Nutzerzertifikat beantragen

Auf dieser Seite zeigen wir Ihnen, wie Sie mit dem Internet Explorer oder Mozilla Firefox ein persönliches Zertifikat bei der Uni-FR CA beantragen und importieren. Außerdem erfahren Sie, wie Sie das Zertifikat von Mozilla Firefox an Mozilla Thunderbird übertragen und dort für Ihre Zwecke einsetzen können.


Zertifikat beantragen

Starten Sie den Web-Browser, in dessen Arbeitsumgebung Sie das Zertifikat benötigen, und geben Sie als Webadresse folgende URL ein bzw. klicken Sie den nachstehenden Link an und wählen Sie den Tab „Nutzerzertifikat“

Auf der nun folgenden Seite füllen Sie die Eingabefelder sinngemäß nach dem angezeigten Muster aus:

  • Tragen Sie die Mailadresse ein, unter der Sie mit dem beantragten Zertifikat sicheren Mailverkehr betreiben wollen.
  • Bezüglich Sonderzeichen beachten Sie bitte folgende Regelung, die in den Zertifizierungsrichtlinien der DFN-PKI (Ziff. 3.1.4) festgelegt sind:
    Ausschließlich die folgenden Zeichen dürfen in Namen verwendet werden:
    a-z A-Z 0-9 ' ( ) + , - . / : = ? Leerzeichen
    Für die Ersetzung deutscher Sonderzeichen gelten folgende Substitutionsregeln:
    Ä -> Ae, Ö ->Oe, Ü -> Ue, ä -> ae, ö -> oe, ü -> ue, ß -> ss
    Sonderzeichen mit Akzenten verlieren diese. Ansonsten wird eine für das betreffende Zeichen
    gemeinhin verwendete Schreibweise aus den Zeichen a-z und A-Z so zusammengesetzt,
    dass der entsprechende Laut entsteht.
  • Geben Sie auch Ihren vollen Namen ein. Laut Zertifizierungsrichtlinien (Ziff. 3.1.2) müssen Sie sich an folgende Vorgaben halten:
    Zertifikate für natürliche Personen dürfen nur auf einen zulässigen Namen 
    des Zertifikatnehmers ausgestellt werden. Namenszusätze dürfen nur verwendet werden, 
    wenn diese in einem amtlichen Ausweispapiers mit Lichtbild enthalten sind, 
    z.B. "CN=Manuela Musterfrau, Dr.".

Zertifikate für Personengruppen müssen mit dem Kennzeichen „GRP:“ oder „GRP - “ beginnen, z.B. „CN=GRP:Poststelle“. Bei CAs und RAs kann darauf verzichtet werden, wenn die Funktion aus dem CN erkennbar ist. Bei der Vergabe von Namen für Perso- nengruppen muss eine Verwechslung mit existierenden Namen, z.B. mit natürlichen Personen oder Organisationen, ausgeschlossen werden. Ebenso dürfen keine DNS- Namen, IP-Adressen oder andere innerhalb der DFN-PKI benutzten Syntaxelemente verwendet werden.

  • sowie Ihr Institut oder Ihre Abteilung, sofern Sie eine Anstellung an der Universität haben.
    Diese Angabe wird in den Zertifikatsnamen aufgenommen.
    Studierende können hier das Hauptfach angeben.
  • Es folgt die Festlegung einer PIN, die zum späteren Verwalten des Zertifikates über die vorliegenden Webschnittstelle benötigt wird.
    (doppelte Eingabe gegen vertippen)
  • Schließlich anerkennen Sie die Zertifizierungsrichtlinien (erforderlich)
    (ein Klick auf den Link unter „Zertifizierungsrichtlinien“ führt Sie zu den Richtliniendokumenten der Uni-FR CA)

und

  • stimmen der Veröffentlichung des Zertifikates zu (erforderlich).

Bitte verwenden sie keine nationalen Sonderzeichen. Der erlaubte Zeichenvorrat ist im Hauptdokument beschrieben.

