E-Mail (S/MIME)- / Nutzer- / Gruppen- / Client-Zertifikate

1. Digitale E-Mail Signatur
2. Verschlüsselte E-Mail-Kommunikation

• E-Mail (S/MIME) - bzw. Client-Zertifikat (Oberbegriff)
  • Nutzerzertifikat (@hs-sm.de oder @hs-schmalkalden.de)
    • Benötigt und beinhaltet einen echten Namen einer identifizierten Person!
    • Digitale ID für eine einzelne bestimmte natürliche Person (bspw. Olaf Scholz) oder einzelne (leitende, aber wechselnde) Rolle (bspw. Kanzler oder Dekan Maschinenbau)
  • Gruppenzertifikat (@hs-schmalkalden.de)
    • Beinhaltet keinen Namen!
    • Digitale ID für eine oder mehrere unbestimmte Personen (Funktionaler Account, Rolle, (Arbeits-)Gruppe oder Abteilung), die keine Dokumente signieren können müssen (bspw. Elektriker, Jahresempfang, Absolvententreffen)

• Ein Client-Zertifikat ist eine digitale Identität, womit im Namen des Inhabers oder der Gruppe E-Mails und Dokumente signiert sowie E-Mails ver- und entschlüsselt werden können. Es befindet daher auf dem Schutzbedarf eines geheimen Passwortes!
• Geben Sie Ihr persönliches Nutzerzertifikat niemals an andere Personen und ein Gruppenzertifikat nur an berechtigte Personen weiter und speichern Sie es sicher bspw. in einem Passwort-Manager wie KeePass ab!
• Löschen Sie auch abgelaufene oder widerrufene Client-Zertifikate nicht, da ansonsten alle verschlüsselten E-Mails, die damit gesendet oder empfangen wurden, nie wieder entschlüsselt werden können!
• Speichern Sie Zertifikate grundsätzlich auf einem sicheren, bestenfalls verschlüsselten Datenträger! Nutzen Sie keine gemeinsam genutzten Datenspeicher!

Im Laufe des Zertifikatsantrags wird ein Bild eines Ausweisdokuments abgefragt. Wir empfehlen hierfür einen gültigen Ausweis (Personalausweis, Führerschein oder Thoska) vorab abzufotografieren oder einzuscannen.
Diese Datei dient dem Administrator zur Verifikation des Antragsstellers, wird nicht gespeichert und wird automatisch nach Bearbeitung des Zertifikatsantrags durch das System gelöscht.

1. Anmeldung bei Harica-Zertifikats-Manager-Webseite via Academic Login / IDP-Anmeldung
2. Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
3. Navigieren Sie im linken Menü zu „Email“, um ein entsprechendes Zertifikat zu beantragen:
4. Wählen Sie „For enterprises or organizations (IV+OV)“:
5. Überprüfen Sie in der nächsten Ansicht Ihre Auswahl und Ihre E-Mail-Adresse und betätigen Sie „Next“.
   1. Sollte hier nicht Ihre gewünschte E-Mail-Adresse angezeigt werden, wenden Sie sich bitte an pki@hs-schmalkalden.de und brechen Sie den Vorgang ab.
6. Füllen Sie das nun angezeigt Formular entsprechend aus
   1. Vor und Nachname
   2. Geben Sie die Hochschuladresse an
      1. Germany
      2. Blechhammer 9
      3. Schmalkalden
      4. Thueringen
   3. Laden Sie ein Bild (jpg, png, …) eines Ausweisdokuments (Vorderseite mit Lichtbild z.B. Personalausweis, Führerschein, Thoska) hoch.
      1. Dies wird benötigt, damit die Administratoren Sie identifizieren können und Ihnen Ihre digitale Identität zuweisen dürfen.
   4. Betätigen Sie „Next“
7. Bestätigen Sie die „Organisations information“ und das Nächste Fenster mit „Next“
8. Es wird eine Seite Angezeigt, auf der alle Angaben zusammengefasst werden.
   1. Überprüfen Sie diese.
   2. Setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen).
   3. Bestätigen Sie die Angaben mit „Submit“:
9. Hiermit ist Ihr Zertifikatsantrag eingereicht, dieser wird nun in Ihrem Dashboard unter „Pending Certificates“ angezeigt. Ein Administrator wird in Kürze Ihren Zertifikatsantrag bearbeiten.
10. Wenn das Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail von Harica. Melden Sie sich gegegebenfalls wieder bei Harica an
11. Im Dashboard erscheint Ihr Zertifikat unter „Ready Certificates“, Betätigen Sie „Enroll your Certificate“
12. Es wird ein Formular zur Zertifikatserzeugung angezeigt
    1. Wählen Sie Generate Certificate
    2. Aus Sicherheitsgründen empfehlen wir als Verschlüsselung RSA (default) mit einer Schlüssellänge von 4096 Zeichen
    3. Vergeben Sie ein Passwort für Ihr Zertifikat
       1. Merken Sie sich dieses Passwort gut, bei Verlust, müssen Sie ein neues Zertifikat beantragen. (Empfehlung: Nutzen Sie einen Passwortmanager, wie z.B. KeePass)
    4. Setzen Sie den Haken, bei der Information, dass Ihr Passwort auch nicht durch Harica eingesehen/zurückgesetzt werden kann
    5. Betätigen Sie „Enroll Certificate“
13. Betätigen Sie „Download“ und speichern Sie sich Ihr Zertifikat auf Ihrem PC, in einem Verzeichnis Ihrer Wahl und betätigen Sie anschließend „Close“
    1. Dies ist das einzige Mal, dass Ihenen diese Funktion zur Verfügung steht. Wenn Sie die Zertifikatsdatei verlieren, müssen Sie ein neues Zertifikat beantragen.

Weiter zu: E-Mails signieren und verschlüsseln
zurück

Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain @hs-schmalkalden.de von Funktionsaccounts. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.

1. Laden Sie sich die folgende CSV-Datei herunter: hsm-harica-gruppenzertifikat.csv
2. Öffnen Sie diese mit dem Editor oder Excel
3. Füllen Sie die zweite Zeile mit den Angaben Ihres Funktionsaccounts aus.
   1. Zwingend erforderliche Angaben sind:
      1. FriendlyName Name/Verwendung des Funktionsaccounts
      2. die primäre E-Mail-Adresse des Funktionsaccounts
   2. Optionale Angaben
      1. Email2, Email3 - weitere E-Mail-Adressen des Funktionsaccounts
      2. GivenName - Vorname des Hauptnutzers
      3. Surname - Nachname des Hauptnutzers
   3. Das PickupPassword wird durch die Administratoren beim Erstellen des Zertifikates gesetzt
   4. Funktionsaccounts stehen nur der CertType „email-only“ zur Verfügung, alle anderen Angaben werden ignoriert
   5. CSR bitte leer lassen
4. Speichern Sie die Datei ab und senden Sie diese an pki@hs-schmalkalden.de
5. Es wird Ihnen ein Zertifikat mit den angegeben Daten erstellt
6. Sie erhalten eine E-Mail mit dem Zertifikat und über einen separaten sicheren Weg das zugehörige Passwort

Beispiel für den Inhalt der CSV:

FriendlyName,Email,Email2,Email3,GivenName,Surname,PickupPassword,CertType,CSR
Pojektgruppe HSM,projektgruppe@hs-schmalkalden.de,,,,,[Passwort],email_only,

zurück