Inhaltsverzeichnis

zurück

S/MIME- / Nutzer- / Gruppen- / Client-Zertifikate

Zwecke:

  1. Verschlüsselte E-Mail-Kommunikation
  2. Digitales Signieren von Dokumenten und E-Mails mit fortgeschrittener elektronischer Signatur (FES) nach Art. 26 eDIAS

Begriffserklärung:

ACHTUNG: Ein Client-Zertifikat ist eine digitale Identität, womit im Namen des Inhabers oder der Gruppe E-Mails und Dokumente signiert sowie E-Mails ver- und entschlüsselt werden können. Es befindet daher auf dem Schutzbedarf eines geheimen Passwortes! Geben Sie Ihr persönliches Nutzerzertifikat niemals an andere Personen und ein Gruppenzertifikat nur an berechtigte Personen weiter und speichern Sie es sicher bspw. in einem Passwort-Manager wie KeePass ab! Löschen Sie auch abgelaufene oder widerrufene Client-Zertifikate nicht, da ansonsten alle verschlüsselten E-Mails, die damit gesendet oder empfangen wurden, nie wieder entschlüsselt werden können!

Speichern Sie Zertifikate grundsätzlich auf einem sicheren, bestenfalls verschlüsselten Datenträger! Nutzen Sie keine gemeinsam genutzten Datenspeicher!

Ausstellung

Persönliche Nutzerzertifikate (@hs-sm.de / @hs-schmalkalden.de - GÉANT Personal email signing and encryption)

Das Webformular für den Antrag befindet sich unter https://cert-manager.com/customer/DFN/idp/clientgeant.
Um Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter pki@hs-schmalkalden.de! Anderenfalls wird Ihnen nach der Anmeldung die Fehlermeldung You are not allowed to self enroll. Please contact your security administrator. angezeigt.
  1. Nachdem Sie die oben stehende URL in Ihrem Webbrowser eingegeben und sich, wie hier beschrieben, mit Ihren Zugangsdaten am Identity Provider der Hochschule angemeldet haben, sollten Sie folgendes Webformular angezeigt bekommen.
    1. Definieren Sie dort unter Term die Gültigkeitsdauer Ihres Zertifikats (1). Allgemein empfehlen wir die längste Dauer von 730 Tagen bzw. 2 Jahren. Ist abzusehen, dass Sie die Hochschule innerhalb des kommenden Jahres verlassen werden, wählen Sie stattdessen hier bitte 365 Tage.
    2. Lassen Sie sich übrigens nicht von der Anmerkung but not sign PDF documents in der Profilbeschreibung irritieren. Sie können mit diesem Zertifikatstyp definitiv PDF-Dokumente signieren.
    3. Als Enrollment Method legen Sie Key generation (Schlüsselerstellung im Browser) fest (2)
    4. Wählen Sie als Key type unbedingt RSA - 4096 aus (3)! RSA - 2048 ist nicht mehr zeitgemäß und EC-Typen sind nicht zum Verschlüsseln von E-Mails geeignet.
    5. Legen Sie ein sicheres Passwort fest (4), das Ihr Zertifikat beim anschließenden Download verschlüsselt. Bedenken Sie, dass Sie dieses Passwort später beim Einrichten Ihres Zertifikats und insbesondere jedes Mal beim digitalen Unterzeichnen von Dokumenten brauchen werden. Nutzen Sie optimalerweise einen Passwort-Manager (bspw. KeePass), um sich Ihr Passwort zu notieren!
    6. Wählen Sie unbedingt Compatible TripleDES-SHA1 als Key protection algorithm aus (5). Nutzen Sie auf keinen Fall Secure AES256-SHA256! Ansonsten kann Ihr Zertifikat später in vielen Anwendungen nicht importiert werden. Insbesondere Adobe Acrobat Reader zeigt dann beim Versuch an, dass Ihr Passwort falsch sei. Falls Sie diesen Fehler versehentlich doch begangen haben sollten, können Sie ihn nachträglich anhand dieser Anleitung beheben.
    7. Lesen und akzeptieren Sie Sectigos Endbenutzer-Lizenzvereinbarung (End User License Agreement / EULA) (6).
    8. Bestätigen Sie Ihren Antrag mit Submit (7)
  2. Befolgen Sie den anschließenden Hinweis und schließen Sie den aktuellen Browser-Tab nicht!
  3. Sobald der Prozess abgeschlossen ist, wird Ihnen die folgende Erfolgsmeldung angezeigt und Sie sollten von Ihrem Browser zum Download Ihres Zertifikats aufgefordert werden. Je nach Ihren persönlichen Browser-Einstellungen erfolgt dieser Download ggf. automatisch ohne Dialog. Prüfen Sie daher Ihr Download-Verzeichnis, falls Sie die ausgestellte Zertifikatsdatei vermissen.
  4. Hier geht es weiter mit der Einrichtung Ihres soeben ausgestellten Zertifikats.

