Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- wiki:zertifikate [2014/11/18 16:07] – [Zertifikate] wyneken
+++ wiki:zertifikate [2014/11/28 12:18] – [Zertifizierungskette] wyneken
@@ Zeile 20: / Zeile 20: @@
   - Termin mit Zertifizierungsstelle im RZ vereinbaren
   - Mit Ausweis zum Termin im RZ gehen
-  - In dem Browser, wo man den Antrag ausgefüllt hat, das Link anschauen, das man per E-Mail zugeschickt bekam.
+  - In dem Browser, wo man den Antrag ausgefüllt hat, das per E-Mail zugeschickte Link anschauen und installieren.
       * vgl. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_installieren|Details]]
   - Zertifikat in [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox_35|Firefox]] bzw. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer|MS Internet Explorer]] anzeigen lassen
@@ Zeile 26: / Zeile 26: @@
       * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|Firefox]]
       * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer||MS Internet Explorer]]
-  - Thunderbird mit Zertifikat einrichten
+  - Thunderbird mit im letzten Schritt abgespeichertem Zertifikat einrichten, da Thunderbird und Firefox getrennte Zertifikatsverwaltung haben
       * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_importieren|Importieren]]
       * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_aktivieren|Aktivieren]]
+===== Zertifizierungskette =====
+Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert.
+Eventuell muss man auf dem eigenen PC [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=import_der_zertifikatskette|diese Zertifizierungskette noch installieren]]. Ganz einfach kann man das oft machen, indem man nacheinander auf folgenden Links klickt:
+  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_rootcert.crt|Wurzelzertifikat **Deutschen Telekom Root CA 2**]] (i.d.R. standardmäßig installiert)
+  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_intermediatecacert.crt|Zwischenzertifikat **DFN-Verein PCA Global - G01**]]
+  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_cacert.crt|Zwischenzertifikat **Uni-FR CA - G02**]]
+Wenn z.B. auf einem Mac hierbei Dateien runtergeladen werden, einfach darauf doppelklicken, um die Zertifikate zu installieren.
 ====== Andere Plattforme ======
@@ Zeile 35: / Zeile 48: @@
 ===== MacOS =====
-Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link. Wenn man auf das Link klickt, wird das beantragte Zertifikat runtergeladen. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat.
+Wenn man das Zertifikat auf einem Mac beantragt hat, muss man das Zertifikat mit dem selben Browser installieren. Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link zugeschickt. Wenn man auf das Link klickt, wird das beantragte Zertifikat installiert. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat.
-Auf einem Mac wird das Zertifikat im App "Keychain Access" gespeichert.
+Auf dem Mac wird das Zertifikat dann im App "Keychain Access" gespeichert.
-==== Importieren ====
-==== Exportieren ====
+==== Aus Keychain Access Exportieren ====
 Man kann das Zertifikat als .p12-Datei exportieren, die von Thunderbird wiederum importiert werden kann. Die erzeugte Datei wird zur Sicherheit mit einem Passwort erstellt.
@@ Zeile 47: / Zeile 59: @@
 ===== iOS (iPhone) =====
+  * [[Zertifikatkette]] als Datei ''kette.crt'' abspeicher
+  * Diese Datei als E-Mail-Attachment an sich selbst schicken
+  * Am iPhone die Nachricht mit dem Attachment anschauen und auf das Attachment klicken
+    * Akzeptieren, dass die Zertifikate installiert werden
+  * Eigenes Zertifikat nach [[http://comodin.com/e-mail-verschluesseln-mit-smime-zertifikat-und-mail-ios.html|dieser Anleitung]] in iPhone installieren
+    * Zertifikat muss auf dem Mac (in ''Keychain Access'') installiert sein
+    * Zertifikat aus ''Keychain Access'' (zum Schutz mit Passwortangabe) als .p12-Datei exportieren
+    * .p12-Datei per E-Mail an sich selbst schicken
+    * In ''Mail'' aus iPhone auf das Attachment klicken und installieren