Eingabemaske für den Antrag

Nachdem Sie die Schaltfläche Weiter angeklickt haben, werden Ihnen alle Daten nochmals angezeigt. Sie haben jetzt die Möglichkeit, mit der Schaltfläche Ändern auf die vorige Seite zurückzukehren oder mit Bestätigen den Antrag als gültig abzusenden.

Eingaben bestätigen

Nun muss der Browser ein Schlüsselpaar der angegebenen Länge erzeugen.
Deshalb bittet in diesem Beispiel Firefox um etwas Geduld…

Die Schlüsselerzeugung läuft

Nach der Fertigstellung der Schlüssel erfolgt dieser Hinweis:

Antrag muss angezeigt werden

Die nächste Seite präsentiert Ihnen ein Antragsformular als PDF-Datei, das Sie ausdrucken, fertig ausfüllen und der Registrierungsstelle persönlich vorlegen müssen.

Formularbeispiel


Die Registrierungsstelle benötigt

  • das vollständig ausgefüllte und unterschriebene Antragsformular,
  • Ihren gültigen Personalausweis oder Reisepass sowie
  • falls Sie über keinen Uni-Account verfügen, ein amtliches Dokument, das Sie als Mitglied der Universität Freiburg ausweist.
    Beispiele: Studierendenausweis, Schriftliche Bescheinigung des Abteilungsleiters.

Da es beim Eintragen der letzten 5 Stellen der Personalausweis-Nummer immer wieder zu Missverständnissen kommt, haben wir im nebenstehenden Muster-Ausweis den Ort der Ausweis-Nummer mit einem roten Kringel versehen.


Falls dem Antrag nichts entgegensteht, wird Ihnen die Zertifizierungsstelle innerhalb weniger Minuten nach der Genehmigung durch die Registrierungsstelle das Zertifikat als Attachement an die im Antrag aufgeführte Mailadresse(n) zuschicken. Der Inhalt sieht (an unser Beispiel angepasst) etwa folgendermaßen aus:

Sehr geehrte Nutzerin, sehr geehrter Nutzer,

die Bearbeitung Ihres Zertifizierungsantrags ist nun abgeschlossen.

Ihr Zertifikat mit der Seriennummer 145209215 ist auf den Namen
CN=Martina Mustermann,OU=Rechenzentrum,O=Universitaet Freiburg,C=DE
erstellt worden und im Anhang dieser Mail beigelegt. 
Sie benötigen die Seriennummer, um Ihr Zertifikat gegebenenfalls sperren zu können.

Um Ihr Zertifikat nutzen zu können, müssen Sie alle folgenden Zertifikate in
Ihren Browser importieren. Achten Sie darauf, dass Sie die Zertifikate auf dem
Rechner importieren, von dem aus Sie den Antrag gestellt haben, weil sich dort
der zugehörige Schlüssel befindet.

1. Für die CA-Zertifikate wählen Sie bitte auf der Seite
https://pki.pca.dfn.de/uni-freiburg-ca/pub

den Menüpunkt "CA-Information" und dann "Laden des CA-Zertifikats".

2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:
https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getcert&key=145209215&type=CERTIFICATE

Mit freundlichen Grüßen

Ihr PKI-Team der Universitaet Freiburg


-----BEGIN CERTIFICATE-----
MIIFTzCCBDegAwIBAgIECKe3fzANBgkqhkiG9w0BAQUFADCBgDELMAkGA1UEBhMC
REUxHjAcBgNVBAoTFVVuaXZlcnNpdGFldCBGcmVpYnVyZzEWMBQGA1UECxMNUmVj
aGVuemVudHJ1bTESMBAGA1UEAxMJVW5pLUZSIENBMSUwIwYJKoZIhvcNAQkBFhZw
...
Vpk+VsbOP3NDyMUylmwiQjVlFBN6RE5odqdQgq+6JB6cxFHAou16bUfl8E2YzK83
uz23rAQoR492W2ncjgcYxTvCdSjQFqhEJMXTtcebV/AkZ4hq02OO/cjq2xfhufXC
w1F3JY2flpM8oSuswb7sCpWFEA==
-----END CERTIFICATE-----

Nutzen Sie bis zum Eintreffen der Mail die Zeit, um die Zertifikatskette zu importieren, falls Sie dies bis jetzt noch nicht getan haben.

