Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate:pki:client-zertifikate [2024/07/29 14:27] – ↷ Seite von sys:zertifikate:public:pki:client-zertifikate nach zertifikate:pki:client-zertifikate verschoben Conny Marcus Rasch
+++ zertifikate:pki:client-zertifikate [2024/08/07 13:40] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 5: / Zeile 5: @@
 Zwecke:
   - Verschlüsselte E-Mail-Kommunikation
-  - Digitales Signieren von Dokumenten und E-Mails
+  - Digitales Signieren von Dokumenten und E-Mails mit [[https://gesetze.legal/eu/vo_eu_2014_910/26|fortgeschrittener elektronischer Signatur (FES) nach Art. 26 eDIAS]]
 Begriffserklärung:
@@ Zeile 11: / Zeile 11: @@
     * **Gruppenzertifikat** (@hs-schmalkalden.de)
       * Beinhaltet **keinen Namen**!
-      * Digitale ID für **eine oder mehrere unbestimmte Personen** (Funktionaler Account, Rolle, (Arbeits-)Gruppe oder Abteilung), die **nicht signieren** können müssen (bspw. Elektriker, Jahresempfang, Absolvententreffen)
+      * Digitale ID für **eine oder mehrere unbestimmte Personen** (Funktionaler Account, Rolle, (Arbeits-)Gruppe oder Abteilung), die **keine Dokumente signieren** können müssen (bspw. Elektriker, Jahresempfang, Absolvententreffen)
     * **Nutzerzertifikat** (@hs-sm.de oder @hs-schmalkalden.de)
-      * Benötigt und beinhaltet einen **echten Namen**!
+      * Benötigt und beinhaltet einen **echten Namen einer identifizierten Person**!
       * Digitale ID für **eine einzelne bestimmte natürliche Person** (bspw. Olaf Scholz) oder **einzelne (leitende, aber wechselnde) Rolle** (bspw. Kanzler oder Dekan Maschinenbau)
@@ Zeile 27: / Zeile 27: @@
 <note tip>Das Webformular für den Antrag befindet sich unter [[https://cert-manager.com/customer/DFN/idp/clientgeant]].</note>
-<note important>Um Nutzerzertifikate für eine funktionale E-Mail-Adresse (Endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit Ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls wird Ihnen nach der Anmeldung die Fehlermeldung ''You are not allowed to self enroll. Please contact your security administrator.'' angezeigt.</note>
+<note important>Um Nutzerzertifikate für eine funktionale E-Mail-Adresse (endet auf @hs-schmalkalden.de) ausstellen zu können, muss der funktionale Account vorab dafür freigeschaltet werden, da aus rechtlichen Gründen zwingend eine natürliche Person mit ihrem echten Namen über das CN-Attribut im Zertifikat hinterlegt sein muss. Kontaktieren Sie dafür bitte das Rechenzentrum unter [[pki@hs-schmalkalden.de]]! Anderenfalls wird Ihnen nach der Anmeldung die Fehlermeldung ''You are not allowed to self enroll. Please contact your security administrator.'' angezeigt.</note>
   - Nachdem Sie die oben stehende URL in Ihrem Webbrowser eingegeben und sich, wie [[zertifikate:pki:idp-anmeldung|hier]] beschrieben, mit Ihren Zugangsdaten am Identity Provider der Hochschule angemeldet haben, sollten Sie folgendes Webformular angezeigt bekommen.
-    - Definieren Sie dort unter ''Term'' die Gültigkeitsdauer Ihres Zertifikats (<fc #ff0000>**1**</fc>). Wir empfehlen die längste Dauer von 730 Tagen bzw. 2 Jahren.
+    - Definieren Sie dort unter ''Term'' die Gültigkeitsdauer Ihres Zertifikats (<fc #ff0000>**1**</fc>). Allgemein empfehlen wir die längste Dauer von 730 Tagen bzw. 2 Jahren. Ist abzusehen, dass Sie die Hochschule innerhalb des kommenden Jahres verlassen werden, wählen Sie stattdessen hier bitte 365 Tage.
     - Lassen Sie sich übrigens nicht von der Anmerkung ''but not sign PDF documents'' in der Profilbeschreibung irritieren. Sie können mit diesem Zertifikatstyp definitiv PDF-Dokumente signieren.
     - Als ''Enrollment Method'' legen Sie ''Key generation'' (Schlüsselerstellung im Browser) fest (<fc #ff0000>**2**</fc>)
@@ Zeile 37: / Zeile 37: @@
     - Wählen Sie unbedingt ''Compatible TripleDES-SHA1'' als ''Key protection algorithm'' aus (<fc #ff0000>**5**</fc>). **Nutzen Sie auf keinen Fall ''Secure AES256-SHA256''**! Ansonsten kann Ihr Zertifikat später in vielen Anwendungen nicht importiert werden. Insbesondere Adobe Acrobat Reader zeigt dann beim Versuch an, dass Ihr Passwort falsch sei. Falls Sie diesen Fehler versehentlich doch begangen haben sollten, können Sie ihn nachträglich anhand [[#zertifikat_kann_nicht_importiert_werdenpasswort_ist_falsch|dieser Anleitung]] beheben.
