Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:client-zertifikate [2025/12/03 10:38] – Carl Meffert
+++ zertifikate:pki:client-zertifikate [2026/01/15 14:46] (aktuell) – [Harica Gruppenzertifikat | @hs-schmalkalden.de] Carl Meffert
@@ Zeile 10: / Zeile 10: @@
 Begriffserklärung:
   * **S/MIME- bzw. Client-Zertifikat** (Oberbegriff)
-      * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
+    * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
       * Benötigt und beinhaltet einen **echten Namen einer identifizierten Person**!
       * Digitale ID für **eine einzelne bestimmte natürliche Person** (bspw. Olaf Scholz) oder **einzelne (leitende, aber wechselnde) Rolle** (bspw. Kanzler oder Dekan Maschinenbau)
@@ Zeile 26: / Zeile 26: @@
 ====== Ausstellung ======
-===== S/MIME-Zertifikate bei Harica =====
+===== S/MIME-Zertifikate =====
-==== persönliches Nutzerzertifikat====
+==== Harica persönliches Nutzerzertifikat | @hs-sm.de ====
-Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-sm.de** von Mitarbeitern. Das Ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
+Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-sm.de** von Mitarbeitern. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
 <note important>Um ein vollwertiges Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls können Sie nur ein [[.:client-zertifikate#gruppenzertifikat_hs-schmalkaldende|Gruppenzertifikat]] für diese Adresse beantragen.</note>
@@ Zeile 38: / Zeile 38: @@
   - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
   - Navigieren Sie im linken Menü zu "Email", um ein entsprechendes Zertifikat zu beantragen: {{ zertifikate:pki:harica-e-mail-1.png?direct&800 |}}
-  - Wählen Sie "For enterprises or organizations (IV+OV): {{ zertifikate:pki:harica-e-mail-11.png?direct&600 |}}
+  - Wählen Sie "For enterprises or organizations (IV+OV)": {{ zertifikate:pki:harica-e-mail-11.png?direct&600 |}}
   - Überprüfen Sie in der nächsten Ansicht Ihre Auswahl und Ihre E-Mail-Adresse und betätigen Sie "Next".
     - //Sollte hier nicht Ihre gewünschte E-Mail-Adresse angezeigt werden, wenden Sie sich bitte an [[pki@hs-schmalkalden.de]] und brechen Sie den Vorgang ab.// {{ zertifikate:pki:harica-e-mail-12.png?direct&600 |}}
@@ Zeile 48: / Zeile 48: @@
       - <fc #0011e8>Schmalkalden </fc>
       - <fc #0011e8>Thueringen </fc>
-    - <fc #ed1c24>Laden Sie ein Bild (jpg, png, ...) eines Ausweisdokuments (Vorderseite mit Lichtbild z.B. Personalausweis, Führerschein, Thoska) hoch. Dies wird benötigt, damit die Administratoren Sie identifizieren können und Ihnen Ihre digitale Identität zuweisen dürfen.</fc>
+    - <fc #ed1c24>Laden Sie ein Bild (jpg, png, ...) eines Ausweisdokuments (Vorderseite mit Lichtbild z.B. Personalausweis, Führerschein, Thoska) hoch.</fc>
+      - // Dies wird benötigt, damit die Administratoren Sie identifizieren können und Ihnen Ihre digitale Identität zuweisen dürfen.//
     - Betätigen Sie "Next" {{ zertifikate:pki:harica-e-mail-13.png?direct&600 |}}
-  - Bestätigen Sie die "Organisations information" mit "Next" {{ zertifikate:pki:harica-e-mail-14.png?direct&400 |}}
+  - Bestätigen Sie die "Organisations information" und das Nächste Fenster mit "Next"
-  - Bestätigen Sie das nächste Fenster mit "Next" {{ zertifikate:pki:harica-e-mail-15.png?direct&400 |}}
   - Es wird eine Seite Angezeigt, auf der alle Angaben zusammengefasst werden.
     - Überprüfen Sie diese.
     - Setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen).
