Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
wiki:zertifikate [2014/11/28 12:16] – [Zertifizierungskette] wyneken | wiki:zertifikate [2016/07/01 14:50] – [:!: Sicherheitsaspekte] wyneken |
---|
===== Schnittstelle ===== | ===== Schnittstelle ===== |
| |
| Zertifikate werden über eine Schnittstellenseite beantragt und verwaltet. In der Schnittstelle erfolgt die Navigierung erfolgt über die Kartenreiter: Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, wo man die eigentliche Aufgaben erledigen kann. |
| |
Die [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=1&RA_ID=0|Schnittstelle für Nutzer- und Administratoren-Zertifikate Freiburg]]. | * [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=1&RA_ID=0|Schnittstelle für Nutzer- und Administratoren-Zertifikate Freiburg]]. |
| |
Die Navigierung erfolgt über die Kartenreiter. Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, wo man die eigentliche Aufgaben erledigen kann. | Was kann man mit dieser Schnittstelle machen? Lesen Sie weiter auf dieser Seite! |
| ===== Zu erledigende Schritte ===== |
| |
====== Beantragung und Einrichtung auf dem eigenen PC ====== | Um ein Zertifikat einzusetzen muss man: |
| |
- [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=basic_csr;id=1;menu_item=1&RA_ID=0|Diese Seite]] ausfüllen und ausdrucken | * eine sogenannte [[Zertifizierungskette]] installieren. Mit Hilfe dieser Kette wird auf Ihrem PC bzw. Smartphone die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert. |
* vgl. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_beantragen|Details]] | * das Zertifikat [[Beantragung und Einrichtung auf dem eigenen PC|beantragen und auf dem eigenen PC einrichten]] |
- Termin mit Zertifizierungsstelle im RZ vereinbaren | |
- Mit Ausweis zum Termin im RZ gehen | |
- In dem Browser, wo man den Antrag ausgefüllt hat, das per E-Mail zugeschickte Link anschauen und installieren. | |
* vgl. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_installieren|Details]] | |
- Zertifikat in [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox_35|Firefox]] bzw. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer|MS Internet Explorer]] anzeigen lassen | |
- Zertifikat zwecks Archivierung abspeichern, aber auch zum Importieren in Thunderbird | |
* [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|Firefox]] | |
* [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer||MS Internet Explorer]] | |
- Thunderbird mit im letzten Schritt abgespeichertem Zertifikat einrichten, da Thunderbird und Firefox getrennte Zertifikatsverwaltung haben | |
* [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_importieren|Importieren]] | |
* [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_aktivieren|Aktivieren]] | |
| |
| ===== Sicherheitsaspekte ===== |
| |
===== Zertifizierungskette ===== | :!: |
| |
Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert. | <note important>Sicherheitsaspekte</note> |
| ===== Verschiedenes ===== |
| |
Eventuell muss man auf dem eigenen PC [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=import_der_zertifikatskette|diese Zertifizierungskette noch installieren]]. Ganz einfach kann man das oft machen, indem man nacheinander auf folgenden Links klickt: | ==== Eigene Zertifikate verwalten ==== |
| |
* [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_rootcert.crt|Wurzelzertifikat **Deutschen Telekom Root CA 2**]] (i.d.R. standardmäßig installiert) | * Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=search_cert;id=1;menu_item=4;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat suchen]]" kann man die eigenen Zertifikate ansehen. |
* [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_intermediatecacert.crt|Zwischenzertifikat **DFN-Verein PCA Global - G01**]] | |
* [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_cacert.crt|Zwischenzertifikat **Uni-FR CA - G02**]] | |
| |
| * Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=revoke_req;id=1;menu_item=3;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat sperren]]" man ein Zertifikat sperren. |
| |
====== Andere Plattforme ====== | ==== Weitere Informationen ==== |
| |
| * Ausführliche Hintergrundsinformation zu Zertifikaten findet man [[https://www.rz.uni-freiburg.de/services/sicherheit/zertifikate#section-4|im RZ]] und im [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert|RZ Wiki]]. Im RZ-Wiki ist auch eine [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=tag:sicherheit#zertifikate|Übersicht über viele Seiten]], die mit Zertifikaten zu tun haben. |
| |
===== MacOS ===== | * Informationen [[http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift|bezüglich Verschlüsselung und digitaler Unterschrift]] mit Thunderbird. |
| |