+    * Zertifikat zur aktiven Anwendung aktivieren
+      * ''Einstellungen -> Mail, Kontakte, Kalender -> <Mailaccount> -> Account -> Erweitert -> S/MIME -> on''
+      * Hier kann man auch festlegen, dass man beim Versand von E-Mail grundsätzlich signieren und/oder verschlüsseln möchte.
+    * Um an jemand verschlüsselte E-Mail zu schicken, soll er vorher einmal eine unterschriebene Nachricht schicken
+      * Auf dem blauen Icon hinter des Absenders Adress klicken
+      * Dort das Zertifikat (public key) installieren
+Jetzt könnte man z.B. an sich selbst eine signierte Nachricht schicken, damit man den eigenen öffentlichen Schlüssel installieren kann. Oder vielleicht wird das schon bei den obigen Schritten erledigt.
+Hier eine [[http://feinstruktur.com/blog/2011/12/12/using-smime-on-ios-devices.html|weitere detaillierte Anleitung]] aber auf Englisch.
 ===== alpine =====
 Das Linux-Programm alpine kann mit Zertifikaten umgehen.
-  * Signierte Nachricht an sich selbst schicken und mit alpine anschauen
+  - Signierte Nachricht an sich selbst schicken und mit alpine anschauen
     * Der öffentliche Schlüssel wird in ~/.alpine-smime/public automatisch gespeichert
+  - Die [[Zertifikatkette]] muss man in ~/alpine-smime/ca/chain.crt speichern
-  * Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert
+  - Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert:
-    * Zuerst das Zertifikat in Firefox reinladen
+    * Zuerst das Zertifikat in Firefox laden (siehen oben)
-    * Dann [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|in Firefox das Zertifikat abspeichern]]
+    * Dann [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|in Firefox das Zertifikat als p12-Datei abspeichern]]
     * Dann den privaten Schlüssel daraus generieren:
+      * openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes
+      * Hierfür braucht man zwei Passwörter:
+        * "Import Password", das man beim Exportien von Firefox festgelegt hat
+        * "PEM pass phrase", das man in Zukunft in alpine benutzen wird, wenn man eine Nachricht signiert
+    * Den erzeugten Schlüssel ''MyAddress@physik.uni-freiburg.de.key'' wird in ''~/.alpine-smime/private'' abgespeichert
-  # Die Datei ist ohne Passwort
+Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch "E" (zum Verschlüsseln) bzw. "G" (zum Signieren), bevor man mit "Y" die Nachricht endgültig wegschickt.
-  openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes
-  # Die Datei ist mit Passwort
-  openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys
-  * Die [[Zertifikatkette]] in ~/alpine-smime/ca/chain.crt speichern
+Anmerkung: Den öffentlichen Schlüssel haben wir oben auf einfacher Weise eingebaut. Man kann aber auch anhand des von Firefox exportierten Zertifikats die Datei mit dem öffentlichen Schlüssel kreieren:
-Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch "E" (zum Verschlüsseln) bzw. "G" (zum Signieren), bevor man mit "Y" die Nachricht endgültig wegschickt.
+  openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys
-==== UID nicht gleich E-Mail-Adresse ====
-Es gibt Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine "role" einrichten, vgl.:
-http://www.ii.com/internet/messaging/pine/changing_from/#role
-===== Zertifizierungskette =====
-Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert.
+==== UID nicht gleich E-Mail-Adresse ====
-Eventuell muss man auf dem eigenen PC [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=import_der_zertifikatskette|diese Zertifizierungskette noch installieren]]
+Es gibt in alpine Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine "role" einrichten, vgl.:
-  * Wurzelzertifikat **Deutschen Telekom Root CA 2** (i.d.R. installiert)
+http://www.ii.com/internet/messaging/pine/changing_from/#role
-  * Zwischenzertifikat **DFN-Verein PCA Global - G01**
-  * Zwischenzertifikat **Uni-FR CA - G02**
 ====== Verschiedenes ======

Zuletzt angesehen:

Unterschiede

Navigation

Suche

Werkzeuge

QR-Code