-    - Bestätigen Sie die Angaben mit "Submit": {{ zertifikate:pki:harica-e-mail-16.png?direct&600 |}}
+    - Bestätigen Sie die Angaben mit "Submit": {{ zertifikate:pki:harica-e-mail-16.png?direct&500 |}}
   - Hiermit ist Ihr Zertifikatsantrag eingereicht, dieser wird nun in Ihrem Dashboard unter "Pending Certificates" angezeigt. Ein Administrator wird in Kürze Ihren Zertifikatsantrag bearbeiten. {{ zertifikate:pki:harica-e-mail-17.png?direct&800 |}}
   - Wenn das Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail von Harica. Melden Sie sich gegegebenfalls wieder bei [[https://cm.harica.gr | Harica]] an
   - Im Dashboard erscheint Ihr Zertifikat unter "Ready Certificates", Betätigen Sie "Enroll your Certificate" {{ zertifikate:pki:harica-e-mail-18.png?direct&800 |}}
   - Es wird ein Formular zur Zertifikatserzeugung angezeigt
-    - Wählen Sie "<fc #ff7f27>Generate Certificate</fc>"
+    - Wählen Sie <fc #ff7f27>Generate Certificate</fc>
-    - Wir Empfehlen als Verschlüsselung "<fc #22b14c>RSA (default)</fc>" mit einer Schlüssellänge von "<fc #22b14c>4096</fc>"
+    - Aus Sicherheitsgründen empfehlen wir als Verschlüsselung <fc #22b14c>RSA (default)</fc> mit einer Schlüssellänge von <fc #22b14c>4096</fc> Zeichen
-    - Vergeben Sie ein "<fc #0022e8>Passwort</fc> für Ihr Zertifikat
+    - Vergeben Sie ein <fc #0022e8>Passwort</fc> für Ihr Zertifikat
       - <fc #ed1c24>** Merken Sie sich dieses Passwort gut, bei Verlust, müssen Sie ein neues Zertifikat beantragen. ** </fc> (Empfehlung: Nutzen Sie einen Passwortmanager, wie z.B. KeePass)
     - Setzen Sie den Haken, bei der Information, dass Ihr Passwort auch **nicht** durch Harica eingesehen/zurückgesetzt werden kann
     - Betätigen Sie "Enroll Certificate" {{ zertifikate:pki:harica-e-mail-20.png?direct&600 |}}
-  - Betätigen Sie "Download" und speichern sich Ihr Zertifikat auf Ihrem PC, in einem Verzeichnis Ihrer Wahl und betätigen Sie anschließend mit "Close"
+  - Betätigen Sie "Download" und speichern Sie sich Ihr Zertifikat auf Ihrem PC, in einem Verzeichnis Ihrer Wahl und betätigen Sie anschließend "Close"
     - <fc #ed1c24> **Dies ist das einzige Mal, dass Ihenen diese Funktion zur Verfügung steht. Wenn Sie die Zertifikatsdatei verlieren, müssen Sie ein neues Zertifikat beantragen.** </fc> {{ zertifikate:pki:harica-e-mail-21.png?direct&600 |}}
@@ Zeile 72: / Zeile 72: @@
 [[zertifikate:pki|zurück]]
-==== Gruppenzertifikat | @hs-schmalkalden.de =====
+==== Harica Gruppenzertifikat | @hs-schmalkalden.de =====
-[[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]]
-  - Anmeldung: [[idp-anmeldung|Academic Login / IDP-Anmeldung]]
+Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-schmalkalden.de** von Funktionsaccounts. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
-  - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
-  - Navigieren Sie im linken Menü zu "Email", um ein entsprechendes Zertifikat zu beantragen: {{ zertifikate:pki:harica-e-mail-1.png?direct&800 |}}
-  - Wählen Sie die Option "Email-Only" aus: {{ zertifikate:pki:harica-e-mail-2.png?direct&600 |}}
-  - Überprüfen Sie ob neben "email: " ihre primäre E-Mail-Adresse angezeigt wird, für welche Sie das Zertifikat ausstellen wollen
-    - falls nicht, brechen Sie den Vorgang ab und wenden sich bitte an pki@hs-schmalkalden.de
-    - andernfalls betätigen Sie "Next": {{ zertifikate:pki:harica-e-mail-3.png?direct&600 |}}
-  - Anschließend müssen Sie Ihre E-Mail-Adresse validieren, hierfür erhalten Sie eine E-Mail von Harica auf selbige,
-    - betätigen Sie "Next"
-    - überprüfen Sie Ihre Daten erneut
-    - setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen)
-    - Betätigen Sie "Submit" um das Absenden auszulösen: {{ zertifikate:pki:harica-e-mail-4.png?direct&600 |}} {{ zertifikate:pki:harica-e-mail-5.png?direct&600 |}}
-  - Sie erhalten eine E-Mail von "noreply@harica.gr" mit einem Bestätigungs-Link (24h gültig)
-    - betätigen Sie "Confirm" in der E-Mail, Sie werden auf eine Webseite weitergelietet
-      - (falls Sie sich zwischenzeitlich bei Harica abgemeldet haben, führen Sie die Schritte zur Anmeldung per "Academic Login / IDP" erneut aus (s.o.))
