Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:client-zertifikate [2026/04/10 11:05] – Carl Meffert
+++ zertifikate:pki:client-zertifikate [2026/04/10 11:24] (aktuell) – gelöscht Carl Meffert
@@ Zeile 1: / Zeile 1: @@
-[[zertifikate:pki|zurück]]
-====== E-Mail (S/MIME)- / Nutzer- / Gruppen- / Client-Zertifikate ======
-===== Grundlegendes =====
-<note> Digitales Signieren von Dokumenten nach [[https://gesetze.legal/eu/vo_eu_2014_910/26|fortgeschrittener elektronischer Signatur (FES) nach Art. 26 eDIAS]] ist derzeit über Harica nicht möglich. Verwenden Sie daher ein [[https://pki.pca.dfn.de/dfn-pki/dfn-verein-community-ca/1610/certificates/new/1|Nutzerzertifikat vom DFN]] für diesen Zweck. Wenden Sie sich für weitere Informationen an [[pki@hs-schmalkalden.de]] </note>
-== Zwecke ==
-    - Digitale E-Mail Signatur
-    - Verschlüsselte E-Mail-Kommunikation
-==Begriffserklärung ==
-  * **E-Mail (S/MIME) - bzw. Client-Zertifikat** (Oberbegriff)
-    * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
-      * Benötigt und beinhaltet einen **echten Namen einer identifizierten Person**!
-      * Digitale ID für **eine einzelne bestimmte natürliche Person** (bspw. Olaf Scholz) oder **einzelne (leitende, aber wechselnde) Rolle** (bspw. Kanzler oder Dekan Maschinenbau)
-    * **Gruppenzertifikat** (@hs-schmalkalden.de)
-      * Beinhaltet **keinen Namen**!
-      * Digitale ID für **eine oder mehrere unbestimmte Personen** (Funktionaler Account, Rolle, (Arbeits-)Gruppe oder Abteilung), die **keine Dokumente signieren** können müssen (bspw. Elektriker, Jahresempfang, Absolvententreffen)
-<fc #ed1c24>**ACHTUNG:**</fc>
-  * Ein Client-Zertifikat ist eine digitale Identität, womit im Namen des Inhabers oder der Gruppe E-Mails und Dokumente signiert sowie E-Mails ver- und entschlüsselt werden können. Es befindet daher auf dem Schutzbedarf eines geheimen Passwortes!
-  * Geben Sie Ihr persönliches Nutzerzertifikat niemals an andere Personen und ein Gruppenzertifikat nur an berechtigte Personen weiter und speichern Sie es sicher bspw. in einem Passwort-Manager wie [[https://keepass.info|KeePass]] ab!
-  * Löschen Sie auch abgelaufene oder widerrufene Client-Zertifikate nicht, da ansonsten alle verschlüsselten E-Mails, die damit gesendet oder empfangen wurden, nie wieder entschlüsselt werden können!
-  * Speichern Sie Zertifikate grundsätzlich auf einem sicheren, bestenfalls verschlüsselten Datenträger! Nutzen Sie keine gemeinsam genutzten Datenspeicher!
-<note important>Um ein vollwertiges Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls können Sie nur ein [[.:client-zertifikate#gruppenzertifikat_hs-schmalkaldende|Gruppenzertifikat]] für diese Adresse beantragen.</note>
-===== E-Mail-Zertifikate (S/MIME) Beantragen | @hs-sm.de=====
-<fc #ed1c24>** Im Laufe des Zertifikatsantrags wird ein Bild eines Ausweisdokuments abgefragt. Wir empfehlen hierfür einen gültigen Ausweis (Personalausweis, Führerschein oder Thoska) vorab abzufotografieren oder einzuscannen. **</fc> \\ Diese Datei dient dem Administrator zur Verifikation des Antragsstellers, wird nicht gespeichert und wird automatisch nach Bearbeitung des Zertifikatsantrags durch das System gelöscht.
