Inhaltsverzeichnis
Nutzerzertifikate - DFN
Allgemeines
Rechtliche Grundlagen in Bezug auf elektronische Signaturen sind in der Dokumentation der DFN-PKI nachzulesen. Mit Hilfe der DFN-PKI werden Nutzerzertifikate für fortgeschrittene elektronische Signaturen ermöglicht.
Die Ausstellung von Nutzerzertifikaten seitens des DFN endet am 31.12.2023. Die bis zu diesem Datum beantragten Nutzerzertifkate des DFN sind (trotzdem noch) wie üblich 3 Jahre gültig. Nutzerzertifikate werden spätestens ab dem oben genannten Zeitpunkt von den GEANT Trusted Certificate Services in Verbindung mit der Firma Sectigo ersetzt. Bitte folgen Sie dieser Anleitung.
Beantragung
Bei der Beantragung eines digitalen Nutzerzertifikats wird auf Ihrem PC unter Ihrer Benutzerkennung und in dem von Ihnen verwendeten Webbrowser ein Schlüsselpaar generiert, welches im weiteren Verlauf von der DFN-PKI signiert wird.
Bitte beantragen Sie Ihr digitales Nutzerzertifikat auf der Karte Nutzerzertifikat → Nutzerzertifikat beantragen der DFN-PKI mit folgenden Hinweisen:
- Abteilung (OU): in der Regel lassen Sie dieses Feld frei.
- Veröffentlichung des Zertifikates: aktiviert
Am Ende der Beantragung werden Sie aufgefordert,
- die Angaben auf Richtigkeit zu prüfen und ggfs. zu korrigieren
- die Antragsdatei unter Angabe eines Passwortes zu speichern
- notieren Sie sich das Passwort und den Speicherort (die Antragsdatei mit dem Dateinamen
Antragsdatei*.json
wird später benötigt)
- das Zertifikatsantragsformular mit dem Dateinamen
Zertifikatantrag*.pdf
herunterzuladen
Bitte drucken Sie das Zertifikatsantragsformular und füllen es vollständig aus. Bringen Sie das Zertifikatsantragsformular eigenhändig unterschrieben unter Vorlage eines gültigen, amtlichen Ausweisdokumentes in das Hochschulrechenzentrum.
Ausstellung
Nach erfolgter Prüfung erhalten Sie von der DFN-PKI eine E-Mail, in der das weitere Vorgehen beschrieben ist. Folgen Sie hier bitte den Anweisungen in der E-Mail:
- Klicken Sie auf den Link für ein Nutzerzertifikat
- Wählen Sie mit dem Button „Browse“ die Antragsdatei (Dateiendung .json) aus die Sie bei der Beantragung lokal auf Ihrem PC gespeichert haben
- Geben Sie das bei der Beantragung gewählte Passwort ein und klicken auf den Button „Weiter“
- Klicken Sie auf den Button „Zertifikatdatei speichern“, um das Zertifikat zusammen mit dem privaten Schlüssel im Format PKCS#12 (Dateiendung .p12) auf Ihrem Gerät abzuspeichern
- Geben Sie erneut Ihr gewünschtes Passwort 2x ein und klicken auf den Button „Ok“
- Speichern Sie die Zertifikatdatei (Dateiendung .p12) an einem geeigneten Ort außerhalb Ihres PCs (z.B. Laufwerk Z:\Zertifikate) ab. Merken Sie sich das dazugehörige Kennwort, um das digitale Nutzerzertifikat im Bedarfsfall wiederherstellen zu können.
Benennen Sie die Zertifikatdatei nach folgender Notation um:
<JJJJ-MM-TT>_DFN-Verein_Global_Issuing_CA_<Vorname_Nachname>.p12
Integration
Die Integration des digitalen Nutzerzertifikats hängt vom verwendeten Betriebssystem und der verwendeten Software ab.
Bitte bewahren Sie Ihre abgelaufenen digitalen Nutzerzertifikate ebenfalls auf. Sie benötigen diese zur Kontrolle von Signaturen und zur Entschlüsselung von E-Mails.
Microsoft Windows
Das Betriebssystem Microsoft Windows speichert digitale Nutzerzertifikate und Zertifizierungsstellen an einer zentralen Stelle, dem Windows Zertifikatsspeicher (Cryptographic Service Provider). Sobald sie eine Software verwenden, die den Windows Zertifikatsspeicher nutzt müssen sie ihr digitales Nutzerzertifikat in diesen zentralen Zertifikatsspeicher importieren:
- Start → Internetoptionen (eintippen) → Karte: Inhalte
- Zertifikate → Karte „Eigene Zertifikate“ → Importieren…
- Geben Sie bei der Passwortabfrage das unter „Ausstellung“ selbstgewählte Passwort ein.
