherheit auswählen
  6. "Digitale ID Importieren/Exportieren"
  7. Anschließend die Datei mit dem privaten Schlüssel auswählen (Kennwort erforderlich!)

Mit der Option „Ausgehenden Nachrichten digitale Signatur hinzufügen“ kann das Signieren von Nachrichten als Standardeinstellung vereinbart werden. Von der gewählten Standardeinstellung kann im Outlook bei einer E-Mail unter Optionen -> Signieren abgewichen werden.

Detaillierte Anleitungen zur Verwendung

Die nachfolgenden detaillierten Anleitung beziehen sich auf die beispielhafte Verwendung von Zertifikaten in den angebenden Programmen:

Abgerufen von „https://wiki.hs-mittweida.de/de/index.php?title=Nutzerzertifikat&oldid=8690

drucken

Datenschutz
Impressum
Kontakt