Sobald Sie das Zertifikat per Mail erhalten haben, fahren Sie mit dem folgenden Abschnitt fort.


Zertifikat installieren

Wichtig:
Die Installation des Zertifikates mit Hilfe dieser Webadresse gelingt nur mit dem Browser, der auch die Schlüssel erzeugt hat. Wenn Sie das Zertifikat in einem anderen Browser benötigen, sei es auf demselben oder einem weiteren Rechner, müssen Sie das Zertifikat aus dem aktuellen (Standard-)Browser exportieren und anschließend in den anderen Browser importieren.

Wenn Sie das Zertifikat in Ihren Standard-Browser importieren wollen, genügt ein Klick auf die in der oben dargestellten Beispiel-Mail angegebene Adresse, um den Import auszulösen. Der Browser startet und zeigt folgendes Bild:

Zertifikat importieren

Klicken Sie auf die Schaltfläche Zertifikat importieren.

Der Import wird nicht unbedingt vom Browser bestätigt. D.h. es kann für Sie so aussehen, als hätte sich nichts ereignet. In diesem Fall ist es sinnvoll, im Zertifikatsspeicher nach dem betreffenden Zertifikat zu suchen. Lesen Sie dazu den nächsten Abschnitt.

Anmerkungen:

  • Sobald Sie mit dem Internet-Explorer das Zertifikat importiert haben, steht es allen Microsoft-Produkten zur Verfügung, da diese einen gemeinsamen Zertifikatsspeicher nutzen.
  • Da Firefox und Thunderbird getrennte Zertifikatsspeicher verwenden, müssen Sie das Zertifikat an Thunderbird transferieren, wenn Sie das Zertifikat zum Signieren oder Verschlüsseln von Mails verwenden wollen. Dazu später mehr.
  • Falls Sie nicht Ihren Standard-Browser zum Importieren verwenden wollen, übertragen Sie den in der Mail angegebenen Link in die Adresszeile des zuvor gestarteten Browsers.


Zertifikat überprüfen

Falls Sie sich nachträglich das Zertifikat ansehen wollen, finden Sie es auf folgenden Wegen:


Mozilla Firefox 3.5

Öffnen Sie Extras / Einstellungen.
Wählen Sie die Karteikarte Erweitert und klicken Sie auf die Schaltfläche Zertifikate anzeigen.

Das Fenster des Zertifikatsspeichers öffnet sich mit der Karteikarte Ihre Zertifikate im Vordergrund.

Eigene Zertifikate

Die Karteikarte Ihre Zertifikate stellt sozusagen einen „Schlüsselbund“ zur Verfügung, an den Sie diejenigen Zertifikate „anhängen“ können, deren privater Schlüssel Ihnen gehört. In der Spalte Zwecke wird aufgeführt, welche Sicherheitsfunktionen das Zertifikat abdeckt. Außerdem sehen Sie auf einen Blick die Seriennummer und das Ablaufdatum.

In dem oben gezeigten Fenster wird die hexadezimale Darstellung der Seriennummer ausgegeben, die in der weiter oben gezeigten Mail in dezimaler Form angegeben ist.

Die Schaltfläche Anzeigen öffnet ein Fenster, in dem Sie sich die Details des Zertifikates ansehen können.

Weiterhin stehen Ihnen folgende Manipulationswerkzeuge zur Verfügung: (Manche Funktionen sind nur zugänglich, wenn mindestens ein Zertifikat durch anklicken markiert ist)

  • Importieren
    Hiermit hängen Sie ein weiteres Zertifikat an den Schlüsselbund, das als Datei auf einem Speichermedium vorliegt.
  • Backup / Backup von allen
    Mit diesen Funktionen speichern Sie das ausgewählte Zertifikat bzw. alle vorhandenen Zertifikate als Datei ab.
    Im Abschnitt Zertifikat sichern weiter unten wird diese Möglichkeit genauer beschrieben.
  • Löschen
    Damit löschen Sie das ausgewählte Zertifikat.