- In den Importoptionen aktivieren sie zusätzlich das Feld „Schlüssel als exportierbar markieren“.
Software unter Microsoft Windows, die den zentralen Zertifikatsspeicher nutzt sind Google Chrome , Microsoft Edge / Outlook.
Apple iOS/iPadOS
Die Betriebssysteme Apple iOS & iPadOS speichern digitale Nutzerzertifikate und Zertifizierungsstellen an einer zentralen Stelle im Betriebssystem. Sie müssen daher ihr digitales Nutzerzertifikat auf das Gerät bringen, um es in diesem zentralen Zertifikatsspeicher abzuspeichern:
- Schicken Sie sich selbst und ausschließlich über das E-Mail-System der Jade Hochschule eine E-Mail, an der Sie ihr digitales Nutzerzertifikat anhängen.
- In der App „Mail“ öffnen Sie die empfangene E-Mail und tippen auf das angehangene Nutzerzertifikat. Das Betriebssystem bestätigt die Integration mit der Meldung „Profil geladen …“
- Wechseln Sie in Einstellungen → Allgemein → Profile
- Hier finden Sie ein neues Identitätszertifikat:
- Tippen Sie oben rechts auf „Installieren“ (die Aufforderung wird möglicherweise wiederholt)
- Geben Sie das unter „Ausstellung“ selbstgewählte Passwort ein und tippen auf „Weiter“
- Beenden Sie die Installation des neuen Profils durch tippen auf „Fertig“
Apple macOS
Das Betriebssystem Apple macOS speichert digitale Nutzerzertifikate und Zertifizierungsstellen an einer zentralen Stelle, der Schlüsselbundverwaltung. Importieren Sie daher ihr digitales Nutzerzertifikat in diesen zentralen Zertifikatsspeicher:
- Doppelklicken Sie auf die digitale Nutzerzertifikatsdatei
- Die Schlüsselbundverwaltung versucht den Systemschlüsselbund zu verändern, daher müssen Sie sich anmelden
- Verwenden Sie hier das Passwort ihres lokalen Apple Benutzers.
- Es erscheint die Abfrage des Passwortes für ihr digitales Nutzerzertifikat.
- Geben Sie das unter „Ausstellung“ selbstgewählte Passwort ein.
- Kontrolle: Ihr digitales Nutzerzertifikat erscheint in der Schlüsselbundverwaltung im Schlüsselbund „System“ und der Kategorie „Meine Zertifikate“
Google Android
Das Betriebssystem Google Android speichert digitale Nutzerzertifikate und Zertifizierungsstellen an einer zentralen Stelle im Betriebssystem. Sie müssen daher ihr digitales Nutzerzertifikat auf das Gerät bringen, um es in diesem zentralen Zertifikatsspeicher abzuspeichern:
- Schicken Sie sich selbst und ausschließlich über das E-Mail-System der Jade Hochschule eine E-Mail, an der Sie ihr digitales Nutzerzertifikat anhängen.
- Auf Ihrem Google Android Gerät öffnen Sie die empfangene E-Mail und speichern das angehangene Nutzerzertifikat im Dateisystem.
- Wechseln Sie in Einstellungen → Sicherheit → (Erweitert) → Verschlüsselung und Anmeldedaten
- Tippen Sie auf „Von SD-Karte installieren“ und zeigen auf die vorher gespeicherte Datei Ihres digitalen Nutzerzertifikates.
- Im Fenster „Zertifikat extrahieren“ geben Sie das unter „Ausstellung“ selbstgewählte Passwort ein und tippen auf „Weiter“
- Im Fenster „Zertifkat benennen“ geben Sie folgendes ein:
- Zertifikatname: DFN-PKI (Ihre E-Mail-Adresse)
- Verwendung der Anmeldedaten: VPN und Apps
- Beenden Sie die Installation durch Tippen auf OK.
Das installierte digitale Nutzerzertifikat finden Sie dann unter Einstellungen → Sicherheit → (Erweitert) → Verschlüsselung und Anmeldedaten → Nutzeranmeldedaten.
Linux
Linux speichert digitale Nutzerzertifikate und Zertifizierungsstellen an einer zentralen Stelle, die Anwendung „Passwörter und Verschlüsselung“ zeigt diese. Der Import ihres digitalen Nutzerzertifikat ist allerdings zur Zeit nicht möglich, d.h. das es nicht in diesem zentralen Zertifikatsspeicher gespeichert werden kann. Sie müssen daher ihr digitales Nutzerzertifikat in die jeweilige Anwendung (z.B. Evolution oder Firefox) importieren.
Nutzung
Nach der Integration der digitale Nutzerzertifikate können diese zur Erhöhung der Sicherheit in folgenden Diensten genutzt werden: