Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
wiki:zertifikate [2014/11/18 16:09] – wyneken | wiki:zertifikate [2016/07/01 14:51] – [Sicherheitsaspekte] wyneken |
---|
===== Schnittstelle ===== | ===== Schnittstelle ===== |
| |
| Zertifikate werden über eine Schnittstellenseite beantragt und verwaltet. In der Schnittstelle erfolgt die Navigierung erfolgt über die Kartenreiter: Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, wo man die eigentliche Aufgaben erledigen kann. |
| |
Die [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=1&RA_ID=0|Schnittstelle für Nutzer- und Administratoren-Zertifikate Freiburg]]. | * [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=1&RA_ID=0|Schnittstelle für Nutzer- und Administratoren-Zertifikate Freiburg]]. |
| |
Die Navigierung erfolgt über die Kartenreiter. Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, wo man die eigentliche Aufgaben erledigen kann. | Was kann man mit dieser Schnittstelle machen? Lesen Sie weiter auf dieser Seite! |
| ===== Zu erledigende Schritte ===== |
| |
====== Beantragung und Einrichtung auf dem eigenen PC ====== | Um ein Zertifikat einzusetzen muss man: |
| |
- [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=basic_csr;id=1;menu_item=1&RA_ID=0|Diese Seite]] ausfüllen und ausdrucken | * eine sogenannte [[Zertifizierungskette]] installieren. Mit Hilfe dieser Kette wird auf Ihrem PC bzw. Smartphone die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert. |
* vgl. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_beantragen|Details]] | * das Zertifikat [[Beantragung und Einrichtung auf dem eigenen PC|beantragen und auf dem eigenen PC einrichten]] |
- Termin mit Zertifizierungsstelle im RZ vereinbaren | |
- Mit Ausweis zum Termin im RZ gehen | |
- In dem Browser, wo man den Antrag ausgefüllt hat, das Link anschauen, das man per E-Mail zugeschickt bekam. | |
* vgl. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_installieren|Details]] | |
- Zertifikat in [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox_35|Firefox]] bzw. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer|MS Internet Explorer]] anzeigen lassen | |
- Zertifikat zwecks Archivierung abspeichern, aber auch zum Importieren in Thunderbird | |
* [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|Firefox]] | |
* [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer||MS Internet Explorer]] | |
- Thunderbird mit Zertifikat einrichten | |
* [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_importieren|Importieren]] | |
* [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_aktivieren|Aktivieren]] | |
| |
| <note important>Sicherheitsaspekte</note> |
| ===== Verschiedenes ===== |
| |
===== Zertifizierungskette ===== | ==== Eigene Zertifikate verwalten ==== |
| |
Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert. | * Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=search_cert;id=1;menu_item=4;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat suchen]]" kann man die eigenen Zertifikate ansehen. |
| |
Eventuell muss man auf dem eigenen PC [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=import_der_zertifikatskette|diese Zertifizierungskette noch installieren]] | * Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=revoke_req;id=1;menu_item=3;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat sperren]]" man ein Zertifikat sperren. |
| |
* Wurzelzertifikat **Deutschen Telekom Root CA 2** (i.d.R. installiert) | ==== Weitere Informationen ==== |
* Zwischenzertifikat **DFN-Verein PCA Global - G01** | |
* Zwischenzertifikat **Uni-FR CA - G02** | |
| |
| * Ausführliche Hintergrundsinformation zu Zertifikaten findet man [[https://www.rz.uni-freiburg.de/services/sicherheit/zertifikate#section-4|im RZ]] und im [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert|RZ Wiki]]. Im RZ-Wiki ist auch eine [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=tag:sicherheit#zertifikate|Übersicht über viele Seiten]], die mit Zertifikaten zu tun haben. |
| |
====== Andere Plattforme ====== | * Informationen [[http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift|bezüglich Verschlüsselung und digitaler Unterschrift]] mit Thunderbird. |
| |
| |
===== MacOS ===== | |
| |
Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link. Wenn man auf das Link klickt, wird das beantragte Zertifikat runtergeladen. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat. | |
| |
Auf einem Mac wird das Zertifikat im App "Keychain Access" gespeichert. | |
| |
==== Importieren ==== | |
| |
==== Exportieren ==== | |
| |
Man kann das Zertifikat als .p12-Datei exportieren, die von Thunderbird wiederum importiert werden kann. Die erzeugte Datei wird zur Sicherheit mit einem Passwort erstellt. | |
| |
===== iOS (iPhone) ===== | |
| |
===== alpine ===== | |
| |
Das Linux-Programm alpine kann mit Zertifikaten umgehen. | |
| |
* Signierte Nachricht an sich selbst schicken und mit alpine anschauen | |
* Der öffentliche Schlüssel wird in ~/.alpine-smime/public automatisch gespeichert | |
| |
* Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert | |
* Zuerst das Zertifikat in Firefox reinladen | |
* Dann [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|in Firefox das Zertifikat abspeichern]] | |
* Dann den privaten Schlüssel daraus generieren: | |
| |
# Die Datei ist ohne Passwort | |
openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes | |
# Die Datei ist mit Passwort | |
openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys | |
| |
* Die [[Zertifikatkette]] in ~/alpine-smime/ca/chain.crt speichern | |
| |
Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch "E" (zum Verschlüsseln) bzw. "G" (zum Signieren), bevor man mit "Y" die Nachricht endgültig wegschickt. | |
==== UID nicht gleich E-Mail-Adresse ==== | |
| |
Es gibt in alpine Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine "role" einrichten, vgl.: | |
| |
http://www.ii.com/internet/messaging/pine/changing_from/#role | |
| |
====== Verschiedenes ====== | |
| |
| |
===== Eigene Zertifikate verwalten ===== | |
| |
Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=search_cert;id=1;menu_item=4;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat suchen]]" kann man die eigenen Zertifikate ansehen. | |
| |
Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=revoke_req;id=1;menu_item=3;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat]]" man ein Zertifikat sperren. | |
| |
===== Weitere Informationen ===== | |
| |
Ausführliche Hintergrundsinformation zu Zertifikaten findet man [[https://www.rz.uni-freiburg.de/services/sicherheit/zertifikate#section-4|im RZ]], im RZ-Wiki [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert|RZ Wiki]]. Im RZ-Wiki ist auch eine [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=tag:sicherheit#zertifikate|Übersicht über viele Seiten]], die mit Zertifikaten zu tun haben. | |
| |
Informationen [[http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift|bezüglich Verschlüsselung und digitaler Unterschrift]] mit Thunderbird. | |