Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:client-zertifikate [2025/12/03 11:03] – [Gruppenzertifikat | @hs-schmalkalden.de] Carl Meffert
+++ zertifikate:pki:client-zertifikate [2026/01/15 14:46] (aktuell) – [Harica Gruppenzertifikat | @hs-schmalkalden.de] Carl Meffert
@@ Zeile 10: / Zeile 10: @@
 Begriffserklärung:
   * **S/MIME- bzw. Client-Zertifikat** (Oberbegriff)
-      * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
+    * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
       * Benötigt und beinhaltet einen **echten Namen einer identifizierten Person**!
       * Digitale ID für **eine einzelne bestimmte natürliche Person** (bspw. Olaf Scholz) oder **einzelne (leitende, aber wechselnde) Rolle** (bspw. Kanzler oder Dekan Maschinenbau)
@@ Zeile 26: / Zeile 26: @@
 ====== Ausstellung ======
-===== S/MIME-Zertifikate bei Harica =====
+===== S/MIME-Zertifikate =====
-==== persönliches Nutzerzertifikat====
+==== Harica persönliches Nutzerzertifikat | @hs-sm.de ====
-Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-sm.de** von Mitarbeitern. Das Ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
+Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-sm.de** von Mitarbeitern. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
 <note important>Um ein vollwertiges Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls können Sie nur ein [[.:client-zertifikate#gruppenzertifikat_hs-schmalkaldende|Gruppenzertifikat]] für diese Adresse beantragen.</note>
@@ Zeile 72: / Zeile 72: @@
 [[zertifikate:pki|zurück]]
-==== Gruppenzertifikat | @hs-schmalkalden.de =====
+==== Harica Gruppenzertifikat | @hs-schmalkalden.de =====
-[[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]]
-  - Anmeldung: [[idp-anmeldung|Academic Login / IDP-Anmeldung]]
+Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-schmalkalden.de** von Funktionsaccounts. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
-  - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
-  - Navigieren Sie im linken Menü zu "Email", um ein entsprechendes Zertifikat zu beantragen: {{ zertifikate:pki:harica-e-mail-1.png?direct&800 |}}
-  - Wählen Sie die Option "Email-Only" aus: {{ zertifikate:pki:harica-e-mail-2.png?direct&600 |}}
-  - Überprüfen Sie ob neben "email: " ihre primäre E-Mail-Adresse angezeigt wird, für welche Sie das Zertifikat ausstellen wollen
-    - falls nicht, brechen Sie den Vorgang ab und wenden sich bitte an pki@hs-schmalkalden.de
-    - andernfalls betätigen Sie "Next": {{ zertifikate:pki:harica-e-mail-3.png?direct&600 |}}
-  - Anschließend müssen Sie Ihre E-Mail-Adresse validieren, hierfür erhalten Sie eine E-Mail von Harica auf selbige,
-    - betätigen Sie "Next"
-    - überprüfen Sie Ihre Daten erneut
-    - setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen)
-    - Betätigen Sie "Submit" um das Absenden auszulösen: {{ zertifikate:pki:harica-e-mail-4.png?direct&600 |}} {{ zertifikate:pki:harica-e-mail-5.png?direct&600 |}}
-  - Sie erhalten eine E-Mail von "noreply@harica.gr" mit einem Bestätigungs-Link (24h gültig)
-    - betätigen Sie "Confirm" in der E-Mail, Sie werden auf eine Webseite weitergelietet
-      - (falls Sie sich zwischenzeitlich bei Harica abgemeldet haben, führen Sie die Schritte zur Anmeldung per "Academic Login / IDP" erneut aus (s.o.))
