Wiki Rechenzentrum Hochschule Schmalkalden

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: start » zertifikate » pki » client-zertifikate
Zuletzt angesehen: client-zertifikate
zertifikate:pki:client-zertifikate

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

zurück

S/MIME- / Nutzer- / Gruppen- / Client-Zertifikate

Zwecke:

  1. Digitale E-Mail Signatur
  2. Verschlüsselte E-Mail-Kommunikation
Digitales Signieren von Dokumenten nach fortgeschrittener elektronischer Signatur (FES) nach Art. 26 eDIAS ist derzeit über Harica nicht möglich. Wenden Sie sich für weitere Informationen an pki@hs-schmalkalden.de

Begriffserklärung:

  • S/MIME- bzw. Client-Zertifikat (Oberbegriff)
    • Nutzerzertifikat (@hs-sm.de oder @hs-schmalkalden.de)
      • Benötigt und beinhaltet einen echten Namen einer identifizierten Person!
      • Digitale ID für eine einzelne bestimmte natürliche Person (bspw. Olaf Scholz) oder einzelne (leitende, aber wechselnde) Rolle (bspw. Kanzler oder Dekan Maschinenbau)
    • Gruppenzertifikat (@hs-schmalkalden.de)
      • Beinhaltet keinen Namen!
      • Digitale ID für eine oder mehrere unbestimmte Personen (Funktionaler Account, Rolle, (Arbeits-)Gruppe oder Abteilung), die keine Dokumente signieren können müssen (bspw. Elektriker, Jahresempfang, Absolvententreffen)
ACHTUNG: Ein Client-Zertifikat ist eine digitale Identität, womit im Namen des Inhabers oder der Gruppe E-Mails und Dokumente signiert sowie E-Mails ver- und entschlüsselt werden können. Es befindet daher auf dem Schutzbedarf eines geheimen Passwortes! Geben Sie Ihr persönliches Nutzerzertifikat niemals an andere Personen und ein Gruppenzertifikat nur an berechtigte Personen weiter und speichern Sie es sicher bspw. in einem Passwort-Manager wie KeePass ab! Löschen Sie auch abgelaufene oder widerrufene Client-Zertifikate nicht, da ansonsten alle verschlüsselten E-Mails, die damit gesendet oder empfangen wurden, nie wieder entschlüsselt werden können!

Speichern Sie Zertifikate grundsätzlich auf einem sicheren, bestenfalls verschlüsselten Datenträger! Nutzen Sie keine gemeinsam genutzten Datenspeicher!

Ausstellung

S/MIME-Zertifikate bei Harica

persönliches Nutzerzertifikat

Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain @hs-sm.de von Mitarbeitern. Das Ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.

Um ein vollwertiges Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter pki@hs-schmalkalden.de! Anderenfalls können Sie nur ein Gruppenzertifikat für diese Adresse beantragen.

Im Laufe des Zertifikatsantrags wird ein Bild eines Ausweisdokuments abgefragt. Wir empfehlen hierfür einen gültigen Ausweis (Personalausweis, Führerschein oder Thoska) vorab abzufotografieren oder einzuscannen.

