Zwecke:

1. Digitale E-Mail Signatur
2. Verschlüsselte E-Mail-Kommunikation

Begriffserklärung:

• S/MIME- bzw. Client-Zertifikat (Oberbegriff)
  • Nutzerzertifikat (@hs-sm.de oder @hs-schmalkalden.de)
    • Benötigt und beinhaltet einen echten Namen einer identifizierten Person!
    • Digitale ID für eine einzelne bestimmte natürliche Person (bspw. Olaf Scholz) oder einzelne (leitende, aber wechselnde) Rolle (bspw. Kanzler oder Dekan Maschinenbau)
  • Gruppenzertifikat (@hs-schmalkalden.de)
    • Beinhaltet keinen Namen!
    • Digitale ID für eine oder mehrere unbestimmte Personen (Funktionaler Account, Rolle, (Arbeits-)Gruppe oder Abteilung), die keine Dokumente signieren können müssen (bspw. Elektriker, Jahresempfang, Absolvententreffen)

Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain @hs-sm.de von Mitarbeitern. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.

Im Laufe des Zertifikatsantrags wird ein Bild eines Ausweisdokuments abgefragt. Wir empfehlen hierfür einen gültigen Ausweis (Personalausweis, Führerschein oder Thoska) vorab abzufotografieren oder einzuscannen.

1. Anmeldung bei Harica-Zertifikats-Manager-Webseite via Academic Login / IDP-Anmeldung
2. Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
3. Navigieren Sie im linken Menü zu „Email“, um ein entsprechendes Zertifikat zu beantragen:
4. Wählen Sie „For enterprises or organizations (IV+OV)“:
5. Überprüfen Sie in der nächsten Ansicht Ihre Auswahl und Ihre E-Mail-Adresse und betätigen Sie „Next“.
   1. Sollte hier nicht Ihre gewünschte E-Mail-Adresse angezeigt werden, wenden Sie sich bitte an pki@hs-schmalkalden.de und brechen Sie den Vorgang ab.
6. Füllen Sie das nun angezeigt Formular entsprechend aus
   1. Vor und Nachname
   2. Geben Sie die Hochschuladresse an
      1. Germany
      2. Blechhammer 9
      3. Schmalkalden
      4. Thueringen
   3. Laden Sie ein Bild (jpg, png, …) eines Ausweisdokuments (Vorderseite mit Lichtbild z.B. Personalausweis, Führerschein, Thoska) hoch.
      1. Dies wird benötigt, damit die Administratoren Sie identifizieren können und Ihnen Ihre digitale Identität zuweisen dürfen.
   4. Betätigen Sie „Next“
7. Bestätigen Sie die „Organisations information“ und das Nächste Fenster mit „Next“
8. Es wird eine Seite Angezeigt, auf der alle Angaben zusammengefasst werden.
   1. Überprüfen Sie diese.
   2. Setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen).
   3. Bestätigen Sie die Angaben mit „Submit“:
9. Hiermit ist Ihr Zertifikatsantrag eingereicht, dieser wird nun in Ihrem Dashboard unter „Pending Certificates“ angezeigt. Ein Administrator wird in Kürze Ihren Zertifikatsantrag bearbeiten.
10. Wenn das Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail von Harica. Melden Sie sich gegegebenfalls wieder bei Harica an
11. Im Dashboard erscheint Ihr Zertifikat unter „Ready Certificates“, Betätigen Sie „Enroll your Certificate“
12. Es wird ein Formular zur Zertifikatserzeugung angezeigt
    1. Wählen Sie Generate Certificate
    2. Aus Sicherheitsgründen empfehlen wir als Verschlüsselung RSA (default) mit einer Schlüssellänge von 4096 Zeichen
    3. Vergeben Sie ein Passwort für Ihr Zertifikat
       1. Merken Sie sich dieses Passwort gut, bei Verlust, müssen Sie ein neues Zertifikat beantragen. (Empfehlung: Nutzen Sie einen Passwortmanager, wie z.B. KeePass)
    4. Setzen Sie den Haken, bei der Information, dass Ihr Passwort auch nicht durch Harica eingesehen/zurückgesetzt werden kann
    5. Betätigen Sie „Enroll Certificate“
13. Betätigen Sie „Download“ und speichern Sie sich Ihr Zertifikat auf Ihrem PC, in einem Verzeichnis Ihrer Wahl und betätigen Sie anschließend „Close“
    1. Dies ist das einzige Mal, dass Ihenen diese Funktion zur Verfügung steht. Wenn Sie die Zertifikatsdatei verlieren, müssen Sie ein neues Zertifikat beantragen.