     - Lesen und akzeptieren Sie Sectigos ''Endbenutzer-Lizenzvereinbarung'' (End User License Agreement / EULA) (<fc #ff0000>**6**</fc>).
-    - Bestätigen Sie Ihren Antrag mit ''Submit'' (<fc #ff0000>**7**</fc>) {{ :sys:zertifikate:smime-usercert-dfn.png?direct&600 |}}
+    - Bestätigen Sie Ihren Antrag mit ''Submit'' (<fc #ff0000>**7**</fc>) {{ zertifikate:pki:smime-usercert-dfn.png?direct&600 |}}
-  - Befolgen Sie den anschließenden Hinweis und schließen Sie den aktuellen Browser-Tab nicht! {{ :sys:zertifikate:smime-usercert-dontclose.png?direct&600 |}}
+  - Befolgen Sie den anschließenden Hinweis und schließen Sie den aktuellen Browser-Tab nicht! {{ zertifikate:pki:smime-usercert-dontclose.png?direct&600 |}}
-  - Sobald der Prozess abgeschlossen ist, wird Ihnen die folgende Erfolgsmeldung angezeigt und Sie sollten von Ihrem Browser zum Download Ihres Zertifikats aufgefordert werden. Je nach Ihren persönlichen Browser-Einstellungen erfolgt dieser Download ggf. automatisch ohne Dialog. Prüfen Sie daher Ihr Download-Verzeichnis, falls Sie die ausgestellte Zertifikatsdatei vermissen. {{ :sys:zertifikate:smime-usercert-ready.png?direct&600 |}}
+  - Sobald der Prozess abgeschlossen ist, wird Ihnen die folgende Erfolgsmeldung angezeigt und Sie sollten von Ihrem Browser zum Download Ihres Zertifikats aufgefordert werden. Je nach Ihren persönlichen Browser-Einstellungen erfolgt dieser Download ggf. automatisch ohne Dialog. Prüfen Sie daher Ihr Download-Verzeichnis, falls Sie die ausgestellte Zertifikatsdatei vermissen. {{ zertifikate:pki:smime-usercert-ready.png?direct&600 |}}
   - [[#einrichtung_verwendung|Hier]] geht es weiter mit der Einrichtung Ihres soeben ausgestellten Zertifikats.
@@ Zeile 52: / Zeile 52: @@
     - Die ''Abteilung'' (Department) ist bewusst aus technischen Gründen ''None'' (<fc #ff0000>**1**</fc>).
     - Wie eingangs beschrieben, enthält dieser Zertifikatstyp keinen Namen. Daher werden Ihre Eingaben bei ''Vor-, Zweit- und Zunamen'' (<fc #ff0000>**2**</fc>) nicht in Ihr resultierendes Zertifikat übernommen und sind irrelevant. ''Vor- und Zuname'' dürfen allerdings nicht leer sein. Übernehmen Sie im Zweifelsfall daher einfach die Vorgabe oder geben Sie irgendetwas ein.
-    - Lesen und akzeptieren Sie abschließend noch Sectigos ''Endbenutzer-Lizenzvereinbarung'' (End User License Agreement / EULA) (<fc #ff0000>**3**</fc>) und bestätigen  Sie Ihre Eingaben mit ''Submit'' (<fc #ff0000>**4**</fc>). {{ :sys:zertifikate:smime-grpcert.png?direct&600 |}}
+    - Lesen und akzeptieren Sie abschließend noch Sectigos ''Endbenutzer-Lizenzvereinbarung'' (End User License Agreement / EULA) (<fc #ff0000>**3**</fc>) und bestätigen  Sie Ihre Eingaben mit ''Submit'' (<fc #ff0000>**4**</fc>). {{ zertifikate:pki:smime-grpcert.png?direct&600 |}}
   - Sollte der Prozess ab hier aus welchen Gründen auch immer abbrechen, können Sie Ihr Zertifikat, wie [[zertifikate:pki:idp-anmeldung|hier]] im 6. Schritt beschrieben, später noch nachträglich in der Übersicht der von Ihnen beantragten Zertifikate herunterladen.
   - Befolgen Sie den anschließenden Hinweis und schließen Sie den aktuellen Browser-Tab nicht! {{ zertifikate:pki:smime-grpcert-dontclose.png?direct&600 |}}