Wiki Rechenzentrum Hochschule Schmalkalden

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: start » zertifikate » pki » client-zertifikate
Zuletzt angesehen: sperren client-zertifikate
zertifikate:pki:client-zertifikate

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

zurück

FIXME

ACHTUNG! Diese Seite befinden sich aktuell aufgrund des Dienstanbieterwechsels im Umbau und ist größtenteils ungültig!

S/MIME- / Nutzer- / Gruppen- / Client-Zertifikate

Zwecke:

  1. Digitale E-Mail Signatur
  2. Verschlüsselte E-Mail-Kommunikation
Digitales Signieren von Dokumenten nach fortgeschrittener elektronischer Signatur (FES) nach Art. 26 eDIAS ist derzeit über Harica nicht möglich

Begriffserklärung:

  • S/MIME- bzw. Client-Zertifikat (Oberbegriff)
    • Gruppenzertifikat (@hs-schmalkalden.de)
      • Beinhaltet keinen Namen!
      • Digitale ID für eine oder mehrere unbestimmte Personen (Funktionaler Account, Rolle, (Arbeits-)Gruppe oder Abteilung), die keine Dokumente signieren können müssen (bspw. Elektriker, Jahresempfang, Absolvententreffen)
    • Nutzerzertifikat (@hs-sm.de oder @hs-schmalkalden.de)
      • Benötigt und beinhaltet einen echten Namen einer identifizierten Person!
      • Digitale ID für eine einzelne bestimmte natürliche Person (bspw. Olaf Scholz) oder einzelne (leitende, aber wechselnde) Rolle (bspw. Kanzler oder Dekan Maschinenbau)
ACHTUNG: Ein Client-Zertifikat ist eine digitale Identität, womit im Namen des Inhabers oder der Gruppe E-Mails und Dokumente signiert sowie E-Mails ver- und entschlüsselt werden können. Es befindet daher auf dem Schutzbedarf eines geheimen Passwortes! Geben Sie Ihr persönliches Nutzerzertifikat niemals an andere Personen und ein Gruppenzertifikat nur an berechtigte Personen weiter und speichern Sie es sicher bspw. in einem Passwort-Manager wie KeePass ab! Löschen Sie auch abgelaufene oder widerrufene Client-Zertifikate nicht, da ansonsten alle verschlüsselten E-Mails, die damit gesendet oder empfangen wurden, nie wieder entschlüsselt werden können!

Speichern Sie Zertifikate grundsätzlich auf einem sicheren, bestenfalls verschlüsselten Datenträger! Nutzen Sie keine gemeinsam genutzten Datenspeicher!

Ausstellung

Harica

Persönliche Nutzerzertifikate

@hs-sm.de / @hs-schmalkalden.de - GÉANT Personal email signing and encryption)

Um Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter pki@hs-schmalkalden.de! Anderenfalls schlägt die Anmeldung fehl.