  1. Anmeldung bei Harica-Zertifikats-Manager-Webseite via Academic Login / IDP-Anmeldung
  2. Nach dem Login wird Ihnen Ihr Dashbord angezeigt und Informationen zu ggf. vorhandenen Zertifikaten
  3. Navigieren Sie im linken Menü zu „Email“, um ein entsprechendes Zertifikat zu beantragen:
  4. Wählen Sie „For enterprises or organizations (IV+OV)“:
  5. Überprüfen Sie in der nächsten Ansicht Ihre Auswahl und Ihre E-Mail-Adresse und betätigen Sie „Next“.
    1. Sollte hier nicht Ihre gewünschte E-Mail-Adresse angezeigt werden, wenden Sie sich bitte an pki@hs-schmalkalden.de und brechen Sie den Vorgang ab.
  6. Füllen Sie das nun angezeigt Formular entsprechend aus
    1. Vor und Nachname
    2. Geben Sie die Hochschuladresse an
      1. Germany
      2. Blechhammer 9
      3. Schmalkalden
      4. Thueringen
    3. Laden Sie ein Bild (jpg, png, …) eines Ausweisdokuments (Vorderseite mit Lichtbild z.B. Personalausweis, Führerschein, Thoska) hoch.
      1. Dies wird benötigt, damit die Administratoren Sie identifizieren können und Ihnen Ihre digitale Identität zuweisen dürfen.
    4. Betätigen Sie „Next“
  7. Bestätigen Sie die „Organisations information“ und das Nächste Fenster mit „Next“
  8. Es wird eine Seite Angezeigt, auf der alle Angaben zusammengefasst werden.
    1. Überprüfen Sie diese.
    2. Setzen Sie den Haken für das Bestätigen der Nutzungsbedingungen (gerne können Sie diese auch lesen).
    3. Bestätigen Sie die Angaben mit „Submit“:
  9. Hiermit ist Ihr Zertifikatsantrag eingereicht, dieser wird nun in Ihrem Dashboard unter „Pending Certificates“ angezeigt. Ein Administrator wird in Kürze Ihren Zertifikatsantrag bearbeiten.
  10. Wenn das Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail von Harica. Melden Sie sich gegegebenfalls wieder bei Harica an
  11. Im Dashboard erscheint Ihr Zertifikat unter „Ready Certificates“, Betätigen Sie „Enroll your Certificate“
  12. Es wird ein Formular zur Zertifikatserzeugung angezeigt
    1. Wählen Sie Generate Certificate
    2. Aus Sicherheitsgründen empfehlen wir als Verschlüsselung RSA (default) mit einer Schlüssellänge von 4096 Zeichen
    3. Vergeben Sie ein Passwort für Ihr Zertifikat
      1. Merken Sie sich dieses Passwort gut, bei Verlust, müssen Sie ein neues Zertifikat beantragen. (Empfehlung: Nutzen Sie einen Passwortmanager, wie z.B. KeePass)
    4. Setzen Sie den Haken, bei der Information, dass Ihr Passwort auch nicht durch Harica eingesehen/zurückgesetzt werden kann
    5. Betätigen Sie „Enroll Certificate“
  13. Betätigen Sie „Download“ und speichern Sie sich Ihr Zertifikat auf Ihrem PC, in einem Verzeichnis Ihrer Wahl und betätigen Sie anschließend „Close“
    1. Dies ist das einzige Mal, dass Ihenen diese Funktion zur Verfügung steht. Wenn Sie die Zertifikatsdatei verlieren, müssen Sie ein neues Zertifikat beantragen.

Weiter zu: E-Mails signieren und verschlüsseln
zurück

Harica Gruppenzertifikat | @hs-schmalkalden.de

Die folgende Anleitung gilt in erster Linie für E-Mail-Adressen mit der Domain @hs-schmalkalden.de von Funktionsaccounts. Das Ausgestelle Zertifikat kann zum digitalen Signieren und Verschlüsseln von E-Mails genutzt werden.

  1. Laden Sie sich die folgende CSV-Datei herunter: hsm-harica-gruppenzertifikat.csv
  2. Öffnen Sie diese mit dem Editor oder Excel
  3. Füllen Sie die zweite Zeile mit den Angaben Ihres Funktionsaccounts aus.
    1. Zwingend erforderliche Angaben sind:
      1. FriendlyName Name/Verwendung des Funktionsaccounts
      2. die primäre E-Mail-Adresse des Funktionsaccounts
    2. Optionale Angaben
      1. Email2, Email3 - weitere E-Mail-Adressen des Funktionsaccounts
      2. GivenName - Vorname des Hauptnutzers
      3. Surname - Nachname des Hauptnutzers
    3. Das PickupPassword wird durch die Administratoren beim Erstellen des Zertifikates gesetzt
    4. Funktionsaccounts stehen nur der CertType „email-only“ zur Verfügung, alle anderen Angaben werden ignoriert
    5. CSR bitte leer lassen
  4. Speichern Sie die Datei ab und senden Sie diese an pki@hs-schmalkalden.de
  5. Es wird Ihnen ein Zertifikat mit den angegeben Daten erstellt
  6. Sie erhalten eine E-Mail mit dem Zertifikat und über einen separaten sicheren Weg das zugehörige Passwort

Beispiel für Inhalt der CSV: 

FriendlyName,Email,Email2,Email3,GivenName,Surname,PickupPassword,CertType,CSR
Pojektgruppe HSM,projektgruppe@hs-schmalkalden.de,,,,,[Passwort],email_only,

Einrichtung & Verwendung

E-Mails digital signieren und verschlüsseln

Diese Anleitung finden Sie hier.

Dokumente digital unterschreiben / signieren mit Adobe Acrobat Reader

ACHTUNG! Derzeit nicht mit Zertifikaten von Harica möglich!
Senden Sie eine E-Mail an pki@hs-schmalkalden.de für Rückfragen!
Diese Anleitung finden Sie hier.

Fehlerbehebung

Zertifikat kann nicht importiert werden / Passwort ist falsch

Falls Sie beim Download Ihres Zertifikats versehentlich als Verschlüsselungsalgorithmus Secure AES256-SHA256 statt Compatible TripleDES-SHA1 gewählt haben, kann es sein, dass es einige Anwendungen nicht importieren können. Adobe Reader zeigt insbesondere an, dass Ihr Passwort falsch sei, obwohl es definitiv richtig ist. Glücklicherweise können Sie dieses Problem relativ einfach mit dem Webbrowser Firefox selbst lösen:

  1. Gehen Sie dazu rechts oben im Menü (1) in die Einstellungen (2):
  2. Dort klicken Sie auf die Kategorie Datenschutz & Sicherheit (1), scrollen Sie runter und wählen Sie Zertifikate anzeigen… (2):
  3. Klicken Sie im Dialog nun im Tab Ihre Zertifikate (1) auf den Button Importieren… (2) und wählen Sie Ihre problematische .p12-Zertifikatsdatei aus:
  4. Sie werden jetzt zur Eingabe Ihres Passwortes (1) aufgefordert. Bestätigen Sie den Dialog mit Anmelden (1). (Firefox versteht im Gegensatz zur problematischen Anwendung den Algorithmus Secure AES256-SHA256. Daher kommt es hier nicht zu einem Fehler.)
  5. Wie Sie anhand sehen können sollten, wurde Ihr GÉANT-Zertifikat erfolgreich in den Zertifikatsspeicher von Firefox importiert (1). Wählen Sie es aus (2) und klicken Sie auf Sichern… (3):
  6. Legen Sie jetzt erneut ein Passwort (1) für die Ausgabedatei fest (Dies kann dasselbe Passwort wie bei Ihrer Ausgangsdatei sein.) und bestätigen Sie mit OK (2). Speichern Sie die fertige .p12-Datei nun ab. (Firefox exportiert Zertifikate immer mit den Algorithmus Compatible TripleDES-SHA1. Daher funktioniert die exportierte Datei anschließend.)
  7. Abschließend können/sollten Sie mit dem Button Löschen… (1) Ihr importiertes Zertifikat wieder aus dem Firefox-Zertifikatsspeicher entfernen:
  8. Diese Aktion müssen noch einmal mit dem Button OK (1) in einem Folgedialog bestätigen:
  9. Die neue Zertifikatsdatei sollte sich nun problemlos bspw. in Adobe Reader importieren lassen.
zertifikate/pki/client-zertifikate.1768488003.txt.gz · Zuletzt geändert: von Carl Meffert
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki