Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
wiki:zertifikate [2014/11/18 15:13] – [alpine] wyneken | wiki:zertifikate [2014/11/28 12:16] – [Zertifizierungskette] wyneken | ||
---|---|---|---|
Zeile 5: | Zeile 5: | ||
Allerdings wirkt das Angebot überwältigend und die Beschreibungen zu kompliziert. Meistens will man einfach ganz schnell ein eigenes Zertifikat beantragen und einrichten, ohne viel Zeit dabei zu verlieren. | Allerdings wirkt das Angebot überwältigend und die Beschreibungen zu kompliziert. Meistens will man einfach ganz schnell ein eigenes Zertifikat beantragen und einrichten, ohne viel Zeit dabei zu verlieren. | ||
- | Deswegen steht auf dieser Seite ein skizzenhafter Überblick, mit dem man hoffentlich schneller das erledigen kann, was man eigentlich erledigen will. | + | Deswegen steht auf dieser Seite ein skizzenhafter Überblick, mit dem man hoffentlich schneller das erledigen kann, was man eigentlich erledigen will. Am besten verwendet man zur Navigation das Inhaltsverzeichnis oben rechts auf dieser Seite. |
===== Schnittstelle ===== | ===== Schnittstelle ===== | ||
Zeile 14: | Zeile 14: | ||
Die Navigierung erfolgt über die Kartenreiter. Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, | Die Navigierung erfolgt über die Kartenreiter. Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, | ||
- | ===== Beantragung und Einrichtung auf dem eigenen PC ===== | + | ====== Beantragung und Einrichtung auf dem eigenen PC ====== |
- [[https:// | - [[https:// | ||
Zeile 20: | Zeile 20: | ||
- Termin mit Zertifizierungsstelle im RZ vereinbaren | - Termin mit Zertifizierungsstelle im RZ vereinbaren | ||
- Mit Ausweis zum Termin im RZ gehen | - Mit Ausweis zum Termin im RZ gehen | ||
- | - In dem Browser, wo man den Antrag ausgefüllt hat, das Link anschauen, das man per E-Mail | + | - In dem Browser, wo man den Antrag ausgefüllt hat, das per E-Mail |
* vgl. [[https:// | * vgl. [[https:// | ||
- Zertifikat in [[https:// | - Zertifikat in [[https:// | ||
Zeile 26: | Zeile 26: | ||
* [[https:// | * [[https:// | ||
* [[https:// | * [[https:// | ||
- | - Thunderbird mit Zertifikat einrichten | + | - Thunderbird mit im letzten Schritt abgespeichertem |
* [[https:// | * [[https:// | ||
* [[https:// | * [[https:// | ||
+ | |||
+ | |||
+ | ===== Zertifizierungskette ===== | ||
+ | |||
+ | Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert. | ||
+ | |||
+ | Eventuell muss man auf dem eigenen PC [[https:// | ||
+ | |||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | |||
+ | |||
+ | ====== Andere Plattforme ====== | ||
+ | |||
===== MacOS ===== | ===== MacOS ===== | ||
- | Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link. Wenn man auf das Link klickt, wird das beantragte Zertifikat | + | Wenn man das Zertifikat auf einem Mac beantragt hat, muss man das Zertifikat mit dem selben Browser installieren. |
- | Auf einem Mac wird das Zertifikat im App " | + | Auf dem Mac wird das Zertifikat |
- | ==== Importieren ==== | ||
- | ==== Exportieren ==== | + | ==== Aus Keychain Access |
Man kann das Zertifikat als .p12-Datei exportieren, | Man kann das Zertifikat als .p12-Datei exportieren, | ||
Zeile 44: | Zeile 58: | ||
===== iOS (iPhone) ===== | ===== iOS (iPhone) ===== | ||
+ | * [[Zertifikatkette]] als Datei '' | ||
+ | * Diese Datei als E-Mail-Attachment an sich selbst schicken | ||
+ | * Am iPhone die Nachricht mit dem Attachment anschauen und auf das Attachment klicken | ||
+ | * Akzeptieren, | ||
+ | * Eigenes Zertifikat nach [[http:// | ||
+ | * Zertifikat muss auf dem Mac (in '' | ||
+ | * Zertifikat aus '' | ||
+ | * .p12-Datei per E-Mail an sich selbst schicken | ||
+ | * In '' | ||
+ | * Zertifikat zur aktiven Anwendung aktivieren | ||
+ | * '' | ||
+ | * Hier kann man auch festlegen, dass man beim Versand von E-Mail grundsätzlich signieren und/oder verschlüsseln möchte. | ||
+ | * Um an jemand verschlüsselte E-Mail zu schicken, soll er vorher einmal eine unterschriebene Nachricht schicken | ||
+ | * Auf dem blauen Icon hinter des Absenders Adress klicken | ||
+ | * Dort das Zertifikat (public key) installieren | ||
+ | |||
+ | Jetzt könnte man z.B. an sich selbst eine signierte Nachricht schicken, damit man den eigenen öffentlichen Schlüssel installieren kann. Oder vielleicht wird das schon bei den obigen Schritten erledigt. | ||
+ | |||
+ | Hier eine [[http:// | ||
===== alpine ===== | ===== alpine ===== | ||
Das Linux-Programm alpine kann mit Zertifikaten umgehen. | Das Linux-Programm alpine kann mit Zertifikaten umgehen. | ||
- | | + | |
* Der öffentliche Schlüssel wird in ~/ | * Der öffentliche Schlüssel wird in ~/ | ||
+ | - Die [[Zertifikatkette]] muss man in ~/ | ||
+ | - Den privaten Schlüssel wird in ~/ | ||
+ | * Zuerst das Zertifikat in Firefox laden (siehen oben) | ||
+ | * Dann [[https:// | ||
+ | * Dann den privaten Schlüssel daraus generieren: | ||
+ | * openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes | ||
+ | * Hierfür braucht man zwei Passwörter: | ||
+ | * " | ||
+ | * "PEM pass phrase", | ||
+ | * Den erzeugten Schlüssel '' | ||
- | * Den privaten | + | Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch " |
- | * Zuerst das Zertifikat in Firefox | + | |
- | * Dann in Firefox das Zertifikat abspeichern | + | Anmerkung: |
- | * Dann den Schlüssel | + | |
- | # Die Datei ist ohne Passwort | ||
- | openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes | ||
- | # Die Datei ist mit Passwort | ||
openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys | openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys | ||
- | Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch " | ||
- | ===== Zertifizierungskette ===== | ||
- | Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert. | ||
- | Eventuell muss man auf dem eigenen PC [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=import_der_zertifikatskette|diese Zertifizierungskette noch installieren]] | + | ==== UID nicht gleich E-Mail-Adresse ==== |
+ | |||
+ | Es gibt in alpine Probleme, falls die User-ID | ||
+ | |||
+ | http://www.ii.com/internet/messaging/ | ||
+ | |||
+ | ====== Verschiedenes ====== | ||
- | * Wurzelzertifikat **Deutschen Telekom Root CA 2** (i.d.R. installiert) | ||
- | * Zwischenzertifikat **DFN-Verein PCA Global - G01** | ||
- | * Zwischenzertifikat **Uni-FR CA - G02** | ||
===== Eigene Zertifikate verwalten ===== | ===== Eigene Zertifikate verwalten ===== |