Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:client-zertifikate [2025/12/02 14:44] – [E-Mails signieren und verschlüsseln] Carl Meffert
+++ zertifikate:pki:client-zertifikate [2025/12/03 11:03] (aktuell) – [Gruppenzertifikat | @hs-schmalkalden.de] Carl Meffert
@@ Zeile 1: / Zeile 1: @@
 [[zertifikate:pki|zurück]]
-FIXME
-<note warning>**ACHTUNG! Diese Seite befinden sich aktuell aufgrund des Dienstanbieterwechsels im Umbau und ist größtenteils ungültig!**</note>
 ====== S/MIME- / Nutzer- / Gruppen- / Client-Zertifikate ======
@@ Zeile 10: / Zeile 6: @@
   - Digitale E-Mail Signatur
   - Verschlüsselte E-Mail-Kommunikation
-<note> Digitales Signieren von Dokumenten nach [[https://gesetze.legal/eu/vo_eu_2014_910/26|fortgeschrittener elektronischer Signatur (FES) nach Art. 26 eDIAS]] ist derzeit über Harica nicht möglich </note>
+<note> Digitales Signieren von Dokumenten nach [[https://gesetze.legal/eu/vo_eu_2014_910/26|fortgeschrittener elektronischer Signatur (FES) nach Art. 26 eDIAS]] ist derzeit über Harica nicht möglich. Wenden Sie sich für weitere Informationen an [[pki@hs-schmalkalden.de]] </note>
 Begriffserklärung:
   * **S/MIME- bzw. Client-Zertifikat** (Oberbegriff)
+      * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
+      * Benötigt und beinhaltet einen **echten Namen einer identifizierten Person**!
+      * Digitale ID für **eine einzelne bestimmte natürliche Person** (bspw. Olaf Scholz) oder **einzelne (leitende, aber wechselnde) Rolle** (bspw. Kanzler oder Dekan Maschinenbau)
     * **Gruppenzertifikat** (@hs-schmalkalden.de)
       * Beinhaltet **keinen Namen**!
       * Digitale ID für **eine oder mehrere unbestimmte Personen** (Funktionaler Account, Rolle, (Arbeits-)Gruppe oder Abteilung), die **keine Dokumente signieren** können müssen (bspw. Elektriker, Jahresempfang, Absolvententreffen)
-    * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
-      * Benötigt und beinhaltet einen **echten Namen einer identifizierten Person**!
-      * Digitale ID für **eine einzelne bestimmte natürliche Person** (bspw. Olaf Scholz) oder **einzelne (leitende, aber wechselnde) Rolle** (bspw. Kanzler oder Dekan Maschinenbau)
 <note warning>**ACHTUNG:** Ein Client-Zertifikat ist eine digitale Identität, womit im Namen des Inhabers oder der Gruppe E-Mails und Dokumente signiert sowie E-Mails ver- und entschlüsselt werden können. Es befindet daher auf dem Schutzbedarf eines geheimen Passwortes! Geben Sie Ihr persönliches Nutzerzertifikat niemals an andere Personen und ein Gruppenzertifikat nur an berechtigte Personen weiter und speichern Sie es sicher bspw. in einem Passwort-Manager wie [[https://keepass.info|KeePass]] ab! Löschen Sie auch abgelaufene oder widerrufene Client-Zertifikate nicht, da ansonsten alle verschlüsselten E-Mails, die damit gesendet oder empfangen wurden, nie wieder entschlüsselt werden können!
@@ Zeile 29: / Zeile 26: @@
 ====== Ausstellung ======
-===== Harica =====
+===== S/MIME-Zertifikate bei Harica =====
-==== Persönliche Nutzerzertifikate ====
+==== persönliches Nutzerzertifikat====
-** @hs-sm.de / @hs-schmalkalden.de - GÉANT Personal email signing and encryption) **
-<note important>Um Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls schlägt die Anmeldung fehl. </note>
+Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-sm.de** von Mitarbeitern. Das Ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
+<note important>Um ein vollwertiges Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls können Sie nur ein [[.:client-zertifikate#gruppenzertifikat_hs-schmalkaldende|Gruppenzertifikat]] für diese Adresse beantragen.</note>
+<fc #ed1c24>** Im Laufe des Zertifikatsantrags wird ein Bild eines Ausweisdokuments abgefragt. Wir empfehlen hierfür einen gültigen Ausweis (Personalausweis, Führerschein oder Thoska) vorab abzufotografieren oder einzuscannen. **</fc>
+  - Anmeldung bei [[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]] via [[idp-anmeldung|Academic Login / IDP-Anmeldung]]
+  - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
+  - Navigieren Sie im linken Menü zu "Email", um ein entsprechendes Zertifikat zu beantragen: {{ zertifikate:pki:harica-e-mail-1.png?direct&800 |}}
+  - Wählen Sie "For enterprises or organizations (IV+OV)": {{ zertifikate:pki:harica-e-mail-11.png?direct&600 |}}
+  - Überprüfen Sie in der nächsten Ansicht Ihre Auswahl und Ihre E-Mail-Adresse und betätigen Sie "Next".
+    - //Sollte hier nicht Ihre gewünschte E-Mail-Adresse angezeigt werden, wenden Sie sich bitte an [[pki@hs-schmalkalden.de]] und brechen Sie den Vorgang ab.// {{ zertifikate:pki:harica-e-mail-12.png?direct&600 |}}
+  - Füllen Sie das nun angezeigt Formular entsprechend aus
+    - <fc #22b14c>Vor und Nachname</fc>
+    - Geben Sie die Hochschuladresse an
+      - <fc #0011e8>Germany </fc>
+      - <fc #0011e8>Blechhammer 9 </fc>
+      - <fc #0011e8>Schmalkalden </fc>
+      - <fc #0011e8>Thueringen </fc>
+    - <fc #ed1c24>Laden Sie ein Bild (jpg, png, ...) eines Ausweisdokuments (Vorderseite mit Lichtbild z.B. Personalausweis, Führerschein, Thoska) hoch.</fc>
+      - // Dies wird benötigt, damit die Administratoren Sie identifizieren können und Ihnen Ihre digitale Identität zuweisen dürfen.//
+    - Betätigen Sie "Next" {{ zertifikate:pki:harica-e-mail-13.png?direct&600 |}}
+  - Bestätigen Sie die "Organisations information" und das Nächste Fenster mit "Next"
+  - Es wird eine Seite Angezeigt, auf der alle Angaben zusammengefasst werden.
+    - Überprüfen Sie diese.
+    - Setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen).
+    - Bestätigen Sie die Angaben mit "Submit": {{ zertifikate:pki:harica-e-mail-16.png?direct&500 |}}
+  - Hiermit ist Ihr Zertifikatsantrag eingereicht, dieser wird nun in Ihrem Dashboard unter "Pending Certificates" angezeigt. Ein Administrator wird in Kürze Ihren Zertifikatsantrag bearbeiten. {{ zertifikate:pki:harica-e-mail-17.png?direct&800 |}}
+  - Wenn das Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail von Harica. Melden Sie sich gegegebenfalls wieder bei [[https://cm.harica.gr | Harica]] an
+  - Im Dashboard erscheint Ihr Zertifikat unter "Ready Certificates", Betätigen Sie "Enroll your Certificate" {{ zertifikate:pki:harica-e-mail-18.png?direct&800 |}}
+  - Es wird ein Formular zur Zertifikatserzeugung angezeigt
+    - Wählen Sie <fc #ff7f27>Generate Certificate</fc>
+    - Aus Sicherheitsgründen empfehlen wir als Verschlüsselung <fc #22b14c>RSA (default)</fc> mit einer Schlüssellänge von <fc #22b14c>4096</fc> Zeichen
+    - Vergeben Sie ein <fc #0022e8>Passwort</fc> für Ihr Zertifikat
+      - <fc #ed1c24>** Merken Sie sich dieses Passwort gut, bei Verlust, müssen Sie ein neues Zertifikat beantragen. ** </fc> (Empfehlung: Nutzen Sie einen Passwortmanager, wie z.B. KeePass)
+    - Setzen Sie den Haken, bei der Information, dass Ihr Passwort auch **nicht** durch Harica eingesehen/zurückgesetzt werden kann
+    - Betätigen Sie "Enroll Certificate" {{ zertifikate:pki:harica-e-mail-20.png?direct&600 |}}
+  - Betätigen Sie "Download" und speichern Sie sich Ihr Zertifikat auf Ihrem PC, in einem Verzeichnis Ihrer Wahl und betätigen Sie anschließend "Close"
+    - <fc #ed1c24> **Dies ist das einzige Mal, dass Ihenen diese Funktion zur Verfügung steht. Wenn Sie die Zertifikatsdatei verlieren, müssen Sie ein neues Zertifikat beantragen.** </fc> {{ zertifikate:pki:harica-e-mail-21.png?direct&600 |}}
+Weiter zu: [[email:digitalesignatur|E-Mails signieren und verschlüsseln]] \\
+[[zertifikate:pki|zurück]]
 ==== Gruppenzertifikat | @hs-schmalkalden.de =====
@@ Zeile 62: / Zeile 99: @@
     - Setzen Sie den Haken für die Inforation, dass selbst Harica dieses Passwort nicht einsehen kann
     - Betätigen Sie "Enroll Certificate" {{ zertifikate:pki:harica-e-mail-8.png?direct&600 |}}
-    - Laden Sie anschließend Ihren Private-Key herunter und speichern Sie diesen auf Ihrem Gerät. \\
+  - Als letztes Laden Sie anschließend Ihr Zertifikat mit "Download" herunter und speichern Sie diesen auf Ihrem Gerät. Schließen Sie das Fenster mit "Close".
-      - <fc #ed1c24>**Dies ist das einzige Mal, dass diese Funktion zur Verfügung steht. Wenn Sie Ihren Private-Key verlieren, müssen Sie unter anderem ein neues S/MIME-Zertifikat beantragen. Stellen Sie diese Datei niemandem zur Verfügung (ausgenommen von weiteren Nutzern im Falle eines Funktionsaccounts)**</fc> {{ zertifikate:pki:harica-e-mail-9.png?direct&600 |}}
+    - <fc #ed1c24>**Dies ist das einzige Mal, dass diese Funktion zur Verfügung steht. Wenn Sie Ihre Zertifikatsdatei verlieren, müssen Sie ein neus Zertifikat beantragen. Stellen Sie diese Datei niemandem zur Verfügung (ausgenommen von weiteren Nutzern im Falle eines Funktionsaccounts)**</fc> {{ zertifikate:pki:harica-e-mail-9.png?direct&600 |}}
-  - Im Dashboard finden Sie anschließend Ihr S/MIME-Zertifikat nun unter "Valid Certificates"
-  - Betätigen Sie den Download-Button: {{ zertifikate:pki:harica-e-mail-10.png?direct&600 |}}
-  - In der darauf folgenden Ansicht laden Sie sich das Zertifikat und das bundle als .pem herunter:
-  - Folgen Sie diesem Link um sich einen .p12-Key zu erzeugen, welchen Sie anschließend in Outlook (anderer E-Mail-Client) einbinden können
-  - Hochladen des Public-Key, Private-Key (p12 --> pem ?), eingabe Passwort es Private-Key, Hochladen des Issuer (Bundle-pem), Passwort setzen, Download .p12-Key
-<note warning> **ACHTUNG! Umwandlung funktioniert nicht wie von Harica beschrieben!** </note>
 ===== Einrichtung & Verwendung =====
@@ Zeile 78: / Zeile 110: @@
 ==== Dokumente digital unterschreiben / signieren mit Adobe Acrobat Reader ====
+<note warning> **ACHTUNG! Derzeit nicht mit Zertifikaten von Harica möglich!** \\
+Senden Sie eine E-Mail an [[pki@hs-schmalaklden.de|pki@hs-schmalaklden.de]] für Rückfragen! </note>
 <note tip>Diese Anleitung finden Sie [[adobe:|hier]].</note>