-      - betätigen Sie auf der Webseite "Confirm": {{ zertifikate:pki:harica-e-mail-6.png?direct&600 |}}
-  - In Ihrem Dashboard wird unter "Ready Certificates" nun das E-Mail-Zertifikat (S/MIME) angezeigt
-    - Sie benötigen für das "S/MIME-Zertifikat einen Private-Key
-    - betätigen Sie "Enrole your Certificate": {{ zertifikate:pki:harica-e-mail-7.png?direct&600 |}}
-  - Es wir ein Fenster Angezeigt mit der Auswahl "Generate Certificate" und "Submit CSR maually"
-    - Wir gehen davon aus, dass Sie keinen Private-Key haben, bleiben Sie daher unter "Generate Certificate"
-    - Wir empfehlen //"RSA (default)"// mit einer Schlüssellänge von //"4096"//
-    - vergeben Sie ein Passwort (gut merken!) für Ihr Zertifikat und geben Sie dies in die dafür vorgesehenen Felder ein
-    - Setzen Sie den Haken für die Inforation, dass selbst Harica dieses Passwort nicht einsehen kann
-    - Betätigen Sie "Enroll Certificate" {{ zertifikate:pki:harica-e-mail-8.png?direct&600 |}}
-  - Als letztes Laden Sie anschließend Ihr Zertifikat mit "Download" herunter und speichern Sie diesen auf Ihrem Gerät. Schließen Sie das Fenster mit "Close".
-    - <fc #ed1c24>**Dies ist das einzige Mal, dass diese Funktion zur Verfügung steht. Wenn Sie Ihre Zertifikatsdatei verlieren, müssen Sie ein neus Zertifikat beantragen. Stellen Sie diese Datei niemandem zur Verfügung (ausgenommen von weiteren Nutzern im Falle eines Funktionsaccounts)**</fc> {{ zertifikate:pki:harica-e-mail-9.png?direct&600 |}}
+  - Laden Sie sich die folgende CSV-Datei herunter: {{:zertifikate:pki:hsm-harica-gruppenzertifikat.csv}}
+  - Öffnen Sie diese mit dem Editor oder Excel
+  - Füllen Sie die zweite Zeile mit den Angaben Ihres Funktionsaccounts aus.
+    - Zwingend erforderliche Angaben sind:
+      - //FriendlyName// Name/Verwendung des Funktionsaccounts
+      - die primäre //E-Mail//-Adresse des Funktionsaccounts
+    - Optionale Angaben
+      - //Email2, Email3// - weitere E-Mail-Adressen des Funktionsaccounts
+      - //GivenName// - Vorname des Hauptnutzers
+      - //Surname// - Nachname des Hauptnutzers
+    - Das //PickupPassword// wird durch die Administratoren beim Erstellen des Zertifikates gesetzt
+    - Funktionsaccounts stehen nur der //CertType// "email-only" zur Verfügung, alle anderen Angaben werden ignoriert
+    - //CSR// bitte leer lassen
+  - Speichern Sie die Datei ab und senden Sie diese an [[pki@hs-schmalkalden.de|pki@hs-schmalkalden.de]]
+  - Es wird Ihnen ein Zertifikat mit den angegeben Daten erstellt
+  - Sie erhalten eine E-Mail mit dem Zertifikat und über einen separaten sicheren Weg das zugehörige Passwort
+Beispiel für den Inhalt der CSV:
+<code>FriendlyName,Email,Email2,Email3,GivenName,Surname,PickupPassword,CertType,CSR
+Pojektgruppe HSM,projektgruppe@hs-schmalkalden.de,,,,,[Passwort],email_only,
+</code>
 ===== Einrichtung & Verwendung =====
@@ Zeile 112: / Zeile 107: @@
 <note warning> **ACHTUNG! Derzeit nicht mit Zertifikaten von Harica möglich!** \\
-Senden Sie eine E-Mail an [[pki@hs-schmalaklden.de|pki@hs-schmalaklden.de]] für Rückfragen! </note>
+Senden Sie eine E-Mail an [[pki@hs-schmalkalden.de|pki@hs-schmalkalden.de]] für Rückfragen! </note>
 <note tip>Diese Anleitung finden Sie [[adobe:|hier]].</note>