Weiter zu: E-Mails signieren und verschlüsseln
zurück

Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain @hs-schmalkalden.de von Funktionsaccounts. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.

1. Laden Sie sich die folgende CSV-Datei herunter: hsm-harica-gruppenzertifikat.csv
2. Öffnen Sie diese mit dem Editor oder Excel
3. Füllen Sie die zweite Zeile mit den Angaben Ihres Funktionsaccounts aus.
   1. Zwingend erforderliche Angaben sind:
      1. FriendlyName Name/Verwendung des Funktionsaccounts
      2. die primäre E-Mail-Adresse des Funktionsaccounts
   2. Optionale Angaben
      1. Email2, Email3 - weitere E-Mail-Adressen des Funktionsaccounts
      2. GivenName - Vorname des Hauptnutzers
      3. Surname - Nachname des Hauptnutzers
   3. Das PickupPassword wird durch die Administratoren beim Erstellen des Zertifikates gesetzt
   4. Funktionsaccounts stehen nur der CertType „email-only“ zur Verfügung, alle anderen Angaben werden ignoriert
   5. CSR bitte leer lassen
4. Speichern Sie die Datei ab und senden Sie diese an pki@hs-schmalkalden.de
5. Es wird Ihnen ein Zertifikat mit den angegeben Daten erstellt
6. Sie erhalten eine E-Mail mit dem Zertifikat und über einen separaten sicheren Weg das zugehörige Passwort

Beispiel für den Inhalt der CSV:

FriendlyName,Email,Email2,Email3,GivenName,Surname,PickupPassword,CertType,CSR
Pojektgruppe HSM,projektgruppe@hs-schmalkalden.de,,,,,[Passwort],email_only,

Falls Sie beim Download Ihres Zertifikats versehentlich als Verschlüsselungsalgorithmus Secure AES256-SHA256 statt Compatible TripleDES-SHA1 gewählt haben, kann es sein, dass es einige Anwendungen nicht importieren können. Adobe Reader zeigt insbesondere an, dass Ihr Passwort falsch sei, obwohl es definitiv richtig ist. Glücklicherweise können Sie dieses Problem relativ einfach mit dem Webbrowser Firefox selbst lösen:

1. Gehen Sie dazu rechts oben im Menü (1) in die Einstellungen (2):
2. Dort klicken Sie auf die Kategorie Datenschutz & Sicherheit (1), scrollen Sie runter und wählen Sie Zertifikate anzeigen… (2):
3. Klicken Sie im Dialog nun im Tab Ihre Zertifikate (1) auf den Button Importieren… (2) und wählen Sie Ihre problematische .p12-Zertifikatsdatei aus:
4. Sie werden jetzt zur Eingabe Ihres Passwortes (1) aufgefordert. Bestätigen Sie den Dialog mit Anmelden (1). (Firefox versteht im Gegensatz zur problematischen Anwendung den Algorithmus Secure AES256-SHA256. Daher kommt es hier nicht zu einem Fehler.)
5. Wie Sie anhand sehen können sollten, wurde Ihr GÉANT-Zertifikat erfolgreich in den Zertifikatsspeicher von Firefox importiert (1). Wählen Sie es aus (2) und klicken Sie auf Sichern… (3):
6. Legen Sie jetzt erneut ein Passwort (1) für die Ausgabedatei fest (Dies kann dasselbe Passwort wie bei Ihrer Ausgangsdatei sein.) und bestätigen Sie mit OK (2). Speichern Sie die fertige .p12-Datei nun ab. (Firefox exportiert Zertifikate immer mit den Algorithmus Compatible TripleDES-SHA1. Daher funktioniert die exportierte Datei anschließend.)
7. Abschließend können/sollten Sie mit dem Button Löschen… (1) Ihr importiertes Zertifikat wieder aus dem Firefox-Zertifikatsspeicher entfernen:
8. Diese Aktion müssen noch einmal mit dem Button OK (1) in einem Folgedialog bestätigen:
9. Die neue Zertifikatsdatei sollte sich nun problemlos bspw. in Adobe Reader importieren lassen.