-  - Anmeldung bei [[https://cm.harica.gr | Harica-Zertifikats-Manager-Webseite]] via [[idp-anmeldung|Academic Login / IDP-Anmeldung]]
-  - Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
-  - Navigieren Sie im linken Menü zu "Email", um ein entsprechendes Zertifikat zu beantragen: {{ zertifikate:pki:harica-e-mail-1.png?direct&800 |}}
-  - Wählen Sie "For enterprises or organizations (IV+OV)": {{ zertifikate:pki:harica-e-mail-11.png?direct&600 |}}
-  - Überprüfen Sie in der nächsten Ansicht Ihre Auswahl und Ihre E-Mail-Adresse und betätigen Sie "Next".
-    - //Sollte hier nicht Ihre gewünschte E-Mail-Adresse angezeigt werden, wenden Sie sich bitte an [[pki@hs-schmalkalden.de]] und brechen Sie den Vorgang ab.// {{ zertifikate:pki:harica-e-mail-12.png?direct&600 |}}
-  - Füllen Sie das nun angezeigt Formular entsprechend aus
-    - <fc #22b14c>Vor und Nachname</fc>
-    - Geben Sie die Hochschuladresse an
-      - <fc #0011e8>Germany </fc>
-      - <fc #0011e8>Blechhammer 9 </fc>
-      - <fc #0011e8>Schmalkalden </fc>
-      - <fc #0011e8>Thueringen </fc>
-    - <fc #ed1c24>Laden Sie ein Bild (jpg, png, ...) eines Ausweisdokuments (Vorderseite mit Lichtbild z.B. Personalausweis, Führerschein, Thoska) hoch.</fc>
-      - // Dies wird benötigt, damit die Administratoren Sie identifizieren können und Ihnen Ihre digitale Identität zuweisen dürfen.//
-    - Betätigen Sie "Next" {{ zertifikate:pki:harica-e-mail-13.png?direct&600 |}}
-  - Bestätigen Sie die "Organisations information" und das Nächste Fenster mit "Next"
-  - Es wird eine Seite Angezeigt, auf der alle Angaben zusammengefasst werden.
-    - Überprüfen Sie diese.
-    - Setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen).
-    - Bestätigen Sie die Angaben mit "Submit": {{ zertifikate:pki:harica-e-mail-16.png?direct&500 |}}
-  - Hiermit ist Ihr Zertifikatsantrag eingereicht, dieser wird nun in Ihrem Dashboard unter "Pending Certificates" angezeigt. Ein Administrator wird in Kürze Ihren Zertifikatsantrag bearbeiten. {{ zertifikate:pki:harica-e-mail-17.png?direct&800 |}}
-  - Wenn das Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail von Harica. Melden Sie sich gegegebenfalls wieder bei [[https://cm.harica.gr | Harica]] an
-  - Im Dashboard erscheint Ihr Zertifikat unter "Ready Certificates", Betätigen Sie "Enroll your Certificate" {{ zertifikate:pki:harica-e-mail-18.png?direct&800 |}}
-  - Es wird ein Formular zur Zertifikatserzeugung angezeigt
-    - Wählen Sie <fc #ff7f27>Generate Certificate</fc>
-    - Aus Sicherheitsgründen empfehlen wir als Verschlüsselung <fc #22b14c>RSA (default)</fc> mit einer Schlüssellänge von <fc #22b14c>4096</fc> Zeichen
-    - Vergeben Sie ein <fc #0022e8>Passwort</fc> für Ihr Zertifikat
-      - <fc #ed1c24>** Merken Sie sich dieses Passwort gut, bei Verlust, müssen Sie ein neues Zertifikat beantragen. ** </fc> (Empfehlung: Nutzen Sie einen Passwortmanager, wie z.B. KeePass)
-    - Setzen Sie den Haken, bei der Information, dass Ihr Passwort auch **nicht** durch Harica eingesehen/zurückgesetzt werden kann
-    - Betätigen Sie "Enroll Certificate" {{ zertifikate:pki:harica-e-mail-20.png?direct&600 |}}
-  - Betätigen Sie "Download" und speichern Sie sich Ihr Zertifikat auf Ihrem PC, in einem Verzeichnis Ihrer Wahl und betätigen Sie anschließend "Close"
-    - <fc #ed1c24> **Dies ist das einzige Mal, dass Ihenen diese Funktion zur Verfügung steht. Wenn Sie die Zertifikatsdatei verlieren, müssen Sie ein neues Zertifikat beantragen.** </fc> {{ zertifikate:pki:harica-e-mail-21.png?direct&600 |}}
-Weiter zu: [[email:digitalesignatur|E-Mails signieren und verschlüsseln]] \\
-[[zertifikate:pki|zurück]]
-===== Harica Gruppenzertifikat | @hs-schmalkalden.de ======
-Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain **@hs-schmalkalden.de** von Funktionsaccounts. Das ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.
-  - Laden Sie sich die folgende CSV-Datei herunter: {{:zertifikate:pki:hsm-harica-gruppenzertifikat.csv}}
-  - Öffnen Sie diese mit dem Editor oder Excel
-  - Füllen Sie die zweite Zeile mit den Angaben Ihres Funktionsaccounts aus.
-    - Zwingend erforderliche Angaben sind:
-      - //FriendlyName// Name/Verwendung des Funktionsaccounts
-      - die primäre //E-Mail//-Adresse des Funktionsaccounts
-    - Optionale Angaben
-      - //Email2, Email3// - weitere E-Mail-Adressen des Funktionsaccounts
-      - //GivenName// - Vorname des Hauptnutzers
-      - //Surname// - Nachname des Hauptnutzers
-    - Das //PickupPassword// wird durch die Administratoren beim Erstellen des Zertifikates gesetzt
-    - Funktionsaccounts stehen nur der //CertType// "email-only" zur Verfügung, alle anderen Angaben werden ignoriert
-    - //CSR// bitte leer lassen
-  - Speichern Sie die Datei ab und senden Sie diese an [[pki@hs-schmalkalden.de|pki@hs-schmalkalden.de]]
-  - Es wird Ihnen ein Zertifikat mit den angegeben Daten erstellt
-  - Sie erhalten eine E-Mail mit dem Zertifikat und über einen separaten sicheren Weg das zugehörige Passwort
-Beispiel für den Inhalt der CSV:
-<code>FriendlyName,Email,Email2,Email3,GivenName,Surname,PickupPassword,CertType,CSR
-Pojektgruppe HSM,projektgruppe@hs-schmalkalden.de,,,,,[Passwort],email_only,
-</code>
-===== Einrichtung & Verwendung =====
-==== E-Mails digital signieren und verschlüsseln ====
-<note tip>Diese Anleitung finden Sie [[email:digitalesignatur|hier]].</note>
-==== Dokumente digital unterschreiben / signieren mit Adobe Acrobat Reader ====
-<note warning> **ACHTUNG! Zertifikate von HARICA sind nur für das Signieren und Verschlüsseln von E-Mails (S/MIME) gedacht. ** \\ Es ist noch in Klärung, ob diese auch bei internem Zweck für digitale Unterschriften verwendet werden dürfen. \\ Für das digitale Unterschreben nutzen Sie daher bis auf weiteres [[https://pki.pca.dfn.de/dfn-pki/dfn-verein-community-ca/1610/certificates/new/1 | DFN-Nutzerzertifikate]] \\ \\
-Für Rückfragen senden Sie eine E-Mail an [[pki@hs-schmalkalden.de|pki@hs-schmalkalden.de]]</note>
-<note tip> Eine Anleitung für das digitale Signieren/Unterschreiben finden Sie [[adobe:|hier]].</note>