Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- wiki:zertifikate [2014/11/18 16:05] – wyneken
+++ wiki:zertifikate [2014/11/28 12:16] – [Zertifizierungskette] wyneken
@@ Zeile 5: / Zeile 5: @@
 Allerdings wirkt das Angebot überwältigend und die Beschreibungen zu kompliziert. Meistens will man einfach ganz schnell ein eigenes Zertifikat beantragen und einrichten, ohne viel Zeit dabei zu verlieren.
-Deswegen steht auf dieser Seite ein skizzenhafter Überblick, mit dem man hoffentlich schneller das erledigen kann, was man eigentlich erledigen will.
+Deswegen steht auf dieser Seite ein skizzenhafter Überblick, mit dem man hoffentlich schneller das erledigen kann, was man eigentlich erledigen will. Am besten verwendet man zur Navigation das Inhaltsverzeichnis oben rechts auf dieser Seite.
 ===== Schnittstelle =====
@@ Zeile 20: / Zeile 20: @@
   - Termin mit Zertifizierungsstelle im RZ vereinbaren
   - Mit Ausweis zum Termin im RZ gehen
-  - In dem Browser, wo man den Antrag ausgefüllt hat, das Link anschauen, das man per E-Mail zugeschickt bekam.
+  - In dem Browser, wo man den Antrag ausgefüllt hat, das per E-Mail zugeschickte Link anschauen und installieren.
       * vgl. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_installieren|Details]]
   - Zertifikat in [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox_35|Firefox]] bzw. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer|MS Internet Explorer]] anzeigen lassen
@@ Zeile 26: / Zeile 26: @@
       * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|Firefox]]
       * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer||MS Internet Explorer]]
-  - Thunderbird mit Zertifikat einrichten
+  - Thunderbird mit im letzten Schritt abgespeichertem Zertifikat einrichten, da Thunderbird und Firefox getrennte Zertifikatsverwaltung haben
       * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_importieren|Importieren]]
       * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_aktivieren|Aktivieren]]
+===== Zertifizierungskette =====
+Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert.
+Eventuell muss man auf dem eigenen PC [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=import_der_zertifikatskette|diese Zertifizierungskette noch installieren]]. Ganz einfach kann man das oft machen, indem man nacheinander auf folgenden Links klickt:
+  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_rootcert.crt|Wurzelzertifikat **Deutschen Telekom Root CA 2**]] (i.d.R. standardmäßig installiert)
+  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_intermediatecacert.crt|Zwischenzertifikat **DFN-Verein PCA Global - G01**]]
+  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_cacert.crt|Zwischenzertifikat **Uni-FR CA - G02**]]
 ====== Andere Plattforme ======
@@ Zeile 35: / Zeile 47: @@
 ===== MacOS =====
-Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link. Wenn man auf das Link klickt, wird das beantragte Zertifikat runtergeladen. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat.
+Wenn man das Zertifikat auf einem Mac beantragt hat, muss man das Zertifikat mit dem selben Browser installieren. Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link zugeschickt. Wenn man auf das Link klickt, wird das beantragte Zertifikat installiert. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat.
-Auf einem Mac wird das Zertifikat im App "Keychain Access" gespeichert.
+Auf dem Mac wird das Zertifikat dann im App "Keychain Access" gespeichert.
-==== Importieren ====
-==== Exportieren ====
+==== Aus Keychain Access Exportieren ====
 Man kann das Zertifikat als .p12-Datei exportieren, die von Thunderbird wiederum importiert werden kann. Die erzeugte Datei wird zur Sicherheit mit einem Passwort erstellt.
@@ Zeile 47: / Zeile 58: @@
 ===== iOS (iPhone) =====
+  * [[Zertifikatkette]] als Datei ''kette.crt'' abspeicher
+  * Diese Datei als E-Mail-Attachment an sich selbst schicken
+  * Am iPhone die Nachricht mit dem Attachment anschauen und auf das Attachment klicken
+    * Akzeptieren, dass die Zertifikate installiert werden
+  * Eigenes Zertifikat nach [[http://comodin.com/e-mail-verschluesseln-mit-smime-zertifikat-und-mail-ios.html|dieser Anleitung]] in iPhone installieren
+    * Zertifikat muss auf dem Mac (in ''Keychain Access'') installiert sein
+    * Zertifikat aus ''Keychain Access'' (zum Schutz mit Passwortangabe) als .p12-Datei exportieren
+    * .p12-Datei per E-Mail an sich selbst schicken
+    * In ''Mail'' aus iPhone auf das Attachment klicken und installieren
+    * Zertifikat zur aktiven Anwendung aktivieren
+      * ''Einstellungen -> Mail, Kontakte, Kalender -> <Mailaccount> -> Account -> Erweitert -> S/MIME -> on''
+      * Hier kann man auch festlegen, dass man beim Versand von E-Mail grundsätzlich signieren und/oder verschlüsseln möchte.
+    * Um an jemand verschlüsselte E-Mail zu schicken, soll er vorher einmal eine unterschriebene Nachricht schicken
+      * Auf dem blauen Icon hinter des Absenders Adress klicken
+      * Dort das Zertifikat (public key) installieren
+Jetzt könnte man z.B. an sich selbst eine signierte Nachricht schicken, damit man den eigenen öffentlichen Schlüssel installieren kann. Oder vielleicht wird das schon bei den obigen Schritten erledigt.
+Hier eine [[http://feinstruktur.com/blog/2011/12/12/using-smime-on-ios-devices.html|weitere detaillierte Anleitung]] aber auf Englisch.
 ===== alpine =====
 Das Linux-Programm alpine kann mit Zertifikaten umgehen.
-  * Signierte Nachricht an sich selbst schicken und mit alpine anschauen
+  - Signierte Nachricht an sich selbst schicken und mit alpine anschauen
     * Der öffentliche Schlüssel wird in ~/.alpine-smime/public automatisch gespeichert
+  - Die [[Zertifikatkette]] muss man in ~/alpine-smime/ca/chain.crt speichern
-  * Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert
+  - Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert:
-    * Zuerst das Zertifikat in Firefox reinladen
+    * Zuerst das Zertifikat in Firefox laden (siehen oben)
-    * Dann [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|in Firefox das Zertifikat abspeichern]]
+    * Dann [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|in Firefox das Zertifikat als p12-Datei abspeichern]]
     * Dann den privaten Schlüssel daraus generieren:
+      * openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes
+      * Hierfür braucht man zwei Passwörter:
+        * "Import Password", das man beim Exportien von Firefox festgelegt hat
+        * "PEM pass phrase", das man in Zukunft in alpine benutzen wird, wenn man eine Nachricht signiert
+    * Den erzeugten Schlüssel ''MyAddress@physik.uni-freiburg.de.key'' wird in ''~/.alpine-smime/private'' abgespeichert
-  # Die Datei ist ohne Passwort
+Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch "E" (zum Verschlüsseln) bzw. "G" (zum Signieren), bevor man mit "Y" die Nachricht endgültig wegschickt.
-  openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes
-  # Die Datei ist mit Passwort
-  openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys
-  * Die [[Zertifikatkette]] in ~/alpine-smime/ca/chain.crt speichern
+Anmerkung: Den öffentlichen Schlüssel haben wir oben auf einfacher Weise eingebaut. Man kann aber auch anhand des von Firefox exportierten Zertifikats die Datei mit dem öffentlichen Schlüssel kreieren:
-Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch "E" (zum Verschlüsseln) bzw. "G" (zum Signieren), bevor man mit "Y" die Nachricht endgültig wegschickt.
+  openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys
-==== UID nicht gleich E-Mail-Adresse ====
-Es gibt Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine "role" einrichten, vgl.:
-http://www.ii.com/internet/messaging/pine/changing_from/#role
-===== Zertifizierungskette =====
-Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert.
+==== UID nicht gleich E-Mail-Adresse ====
-Eventuell muss man auf dem eigenen PC [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=import_der_zertifikatskette|diese Zertifizierungskette noch installieren]]
+Es gibt in alpine Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine "role" einrichten, vgl.:
-  * Wurzelzertifikat **Deutschen Telekom Root CA 2** (i.d.R. installiert)
+http://www.ii.com/internet/messaging/pine/changing_from/#role
-  * Zwischenzertifikat **DFN-Verein PCA Global - G01**
-  * Zwischenzertifikat **Uni-FR CA - G02**
 ====== Verschiedenes ======

Zuletzt angesehen:

Unterschiede

Navigation

Suche

Werkzeuge

QR-Code