Microsoft Internet-Explorer

Öffnen Sie die Internet-Optionen im Internet Explorer über Extras / Internetoptionen. Wechseln Sie zur Karteikarte Inhalte und klicken Sie auf die Schaltfläche Zertifikate.

Internetoptionen

Es öffnet sich dieses Fenster:

Eigene Zertifikate

Die Karteikarte Eigene Zertifikate stellt sozusagen einen „Schlüsselbund“ zur Verfügung, an den Sie diejenigen Zertifikate „anhängen“ können, deren privater Schlüssel Ihnen gehört. Im Feld Beabsichtigte Zwecke… wird aufgeführt, welche Sicherheitsfunktionen das Zertifikat abdeckt. Die Schaltfläche Anzeigen öffnet ein Fenster, in dem Sie sich die Details des Zertifikates ansehen können.

Weiterhin stehen Ihnen folgende Manipulationswerkzeuge zur Verfügung: (Manche Funktionen sind nur zugänglich, wenn mindestens ein Zertifikat durch anklicken markiert ist)

  • Importieren
    Hiermit hängen Sie ein weiteres Zertifikat an den Schlüsselbund, das als Datei auf einem Speichermedium vorliegt.
  • Exportieren
    Mit dieser Funktion speichern Sie das ausgewählte Zertifikat als Datei ab.
    Im Abschnitt Zertifikat sichern weiter unten wird diese Möglichkeit genauer beschrieben.
  • Entfernen
    Damit löschen Sie das ausgewählte Zertifikat.
  • Erweitert
    Hiermit öffnen Sie ein weiteres Fenster, in dem Sie die Zertifikatszwecke ändern (normalerweise nicht erforderlich) und das Exportformat festlegen können.


Zertifikat sichern

Es empfiehlt sich, das Zertifikat abzuspeichern (z.B. auf Diskette) und an einem sicheren Ort aufzubewahren.
Außerdem ist dieses Vorgehen erforderlich, wenn Sie das Zertifikat an ein anderes Programm übertragen wollen (z.B. von Firefox zu Thunderbird).


Mozilla Firefox

Dazu wählen Sie das zu sichernde Zertifikat aus und klicken auf die Schaltfläche Backup (siehe Abbildung weiter oben!).
Es öffnet sich ein übliches Explorer-Fenster um den Speicherort und den Dateinamen auszusuchen. Die Datei wird im Format PKCS12 gespeichert und erhält die Namenserweiterung p12.

Sobald Sie die Angaben bestätigt haben, verlangt Firefox das Master-Passwort für den Zugriff auf den privaten Schlüssel.

Zugriffs-Passwort eingeben

Anschließend werden Sie noch aufgefordert, die zu speichernde Datei über ein Backup-Passwort abzusichern.
Dabei versucht die Maske die Qualität des Passwortes abzuschätzen.
Das Passwort sollte natürlich möglichst sicher sein, damit Unbefugte es schwer haben, an den Inhalt der Datei heranzukommen, falls sie in falsche Hände geraten sollte.

Backup-Passwort eingeben

Das folgende Fenster ist eigentlich als Erfolgsmeldung gemeint, kommt aber als Warnung daher.
Wenn man's weiß, ist ja alles gut…

Backup erfolgreich


Microsoft Internet Explorer

Dazu öffnen Sie den Exportassístenten für die eigenen Zertifikate (siehe Abbildungen weiter oben). Auf der Eröffnungsseite klicken Sie auf Weiter.

Privaten Schlüssel exportieren

Wählen Sie entsprechend der Abbildung den Punkt Ja und klicken Sie auf Weiter.

Hohe Sicherheit beim Export

Beziehen Sie alle Zertifikate aus der Vertrauenskette mit ein und sichern Sie mit der höchsten Stufe.
Sie werden nach dem Klick auf Weiter nach einem Kennwort gefragt.
Damit wird der Zugriff auf die abgespeicherte Datei geschützt.

Passwort zum Schutz des privaten Schlüssels

Nach Eingabe des Kennwortes und einem Klick auf Weiter zeigt Ihnen ein das nächste Fenster die Zusammenstellung der gewählten Optionen.
Klicken Sie nun auf Fertigstellen.

Da zum Speichern der Zugriff auf Ihren privaten Schlüssel erforderlich ist, werden Sie nach dem Kennwort für diesen Zugriff gefragt.

Passwort für den privaten Schlüssel

Nachdem Sie OK angeklickt haben (und alles fehlerfrei ablief) sehen Sie die Exportbestätigung:

Export erfolgreich


Zertifikat in Thunderbird importieren

Die Beispiele in diesem Abschnitt sind aus Thunderbird 2 übernommen, sehen aber in Thunderbird 3 gleich aus.

Starten Sie Thunderbird und öffnen Sie Extras / Einstellungen. Dort wählen Sie die Kategorie Erweitert und klicken auf die Schaltfläche Zertifikate.

Zertifikat importieren

Nun klicken Sie auf die Schaltfläche importieren und suchen mit Hilfe des angezeigten Windows-Explorers die zuvor gesicherte Zertifikatsdatei.

Sie werden gebeten, das Master-Passwort für den Zugriff auf den Zertifikatsspeicher einzugeben.

Master-Passwort eingeben

Anschließend wird noch das Backup-Passwort verlangt, das für den Zugriff auf die Zertifikatsdatei nötig ist.

Backup-Passwort eingeben

Nun erfolgt die Abschluss-„Warnung“, die keine ist…

Import erfolgreich durchgeführt

… denn das Zertifikat wird im Speicher angezeigt:

Liste der eigenen Zertifikate


Zertifikat in Thunderbird aktivieren

Da ein persönliches Zertifikat eng mit einer Mailadresse verknüpft ist, wird das soeben importierte Zertifikat nicht in den globalen Einstellungen zugänglich gemacht, sondern in den Einstellungen des zur betreffenden Mailadresse gehörenden Kontos.

Sie öffnen dazu mit der rechten Maustaste auf dem Kontonamen die Konto-Eigenschaften:

Konto-Eigenschaften

Nach Auswahl der Kategorie S/MIME-Sicherheit sehen Sie den folgenden Inhalt:

Sicherheitseinstellungen

Wählen Sie hier die Zertifikate aus, mit denen Sie unterschreiben bzw. verschlüsseln wollen. In der Regel handelt es sich in beiden Fällen um dasselbe Zertifikat.

Legen Sie auch fest, ob Sie grundsätzlich unterschreiben bzw. verschlüsseln wollen. Üblicherweise wird die gezeigte Auswahl verwendet.

Damit ist die Grundeinstellung für dieses Konto durchgeführt.

Nun ist noch zu zeigen, wie Sie beim Schreiben einer Mail diese Grundeinstellungen einmalig außer Kraft setzen können. Dazu gehen wir von einem Mail-Editierfenster aus und klicken auf das Symbol mit der Bezeichnung S/MIME.

Sicherheitseinstellungen für eine einzelne Mail

Zunächst wird Ihnen gezeigt, welche Grundeinstellung für diese Mail übernommen wurde. Sie können für diese eine Mail dann die Einstellungen ändern, z.B. durch Klick auf Nachricht unterschreiben diese (hier eingeschaltete) Option abschalten oder durch Klick auf Nachricht verschlüsseln die Beispieleinstellung auf Verschlüsseln umschalten.

Der nächste Brief wird dann wieder mit den Grundeinstellungen begonnen.


Verlängerung oder Sperrung der Zertifikate

Zu diesen Themen finden Sie auf der Seite

http://www.rz.uni-freiburg.de/go/zertifikate

in den entsprechenden Abschnitten ausführliche Informationen.




QR-Code
QR-Code Nutzerzertifikat beantragen (erstellt für aktuelle Seite)