Gruppenzertifikat | @hs-schmalkalden.de

Harica-Zertifikats-Manager-Webseite

  1. Anmeldung: Academic Login / IDP-Anmeldung
  2. Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
  3. Navigieren Sie im linken Menü zu „Email“, um ein entsprechendes Zertifikat zu beantragen:
  4. Wählen Sie die Option „Email-Only“ aus:
  5. Überprüfen Sie ob neben „email: “ ihre primäre E-Mail-Adresse angezeigt wird, für welche Sie das Zertifikat ausstellen wollen
    1. falls nicht, brechen Sie den Vorgang ab und wenden sich bitte an pki@hs-schmalkalden.de
    2. andernfalls betätigen Sie „Next“:
  6. Anschließend müssen Sie Ihre E-Mail-Adresse validieren, hierfür erhalten Sie eine E-Mail von Harica auf selbige,
    1. betätigen Sie „Next“
    2. überprüfen Sie Ihre Daten erneut
    3. setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen)
    4. Betätigen Sie „Submit“ um das Absenden auszulösen:
  7. Sie erhalten eine E-Mail von „noreply@harica.gr“ mit einem Bestätigungs-Link (24h gültig)
    1. betätigen Sie „Confirm“ in der E-Mail, Sie werden auf eine Webseite weitergelietet
      1. (falls Sie sich zwischenzeitlich bei Harica abgemeldet haben, führen Sie die Schritte zur Anmeldung per „Academic Login / IDP“ erneut aus (s.o.))
      2. betätigen Sie auf der Webseite „Confirm“:
  8. In Ihrem Dashboard wird unter „Ready Certificates“ nun das E-Mail-Zertifikat (S/MIME) angezeigt
    1. Sie benötigen für das „S/MIME-Zertifikat einen Private-Key
    2. betätigen Sie „Enrole your Certificate“:
  9. Es wir ein Fenster Angezeigt mit der Auswahl „Generate Certificate“ und „Submit CSR maually“
    1. Wir gehen davon aus, dass Sie keinen Private-Key haben, bleiben Sie daher unter „Generate Certificate“
    2. Wir empfehlen RSA (default)“ mit einer Schlüssellänge von „4096“
    3. vergeben Sie ein Passwort (gut merken!) für Ihr Zertifikat und geben Sie dies in die dafür vorgesehenen Felder ein
    4. Setzen Sie den Haken für die Inforation, dass selbst Harica dieses Passwort nicht einsehen kann
    5. Betätigen Sie „Enroll Certificate“
    6. Laden Sie anschließend Ihren Private-Key herunter und speichern Sie diesen auf Ihrem Gerät.
      1. Dies ist das einzige Mal, dass diese Funktion zur Verfügung steht. Wenn Sie Ihren Private-Key verlieren, müssen Sie unter anderem ein neues S/MIME-Zertifikat beantragen. Stellen Sie diese Datei niemandem zur Verfügung (ausgenommen von weiteren Nutzern im Falle eines Funktionsaccounts)
  10. Im Dashboard finden Sie anschließend Ihr S/MIME-Zertifikat nun unter „Valid Certificates“
  11. Betätigen Sie den Download-Button:
  12. In der darauf folgenden Ansicht laden Sie sich das Zertifikat und das bundle als .pem herunter:
  13. Folgen Sie diesem Link um sich einen .p12-Key zu erzeugen, welchen Sie anschließend in Outlook (anderer E-Mail-Client) einbinden können
  14. Hochladen des Public-Key, Private-Key (p12 –> pem ?), eingabe Passwort es Private-Key, Hochladen des Issuer (Bundle-pem), Passwort setzen, Download .p12-Key
ACHTUNG! Umwandlung funktioniert nicht wie von Harica beschrieben!

Einrichtung & Verwendung

E-Mails digital signieren und verschlüsseln

Diese Anleitung finden Sie hier.

Dokumente digital unterschreiben / signieren mit Adobe Acrobat Reader

ACHTUNG! Derzeit nicht mit Zertifikaten von Harica möglich!
Diese Anleitung finden Sie hier.

Fehlerbehebung

Zertifikat kann nicht importiert werden / Passwort ist falsch

Falls Sie beim Download Ihres Zertifikats versehentlich als Verschlüsselungsalgorithmus Secure AES256-SHA256 statt Compatible TripleDES-SHA1 gewählt haben, kann es sein, dass es einige Anwendungen nicht importieren können. Adobe Reader zeigt insbesondere an, dass Ihr Passwort falsch sei, obwohl es definitiv richtig ist. Glücklicherweise können Sie dieses Problem relativ einfach mit dem Webbrowser Firefox selbst lösen:

  1. Gehen Sie dazu rechts oben im Menü (1) in die Einstellungen (2):
  2. Dort klicken Sie auf die Kategorie Datenschutz & Sicherheit (1), scrollen Sie runter und wählen Sie Zertifikate anzeigen… (2):
  3. Klicken Sie im Dialog nun im Tab Ihre Zertifikate (1) auf den Button Importieren… (2) und wählen Sie Ihre problematische .p12-Zertifikatsdatei aus:
  4. Sie werden jetzt zur Eingabe Ihres Passwortes (1) aufgefordert. Bestätigen Sie den Dialog mit Anmelden (1). (Firefox versteht im Gegensatz zur problematischen Anwendung den Algorithmus Secure AES256-SHA256. Daher kommt es hier nicht zu einem Fehler.)
  5. Wie Sie anhand sehen können sollten, wurde Ihr GÉANT-Zertifikat erfolgreich in den Zertifikatsspeicher von Firefox importiert (1). Wählen Sie es aus (2) und klicken Sie auf Sichern… (3):
  6. Legen Sie jetzt erneut ein Passwort (1) für die Ausgabedatei fest (Dies kann dasselbe Passwort wie bei Ihrer Ausgangsdatei sein.) und bestätigen Sie mit OK (2). Speichern Sie die fertige .p12-Datei nun ab. (Firefox exportiert Zertifikate immer mit den Algorithmus Compatible TripleDES-SHA1. Daher funktioniert die exportierte Datei anschließend.)
  7. Abschließend können/sollten Sie mit dem Button Löschen… (1) Ihr importiertes Zertifikat wieder aus dem Firefox-Zertifikatsspeicher entfernen:
  8. Diese Aktion müssen noch einmal mit dem Button OK (1) in einem Folgedialog bestätigen:
  9. Die neue Zertifikatsdatei sollte sich nun problemlos bspw. in Adobe Reader importieren lassen.
zertifikate/pki/client-zertifikate.1764686746.txt.gz · Zuletzt geändert: von Carl Meffert
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki