Benutzer-Werkzeuge

Webseiten-Werkzeuge


zik:csr

Hinweis: Dieses Papier ist noch nicht fertig gestellt, befindet sich noch mitten in der redaktionellen Bearbeitung!

Elektronische Signatur - Beantragen und verwalten

Wir setzten voraus, dass sie den Einstieg in elektronische Signaturen gelesen und verstanden haben. Wir beziehen uns ausdrücklich auf dieses Dokument.

Vorwort

Ziel dieser Anleitung:

Beantragung, Speicherung und Verwaltung eines Zertifikat.

Hinweis: Vereinbaren sie einen Termin mit ZIK Mitarbeitern, gerne begleiten und führen wir alle Schritte gemeinsam mit ihnen durch! Wir klicken, sie schauen zu, oder umgekehrt.

Anders als das vorausgeganegen Papier, bezieht sich unser Dokument nun ganz konkret auf:

  • Mitglieder (Studenten, Angestellte u.a.) der Pädagogischen Hochschule Freiburg

Für die Beantragung (CSR) und Verwaltung ihres Zertifikats setzten wir folgende Umgebung voraus:

  • Mozilla Firefox Browser
  • USB Stick
  • PC mit Internetzugang
  • Eine E-Mailadresse der PH-Freiburg
  • (nicht abgelaufener) Personalausweis oder Reisepass
  • „bereiten“ sie sich auf drei Kennwörter vor (selten benötigt)

Exemplarisch laden wir dann das Zertifikat in das Mailprogramm:

  • Mozilla Thunderbird

Drei neue Kennwörter

Im Verlauf der Beantragung und Speicherung ihres neuen Zertifikats werden sie an drei Stellen verschiedene, wichtige Kennwörter festlegen müssen:

  • Die Zertifizierunggstelle will ein Kennwort wissen: Jenes dient dazu, um im Verlustfall ihrer Schlüssel, das Zertifikat bei der CA löschen lassen zu können.
  • Ihr Browser ist Ausgangspunkt, der erste Speicherort, in welchem ihr Zertifikat und der geheime Schlüssel liegt. Diesen Speicherort schützen wir mit einem Kennwort.
  • Abschließend sichern wir Zertifikat und Key - alles in einer Datei - auf einem USB Stick: Auch diese Datei belegen wir mit einem Kennwortschutz.

In unserer Sicherung wird sich ebenfalls unser geheimer Schlüssel befinden, bewahren sie den USB Stick also sicher auf!

Hinweis: Das Kennwort für den Widerruf des Zertifikas und jenes Kennwort für die Sicherung ihrer Daten auf USB Stick werden einmalig, bzw. nur selten benötigt. Dagegen wird das Kennwort für den Schutz Ihres Speicherortes im Browser und Mailprogramm praktisch bei jedem neuen Programmstart verlangt (sprich: Einmal pro Tag, pro Anmeldung am PC).

Beantragen

Step-by-step (einmalig)

Nicht jeder Browser ist für die Beantragung ihres neuen Zertifikats aus unserer CA geeignet. Unsere Anleitung bezieht sich daher nur auf den Firefox Browser.

Das Deutsche Forschungsnetz e.V. bietet Ihnen eine kompakte Info für Zertifikatinhaber an.

Nach Erhalt des Zertifikats können sie dieses selbstverständlich in andere Programme übertragen, zum Beispiel für die von uns angesprochene Nutzung im E-Mailprogramm!

  1. Firefox starten
    1. Interner Speicher für Kennwörter überprüfen:
      1. Im Menü unter Extras, Einstellungen, Sicherheit ist die Option Master-Passwort verwenden zu aktivieren (Häkchen setzten)
      2. Setzen Sie ein sicheres, gutes Kennwort mit mindestens 8 Zeichen Länge
  2. Öffnen Sie die Webseite zur Beantragung eines Nutzerzertifikats auf den Webseiten der CA Seite der PH-Freiburg beim DFN.
  3. Geben sie in dieser Formularseite E-Mailadresse und ihren Namen ein. Umlaute werden leider nicht akzeptiert. Folgende Regeln gelten: Nur folgende Zeichen sind gültig: a-z A-Z 0-9 ' ( ) + , - . / : = ? Leerzeichen, Umlaute sind wie folgt zu ersetzen: Ä → Ae, Ö→ Oe, Ü → Ue, ä → ae, ö → oe, ü → ue, ß → ss. Soweit es die Zeichenersetzung erlaubt ist der Name wie im Personalausweis anzugeben. Das Weglassen mehrerer Vornamen ist möglich, einer wird mindestens verlangt. Todo: Das mit den Titeln beschreiben
  4. Optional, freiwillig geben sie bitte den Namen ihrer Abteilung an der PH-Freiburg ein (nicht für Studenten möglich)
  5. Geben sie ein Kennwort für einen etwaigen Widerruf ihres Zertifikats ein.
  6. Entscheiden sie, ob ihr Zertifikat zu ihrer Mailadresse und ihrem Namen nun auch öffentlich suchbar gemacht werden darf, siehe Hinweis unten.
  7. Haben Sie den Einstieg in elektronische Signaturen gelesen, lesen Sie bitte Info für Zertifikatinhaber. Sind sie mit den Regelungen einverstanden, setzten Sie entsprechendes Häkchen.
  8. Nach Klick auf Weiter können sie ihre Angaben nochmals überprüfen.
  9. Im Anschluss generiert Firefox selbständig ihr Schlüsselpaar, ein Hinweis zeigt dies an.
  10. Drucken Sie den Zertifikatsantrag aus. Sinnvollerweise gleich zweimal, einmal nur für sie „zu den Unterlagen“
  11. Vereinbaren sie einen Termin mit dem Teilnehmerservice/Support des ZIK: Schicken sie bitte eine E-Mail bezüglich Terminvereinbarung an support@ph-freibur.de oder erstellen sie ein Ticket über die Webseite des ZIK Supports
  12. Halten sie für den Termin ihren unterschiebenen Antrags, sowie gültigen Personalausweis oder Reisepass bereit.
  13. Der Teilnehmerservice führt weitere Schritte durch, im Normalfall sollten sie wenige Minuten später per E-Mail ihr Zertifikat erhalten.
  14. Befolgen sie die Hinweise aus dieser E-Mail und laden sie das Zertifikat in ihren Browser. Hierbei genügt es meist, wenn Sie nur das eigene Zertifikat (in DFN Mail derzeit unter „2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link: …“) durch Anklicken der dort aufgeführten URL importieren.

Sicherungskopie

Step-by-step (einmalig)

Wir setzten voraus, dass sie nach obiger Anleitung ein Zertifikat beantragt und erhalten haben. Nun gilt es, dieses Zertifikat (inklusive ihrem Schlüsselpaar) zu sichern.

Hinweis: Diese Sicherung, die Datei mit Zertifikat und Schlüsselpaar benötigen sie auch darum, dass sie jenes Zertifikat in ihrem E-Mailprogramm nutzen können. Nach der Erstellung ist dieses zuerst nur in ihrem Browser, dort wo sie es später sicher selten benötigen.

  1. Starten sie Firefox
  2. In Bereich Extras, Einstellungen, Erweitert ihres Browsers öffnen sie den Reiter Verschlüsselung und klicken sie auf den Knopf Zertifikate anzeigen
  3. Das neue Fenster zeigt im Reiter Ihre Zertifikate das neu erstellte Zertifkat an. Klicken Sie dies mit der Maus an, danach unten auf „Sichern…“
  4. Wählen sie einen sinnvollen Dateinamen und als Dateityp PKCS12-Datei (*.p12) aus. Achtung: In dieser Datei steckt auch ihr privater Schlüssel!
  5. Ihr Browser geht auf Nummer Sicher und will nochmals ihr Master-Passwort wissen, sonst gibt er keine Daten raus
  6. Ihr Browser geht noch weiter auf Sicherheit: Nun verlangt er ein Kennwort, ob die Datei zu schützen. Später lesen wir die Datei in unser Mailprogramm ein, dann spätestens müssen wir das Kennwort wieder eingeben.
  7. Kopieren sie diese Datei auf einen USB Stick. Legen sie eventuell die Kopie ihres Antrags (s.o.) und das Kennwort zum Widerrufen bei der CA bei.
  8. USB Stick, Antragskopie und Kennwort zum Widerrufen nun ab zu den wichtigen, geschützen Unterlagen nach Hause in den „Tresor“!

Zertifikat in E-Mailprogramm einrichten

Step-by-step (selten/einmalig)

Wir wollen das Zertifikat in unserem Mailprogramm verwenden, darum müssen wir dies dort laden und einrichten. Je nachdem welches E-Mailprogramm sie nutzten, unterscheiden sich die Schritte, das Prinzip bleibt aber gleich: Zertifikat und Schlüsselpaar (besitzen wir bereits in einer Datei auf USB-Stick) muss in all ihre verwendeten Mailprogramme geladen werden.