Gruppenzertifikate (@hs-schmalkalden - GÉANT Organisation email signing)

Das Webformular für den Antrag befindet sich unter https://cert-manager.com/customer/DFN/smime/HSM.
Technisch lassen sich mit diesem Zertifikatstyp ebenfalls E-Mails und Dokumente signieren sowie - obwohl es seine Bezeichnung anders vermuten lässt - E-Mails verschlüsseln. Allerdings beinhaltet dieser Zertifikatstyp weder Vor- noch Zunamen, was besonders beim Signieren von Dokumenten auffällt. Dieser Zertifikatstyp sollte daher ausschließlich zur Signierung bzw. Verschlüsselung von E-Mails für funktionale E-Mail-Adressen genutzt werden, die ggf. von mehreren Personen (Gruppen) genutzt werden.
  1. Nachdem Sie die oben stehende URL in Ihrem Webbrowser eingegeben und sich mit den Zugangsdaten Ihres funktionalen Accounts am Identity Provider der Hochschule (siehe hier) angemeldet haben, sollten Sie folgendes Webformular angezeigt bekommen:
    1. Die meisten Felder sind vom Rechenzentrum vorgegeben.
    2. Die Abteilung (Department) ist bewusst aus technischen Gründen None (1).
    3. Wie eingangs beschrieben, enthält dieser Zertifikatstyp keinen Namen. Daher werden Ihre Eingaben bei Vor-, Zweit- und Zunamen (2) nicht in Ihr resultierendes Zertifikat übernommen und sind irrelevant. Vor- und Zuname dürfen allerdings nicht leer sein. Übernehmen Sie im Zweifelsfall daher einfach die Vorgabe oder geben Sie irgendetwas ein.
    4. Lesen und akzeptieren Sie abschließend noch Sectigos Endbenutzer-Lizenzvereinbarung (End User License Agreement / EULA) (3) und bestätigen Sie Ihre Eingaben mit Submit (4).
  2. Sollte der Prozess ab hier aus welchen Gründen auch immer abbrechen, können Sie Ihr Zertifikat, wie hier im 6. Schritt beschrieben, später noch nachträglich in der Übersicht der von Ihnen beantragten Zertifikate herunterladen.
  3. Befolgen Sie den anschließenden Hinweis und schließen Sie den aktuellen Browser-Tab nicht!
  4. Als Bestätigung werden Sie nun zum Download Ihres ausgestellten Zertifikats aufgefordert.
    1. Wählen Sie hier bevorzugt Compatible TripleDES-SHA1 als Key protection algorithm aus (1), da viele Anwendungen (u.A. Adobe Acrobat Reader) noch nicht mit dem moderneren Algorithmus Secure AES256-SHA256 kompatibel sind. Befolgen Sie diese Anleitung, falls Sie Secure AES256-SHA256 gewählt haben und später bei der Einrichtung auf Probleme stoßen.
    2. Legen Sie ein sicheres Passwort fest (2), das Ihr Zertifikat beim anschließenden Download verschlüsselt. Bedenken Sie, dass Sie dieses Passwort später beim Einrichten Ihres Zertifikats brauchen werden. Nutzen Sie optimalerweise einen Passwort-Manager (bspw. KeePass), um sich Ihr Passwort zu notieren!
    3. Schließen Sie den Dialog mit dem Button Download ab (3).
  5. Abschließend sollten Sie von Ihrem Browser zum Download Ihres beantragten Zertifikats inkl. seines privaten Schlüssels im PKCS#12-Format aufgefordert werden. Je nach Ihren persönlichen Browser-Einstellungen erfolgt dieser Download ggf. automatisch ohne Dialog. Prüfen Sie daher Ihr Download-Verzeichnis, falls Sie die ausgestellte Zertifikatsdatei vermissen.

Einrichtung & Verwendung

E-Mails signieren und verschlüsseln

Diese Anleitung finden Sie hier.

Dokumente digital unterschreiben / signieren mit Adobe Acrobat Reader

Diese Anleitung finden Sie hier.

Fehlerbehebung

Zertifikat kann nicht importiert werden / Passwort ist falsch

Falls Sie beim Download Ihres Zertifikats versehentlich als Verschlüsselungsalgorithmus Secure AES256-SHA256 statt Compatible TripleDES-SHA1 gewählt haben, kann es sein, dass es einige Anwendungen nicht importieren können. Adobe Reader zeigt insbesondere an, dass Ihr Passwort falsch sei, obwohl es definitiv richtig ist. Glücklicherweise können Sie dieses Problem relativ einfach mit dem Webbrowser Firefox selbst lösen:

  1. Gehen Sie dazu rechts oben im Menü (1) in die Einstellungen (2):
  2. Dort klicken Sie auf die Kategorie Datenschutz & Sicherheit (1), scrollen Sie runter und wählen Sie Zertifikate anzeigen… (2):
  3. Klicken Sie im Dialog nun im Tab Ihre Zertifikate (1) auf den Button Importieren… (2) und wählen Sie Ihre problematische .p12-Zertifikatsdatei aus:
  4. Sie werden jetzt zur Eingabe Ihres Passwortes (1) aufgefordert. Bestätigen Sie den Dialog mit Anmelden (1). (Firefox versteht im Gegensatz zur problematischen Anwendung den Algorithmus Secure AES256-SHA256. Daher kommt es hier nicht zu einem Fehler.)
  5. Wie Sie anhand sehen können sollten, wurde Ihr GÉANT-Zertifikat erfolgreich in den Zertifikatsspeicher von Firefox importiert (1). Wählen Sie es aus (2) und klicken Sie auf Sichern… (3):
  6. Legen Sie jetzt erneut ein Passwort (1) für die Ausgabedatei fest (Dies kann dasselbe Passwort wie bei Ihrer Ausgangsdatei sein.) und bestätigen Sie mit OK (2). Speichern Sie die fertige .p12-Datei nun ab. (Firefox exportiert Zertifikate immer mit den Algorithmus Compatible TripleDES-SHA1. Daher funktioniert die exportierte Datei anschließend.)
  7. Abschließend können/sollten Sie mit dem Button Löschen… (1) Ihr importiertes Zertifikat wieder aus dem Firefox-Zertifikatsspeicher entfernen:
  8. Diese Aktion müssen noch einmal mit dem Button OK (1) in einem Folgedialog bestätigen:
  9. Die neue Zertifikatsdatei sollte sich nun problemlos bspw. in Adobe Reader importieren lassen.