-      - betätigen Sie auf der Webseite "Confirm": {{ zertifikate:pki:harica-e-mail-6.png?direct&600 |}}
-  - In Ihrem Dashboard wird unter "Ready Certificates" nun das E-Mail-Zertifikat (S/MIME) angezeigt
-    - Sie benötigen für das "S/MIME-Zertifikat einen Private-Key
-    - betätigen Sie "Enrole your Certificate": {{ zertifikate:pki:harica-e-mail-7.png?direct&600 |}}
-  - Es wir ein Fenster Angezeigt mit der Auswahl "Generate Certificate" und "Submit CSR maually"
-    - Wir gehen davon aus, dass Sie keinen Private-Key haben, bleiben Sie daher unter "Generate Certificate"
-    - Wir empfehlen //"RSA (default)"// mit einer Schlüssellänge von //"4096"//
-    - vergeben Sie ein Passwort (gut merken!) für Ihr Zertifikat und geben Sie dies in die dafür vorgesehenen Felder ein
-    - Setzen Sie den Haken für die Inforation, dass selbst Harica dieses Passwort nicht einsehen kann
-    - Betätigen Sie "Enroll Certificate" {{ zertifikate:pki:harica-e-mail-8.png?direct&600 |}}
-    - Laden Sie anschließend Ihren Private-Key herunter und speichern Sie diesen auf Ihrem Gerät. \\
-      - <fc #ed1c24>**Dies ist das einzige Mal, dass diese Funktion zur Verfügung steht. Wenn Sie Ihren Private-Key verlieren, müssen Sie unter anderem ein neues S/MIME-Zertifikat beantragen. Stellen Sie diese Datei niemandem zur Verfügung (ausgenommen von weiteren Nutzern im Falle eines Funktionsaccounts)**</fc> {{ zertifikate:pki:harica-e-mail-9.png?direct&600 |}}
-  - Im Dashboard finden Sie anschließend Ihr S/MIME-Zertifikat nun unter "Valid Certificates"
-  - Betätigen Sie den Download-Button: {{ zertifikate:pki:harica-e-mail-10.png?direct&600 |}}
-  - In der darauf folgenden Ansicht laden Sie sich das Zertifikat und das bundle als .pem herunter:
-  - Folgen Sie diesem Link um sich einen .p12-Key zu erzeugen, welchen Sie anschließend in Outlook (anderer E-Mail-Client) einbinden können
-  - Hochladen des Public-Key, Private-Key (p12 --> pem ?), eingabe Passwort es Private-Key, Hochladen des Issuer (Bundle-pem), Passwort setzen, Download .p12-Key
-<note warning> **ACHTUNG! Umwandlung funktioniert nicht wie von Harica beschrieben!** </note>
+  - Laden Sie sich die folgende CSV-Datei herunter: {{:zertifikate:pki:hsm-harica-gruppenzertifikat.csv}}
+  - Öffnen Sie diese mit dem Editor oder Excel
+  - Füllen Sie die zweite Zeile mit den Angaben Ihres Funktionsaccounts aus.
+    - Zwingend erforderliche Angaben sind:
+      - //FriendlyName// Name/Verwendung des Funktionsaccounts
+      - die primäre //E-Mail//-Adresse des Funktionsaccounts
+    - Optionale Angaben
+      - //Email2, Email3// - weitere E-Mail-Adressen des Funktionsaccounts
+      - //GivenName// - Vorname des Hauptnutzers
+      - //Surname// - Nachname des Hauptnutzers
+    - Das //PickupPassword// wird durch die Administratoren beim Erstellen des Zertifikates gesetzt
+    - Funktionsaccounts stehen nur der //CertType// "email-only" zur Verfügung, alle anderen Angaben werden ignoriert
+    - //CSR// bitte leer lassen
+  - Speichern Sie die Datei ab und senden Sie diese an [[pki@hs-schmalkalden.de|pki@hs-schmalkalden.de]]
+  - Es wird Ihnen ein Zertifikat mit den angegeben Daten erstellt
+  - Sie erhalten eine E-Mail mit dem Zertifikat und über einen separaten sicheren Weg das zugehörige Passwort
+Beispiel für den Inhalt der CSV:
+<code>FriendlyName,Email,Email2,Email3,GivenName,Surname,PickupPassword,CertType,CSR
+Pojektgruppe HSM,projektgruppe@hs-schmalkalden.de,,,,,[Passwort],email_only,
+</code>
 ===== Einrichtung & Verwendung =====
@@ Zeile 117: / Zeile 107: @@
 <note warning> **ACHTUNG! Derzeit nicht mit Zertifikaten von Harica möglich!** \\
-Senden Sie eine E-Mail an [[pki@hs-schmalaklden.de|pki@hs-schmalaklden.de]] für Rückfragen! </note>
+Senden Sie eine E-Mail an [[pki@hs-schmalkalden.de|pki@hs-schmalkalden.de]] für Rückfragen! </note>
 <note tip>Diese Anleitung finden Sie [[adobe:|hier]].</note>