Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:client-zertifikate [2025/12/03 10:52] – Carl Meffert
+++ zertifikate:pki:client-zertifikate [2026/01/15 14:46] (aktuell) – [Harica Gruppenzertifikat | @hs-schmalkalden.de] Carl Meffert
@@ Zeile 10: / Zeile 10: @@
 Begriffserklärung:
   * **S/MIME- bzw. Client-Zertifikat** (Oberbegriff)
-      * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
+    * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
       * Benötigt und beinhaltet einen **echten Namen einer identifizierten Person**!
       * Digitale ID für **eine einzelne bestimmte natürliche Person** (bspw. Olaf Scholz) oder **einzelne (leitende, aber wechselnde) Rolle** (bspw. Kanzler oder Dekan Maschinenbau)
@@ Zeile 26: / Zeile 26: @@
 ====== Ausstellung ======
-===== S/MIME-Zertifikate bei Harica =====
+===== S/MIME-Zertifikate =====
-==== persönliches Nutzerzertifikat====
+==== Harica persönliches Nutzerzertifikat | @hs-sm.de ====
-Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-sm.de** von Mitarbeitern. Das Ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
+Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-sm.de** von Mitarbeitern. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
 <note important>Um ein vollwertiges Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls können Sie nur ein [[.:client-zertifikate#gruppenzertifikat_hs-schmalkaldende|Gruppenzertifikat]] für diese Adresse beantragen.</note>
@@ Zeile 38: / Zeile 38: @@
   - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
   - Navigieren Sie im linken Menü zu "Email", um ein entsprechendes Zertifikat zu beantragen: {{ zertifikate:pki:harica-e-mail-1.png?direct&800 |}}
-  - Wählen Sie "For enterprises or organizations (IV+OV): {{ zertifikate:pki:harica-e-mail-11.png?direct&600 |}}
+  - Wählen Sie "For enterprises or organizations (IV+OV)": {{ zertifikate:pki:harica-e-mail-11.png?direct&600 |}}
   - Überprüfen Sie in der nächsten Ansicht Ihre Auswahl und Ihre E-Mail-Adresse und betätigen Sie "Next".
     - //Sollte hier nicht Ihre gewünschte E-Mail-Adresse angezeigt werden, wenden Sie sich bitte an [[pki@hs-schmalkalden.de]] und brechen Sie den Vorgang ab.// {{ zertifikate:pki:harica-e-mail-12.png?direct&600 |}}
@@ Zeile 51: / Zeile 51: @@
       - // Dies wird benötigt, damit die Administratoren Sie identifizieren können und Ihnen Ihre digitale Identität zuweisen dürfen.//
     - Betätigen Sie "Next" {{ zertifikate:pki:harica-e-mail-13.png?direct&600 |}}
-  - Bestätigen Sie die "Organisations information" mit "Next" {{ zertifikate:pki:harica-e-mail-14.png?direct&400 |}}
+  - Bestätigen Sie die "Organisations information" und das Nächste Fenster mit "Next"
-  - Bestätigen Sie das nächste Fenster mit "Next" {{ zertifikate:pki:harica-e-mail-15.png?direct&400 |}}
   - Es wird eine Seite Angezeigt, auf der alle Angaben zusammengefasst werden.
     - Überprüfen Sie diese.
     - Setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen).
-    - Bestätigen Sie die Angaben mit "Submit": {{ zertifikate:pki:harica-e-mail-16.png?direct&600 |}}
+    - Bestätigen Sie die Angaben mit "Submit": {{ zertifikate:pki:harica-e-mail-16.png?direct&500 |}}
   - Hiermit ist Ihr Zertifikatsantrag eingereicht, dieser wird nun in Ihrem Dashboard unter "Pending Certificates" angezeigt. Ein Administrator wird in Kürze Ihren Zertifikatsantrag bearbeiten. {{ zertifikate:pki:harica-e-mail-17.png?direct&800 |}}
   - Wenn das Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail von Harica. Melden Sie sich gegegebenfalls wieder bei [[https://cm.harica.gr | Harica]] an
   - Im Dashboard erscheint Ihr Zertifikat unter "Ready Certificates", Betätigen Sie "Enroll your Certificate" {{ zertifikate:pki:harica-e-mail-18.png?direct&800 |}}
   - Es wird ein Formular zur Zertifikatserzeugung angezeigt
-    - Wählen Sie <fc #ff7f27>"Generate Certificate"</fc>
+    - Wählen Sie <fc #ff7f27>Generate Certificate</fc>
-    - Aus Sicherheitsgründen empfehlen wir als Verschlüsselung <fc #22b14c>"RSA (default)"</fc> mit einer Schlüssellänge von <fc #22b14c>"4096"</fc>
+    - Aus Sicherheitsgründen empfehlen wir als Verschlüsselung <fc #22b14c>RSA (default)</fc> mit einer Schlüssellänge von <fc #22b14c>4096</fc> Zeichen
-    - Vergeben Sie ein <fc #0022e8>"Passwort"</fc> für Ihr Zertifikat
+    - Vergeben Sie ein <fc #0022e8>Passwort</fc> für Ihr Zertifikat
       - <fc #ed1c24>** Merken Sie sich dieses Passwort gut, bei Verlust, müssen Sie ein neues Zertifikat beantragen. ** </fc> (Empfehlung: Nutzen Sie einen Passwortmanager, wie z.B. KeePass)
     - Setzen Sie den Haken, bei der Information, dass Ihr Passwort auch **nicht** durch Harica eingesehen/zurückgesetzt werden kann
@@ Zeile 73: / Zeile 72: @@
 [[zertifikate:pki|zurück]]
-==== Gruppenzertifikat | @hs-schmalkalden.de =====
+==== Harica Gruppenzertifikat | @hs-schmalkalden.de =====
-[[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]]
-  - Anmeldung: [[idp-anmeldung|Academic Login / IDP-Anmeldung]]
+Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-schmalkalden.de** von Funktionsaccounts. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
-  - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
-  - Navigieren Sie im linken Menü zu "Email", um ein entsprechendes Zertifikat zu beantragen: {{ zertifikate:pki:harica-e-mail-1.png?direct&800 |}}
-  - Wählen Sie die Option "Email-Only" aus: {{ zertifikate:pki:harica-e-mail-2.png?direct&600 |}}
-  - Überprüfen Sie ob neben "email: " ihre primäre E-Mail-Adresse angezeigt wird, für welche Sie das Zertifikat ausstellen wollen
-    - falls nicht, brechen Sie den Vorgang ab und wenden sich bitte an pki@hs-schmalkalden.de
-    - andernfalls betätigen Sie "Next": {{ zertifikate:pki:harica-e-mail-3.png?direct&600 |}}
-  - Anschließend müssen Sie Ihre E-Mail-Adresse validieren, hierfür erhalten Sie eine E-Mail von Harica auf selbige,
-    - betätigen Sie "Next"
-    - überprüfen Sie Ihre Daten erneut
-    - setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen)
-    - Betätigen Sie "Submit" um das Absenden auszulösen: {{ zertifikate:pki:harica-e-mail-4.png?direct&600 |}} {{ zertifikate:pki:harica-e-mail-5.png?direct&600 |}}
-  - Sie erhalten eine E-Mail von "noreply@harica.gr" mit einem Bestätigungs-Link (24h gültig)
-    - betätigen Sie "Confirm" in der E-Mail, Sie werden auf eine Webseite weitergelietet
-      - (falls Sie sich zwischenzeitlich bei Harica abgemeldet haben, führen Sie die Schritte zur Anmeldung per "Academic Login / IDP" erneut aus (s.o.))
-      - betätigen Sie auf der Webseite "Confirm": {{ zertifikate:pki:harica-e-mail-6.png?direct&600 |}}
-  - In Ihrem Dashboard wird unter "Ready Certificates" nun das E-Mail-Zertifikat (S/MIME) angezeigt
-    - Sie benötigen für das "S/MIME-Zertifikat einen Private-Key
-    - betätigen Sie "Enrole your Certificate": {{ zertifikate:pki:harica-e-mail-7.png?direct&600 |}}
-  - Es wir ein Fenster Angezeigt mit der Auswahl "Generate Certificate" und "Submit CSR maually"
-    - Wir gehen davon aus, dass Sie keinen Private-Key haben, bleiben Sie daher unter "Generate Certificate"
-    - Wir empfehlen //"RSA (default)"// mit einer Schlüssellänge von //"4096"//
-    - vergeben Sie ein Passwort (gut merken!) für Ihr Zertifikat und geben Sie dies in die dafür vorgesehenen Felder ein
-    - Setzen Sie den Haken für die Inforation, dass selbst Harica dieses Passwort nicht einsehen kann
-    - Betätigen Sie "Enroll Certificate" {{ zertifikate:pki:harica-e-mail-8.png?direct&600 |}}
-    - Laden Sie anschließend Ihren Private-Key herunter und speichern Sie diesen auf Ihrem Gerät. \\
-      - <fc #ed1c24>**Dies ist das einzige Mal, dass diese Funktion zur Verfügung steht. Wenn Sie Ihren Private-Key verlieren, müssen Sie unter anderem ein neues S/MIME-Zertifikat beantragen. Stellen Sie diese Datei niemandem zur Verfügung (ausgenommen von weiteren Nutzern im Falle eines Funktionsaccounts)**</fc> {{ zertifikate:pki:harica-e-mail-9.png?direct&600 |}}
-  - Im Dashboard finden Sie anschließend Ihr S/MIME-Zertifikat nun unter "Valid Certificates"
-  - Betätigen Sie den Download-Button: {{ zertifikate:pki:harica-e-mail-10.png?direct&600 |}}
-  - In der darauf folgenden Ansicht laden Sie sich das Zertifikat und das bundle als .pem herunter:
-  - Folgen Sie diesem Link um sich einen .p12-Key zu erzeugen, welchen Sie anschließend in Outlook (anderer E-Mail-Client) einbinden können
-  - Hochladen des Public-Key, Private-Key (p12 --> pem ?), eingabe Passwort es Private-Key, Hochladen des Issuer (Bundle-pem), Passwort setzen, Download .p12-Key
-<note warning> **ACHTUNG! Umwandlung funktioniert nicht wie von Harica beschrieben!** </note>
+  - Laden Sie sich die folgende CSV-Datei herunter: {{:zertifikate:pki:hsm-harica-gruppenzertifikat.csv}}
+  - Öffnen Sie diese mit dem Editor oder Excel
+  - Füllen Sie die zweite Zeile mit den Angaben Ihres Funktionsaccounts aus.
+    - Zwingend erforderliche Angaben sind:
+      - //FriendlyName// Name/Verwendung des Funktionsaccounts
+      - die primäre //E-Mail//-Adresse des Funktionsaccounts
+    - Optionale Angaben
+      - //Email2, Email3// - weitere E-Mail-Adressen des Funktionsaccounts
+      - //GivenName// - Vorname des Hauptnutzers
+      - //Surname// - Nachname des Hauptnutzers
+    - Das //PickupPassword// wird durch die Administratoren beim Erstellen des Zertifikates gesetzt
+    - Funktionsaccounts stehen nur der //CertType// "email-only" zur Verfügung, alle anderen Angaben werden ignoriert
+    - //CSR// bitte leer lassen
+  - Speichern Sie die Datei ab und senden Sie diese an [[pki@hs-schmalkalden.de|pki@hs-schmalkalden.de]]
+  - Es wird Ihnen ein Zertifikat mit den angegeben Daten erstellt
+  - Sie erhalten eine E-Mail mit dem Zertifikat und über einen separaten sicheren Weg das zugehörige Passwort
+Beispiel für den Inhalt der CSV:
+<code>FriendlyName,Email,Email2,Email3,GivenName,Surname,PickupPassword,CertType,CSR
+Pojektgruppe HSM,projektgruppe@hs-schmalkalden.de,,,,,[Passwort],email_only,
+</code>
 ===== Einrichtung & Verwendung =====
@@ Zeile 118: / Zeile 107: @@
 <note warning> **ACHTUNG! Derzeit nicht mit Zertifikaten von Harica möglich!** \\
-Senden Sie eine E-Mail an [[pki@hs-schmalaklden.de|pki@hs-schmalaklden.de]] für Rückfragen! </note>
+Senden Sie eine E-Mail an [[pki@hs-schmalkalden.de|pki@hs-schmalkalden.de]] für Rückfragen! </note>
 <note tip>Diese Anleitung finden Sie [[adobe:|hier]].</note>