Horde Webgroupware

(rapidschnellkurz)

  • bereits vorhandenes Zertifikat liegt als p12 File vor, andernfalls siehe Einstieg in elektronische Signaturen bzw. siehe Kapitel Sicherungskopie
  • In Horde einloggen
  • Benutzereinstellungen (unterhalb des „Rädchens“) von Webmail öffnen, dann in Bereich „S/MIME“ bei „Ihr persönliches S/MIME Zertifikat“ importieren
  • Kennwort zum P12 File zur Hand haben, ebenso sich ein neues für den Schutz des Keys in Horde hier überlegen…
  • Speicher… nächster Menüpunkt in Webmail „Erstellen“ öffnen und bei
  • „Ihre Standard-Verschlüsselungsmethode beim Verschicken von Nachrichten:“ auf „Unterzeichnen (S/MIME)“ setzten
  • fertig

Thunderbird

Da unser Browser Firefox und unser E-Mailprogramm Thunderbird aus dem gleichen „Softwarehaus“ (Mozilla Foundadion) kommen, ist bei beiden die Bedienung des Passwort- und Zertifikatsspeicher sehr ähnlich.

  1. Starten sie Thunderbird.
  2. In Extras / Einstellungen / Sicherheit / Passwörter setzten sie wieder wie in Firefox ein Passwortschutz, wenn nicht schon vorhanden. Verwenden sie abermals ein sicheres Kennwort aus mindestens 8 Zeichen.
  3. Nachfolgend in Extras / Einstellungen / Erweitert / Zertifikate auf Zertifikate klicken.
  4. Im Reiter Ihre Zertifikate auf den Knopf Importieren… klicken.
  5. Wählen sie ihre zuvor aus Firefox auf USB Stick gespeicherte Datei aus. Die Dateiendung lautet in aller Regel „.p12“.
  6. Thunderbird kann diese Datei erst lesen, wenn sie noch den Kennwortschutz zu dieser Datei kennen, geben sie das Kennwort ein.

Auf ähnlichem Weg können sie das Zertifikat in andere Programme laden und dort verwenden.

Zertifikat widerrufen

Was tun bei Verlust? Step-by-step

Hinweis: Gerne wird man ihnen in diesem Fall unkompliziert und ohne irgendwelche dummen Kommentare zu machen im ZIK weiterhelfen. Wollen sie den Widerruf „ganz alleine eintüten“, dann lesen sie doch bitte weiter!

Keine Panik, kein Problem: Wenn wir entsprechendes Kennwort nicht mehr kennen und finden, den PC, das Programm nicht mehr haben, unsere Sachen einfach dummerweise verloren sind. Alleine leiden sie sicher am meist darüber, direkter Schaden ist daraus niemandem anderen entstanden. Erfahrungsgemäß trifft solch ein Verlust hie und da schon ein. Scheuen sie sich nicht und lassen sie einfach das alte Zertifikat widerrufen. Beziehungsweise halt! Sie haben ja sogar unterschrieben, dass sie dies in jenen Fällen umgehend tun werden!

Schlimm für sie oder andere wäre dagegen ein richtiger Diebstahl ihres geheimen Schlüssels. Wenn jemand unter ihrem Namen, mit „von Ihnen“ signierten Mails böses tut und sie davon dann vielleicht erst spät erfahren. Aua, das tut weh und kann schlimm sein.

Letztendlich ist es für die Mitarbeiter in der CA und den anderen Nutzern letztendlich aber gleich: Sie müssen in beiden Fällen, eben sobald sie nicht mehr „alleiniger Herr“ über ihr Zertifikat-Keypaar sind, dies sperren lassen.

Das geht sehr, sehr einfach:

  1. In diesem Formularfeld wird die die sogenannte Seriennummer und
  2. optional, aber sinnvollerweise ein Grund verlangt.

Es ist nicht unsere Erfindung, dass sie nach der Seriennummer gefragt werden. In der Tat werden sie die gewünschte Seriennummer nicht auswendig kennen oder so zur Hand haben.

Sie finden die Seriennummer auf jedem Fall in jeder von ihnen verschickten und signierten E-Mail. Also vielleicht im E-Mail Ordner Gesendet, oder irgendwo bei Kollegen oder freunden in einer E-Mail. Mit ein paar Rechts- und Linksklicks, öffnen hier und ansehen da, finden sie die Seriennummer. Jene könnte so aussehen: 14:DC:2B:6D:06:CE:4A. Dummerweise „frisst“ unser Formular die Nummer nicht in dieser Form (todo: erklaeren wie man am einfachsten in dec kommt…).

Sollten sie ihr Zertifikat veröffentlich haben, so ist der Vorgang viel einfacher:

Hinweise, ToDos... was ebenfalls noch dokumentiert werden muss

…Veröffentlichung des Zertifikats…

…weiter mit dem Mailprogramm….

zik/csr.txt · Zuletzt geändert: 2017/06/19 12:20 von braun01fr