Wenn man das Zertifikat auf einem Mac beantragt hat, muss man das Zertifikat mit dem selben Browser installieren. Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link zugeschickt. Wenn man auf das Link klickt, wird das beantragte Zertifikat installiert. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat. | |
| |
Auf dem Mac wird das Zertifikat dann im App "Keychain Access" gespeichert. | |
| |
| |
==== Aus Keychain Access Exportieren ==== | |
| |
Man kann das Zertifikat als .p12-Datei exportieren, die von Thunderbird wiederum importiert werden kann. Die erzeugte Datei wird zur Sicherheit mit einem Passwort erstellt. | |
| |
===== iOS (iPhone) ===== | |
| |
* [[Zertifikatkette]] als Datei ''kette.crt'' abspeicher | |
* Diese Datei als E-Mail-Attachment an sich selbst schicken | |
* Am iPhone die Nachricht mit dem Attachment anschauen und auf das Attachment klicken | |
* Akzeptieren, dass die Zertifikate installiert werden | |
* Eigenes Zertifikat nach [[http://comodin.com/e-mail-verschluesseln-mit-smime-zertifikat-und-mail-ios.html|dieser Anleitung]] in iPhone installieren | |
* Zertifikat muss auf dem Mac (in ''Keychain Access'') installiert sein | |
* Zertifikat aus ''Keychain Access'' (zum Schutz mit Passwortangabe) als .p12-Datei exportieren | |
* .p12-Datei per E-Mail an sich selbst schicken | |
* In ''Mail'' aus iPhone auf das Attachment klicken und installieren | |
* Zertifikat zur aktiven Anwendung aktivieren | |
* ''Einstellungen -> Mail, Kontakte, Kalender -> <Mailaccount> -> Account -> Erweitert -> S/MIME -> on'' | |
* Hier kann man auch festlegen, dass man beim Versand von E-Mail grundsätzlich signieren und/oder verschlüsseln möchte. | |
* Um an jemand verschlüsselte E-Mail zu schicken, soll er vorher einmal eine unterschriebene Nachricht schicken | |
* Auf dem blauen Icon hinter des Absenders Adress klicken | |
* Dort das Zertifikat (public key) installieren | |
| |
Jetzt könnte man z.B. an sich selbst eine signierte Nachricht schicken, damit man den eigenen öffentlichen Schlüssel installieren kann. Oder vielleicht wird das schon bei den obigen Schritten erledigt. | |
| |
Hier eine [[http://feinstruktur.com/blog/2011/12/12/using-smime-on-ios-devices.html|weitere detaillierte Anleitung]] aber auf Englisch. | |
===== alpine ===== | |
| |
Das Linux-Programm alpine kann mit Zertifikaten umgehen. | |
| |
- Signierte Nachricht an sich selbst schicken und mit alpine anschauen | |
* Der öffentliche Schlüssel wird in ~/.alpine-smime/public automatisch gespeichert | |
- Die [[Zertifikatkette]] muss man in ~/alpine-smime/ca/chain.crt speichern | |
- Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert: | |
* Zuerst das Zertifikat in Firefox laden (siehen oben) | |
* Dann [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|in Firefox das Zertifikat als p12-Datei abspeichern]] | |
* Dann den privaten Schlüssel daraus generieren: | |
* openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes | |
* Hierfür braucht man zwei Passwörter: | |
* "Import Password", das man beim Exportien von Firefox festgelegt hat | |
* "PEM pass phrase", das man in Zukunft in alpine benutzen wird, wenn man eine Nachricht signiert | |
* Den erzeugten Schlüssel ''MyAddress@physik.uni-freiburg.de.key'' wird in ''~/.alpine-smime/private'' abgespeichert | |
| |
Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch "E" (zum Verschlüsseln) bzw. "G" (zum Signieren), bevor man mit "Y" die Nachricht endgültig wegschickt. | |
| |
Anmerkung: Den öffentlichen Schlüssel haben wir oben auf einfacher Weise eingebaut. Man kann aber auch anhand des von Firefox exportierten Zertifikats die Datei mit dem öffentlichen Schlüssel kreieren: | |
| |
openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys | |
| |
| |
| |
==== UID nicht gleich E-Mail-Adresse ==== | |
| |
Es gibt in alpine Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine "role" einrichten, vgl.: | |
| |
http://www.ii.com/internet/messaging/pine/changing_from/#role | |
| |
====== Verschiedenes ====== | |
| |
| |
===== Eigene Zertifikate verwalten ===== | |
| |
Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=search_cert;id=1;menu_item=4;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat suchen]]" kann man die eigenen Zertifikate ansehen. | |
| |
Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=revoke_req;id=1;menu_item=3;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat]]" man ein Zertifikat sperren. | |
| |
===== Weitere Informationen ===== | |
| |
Ausführliche Hintergrundsinformation zu Zertifikaten findet man [[https://www.rz.uni-freiburg.de/services/sicherheit/zertifikate#section-4|im RZ]], im RZ-Wiki [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert|RZ Wiki]]. Im RZ-Wiki ist auch eine [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=tag:sicherheit#zertifikate|Übersicht über viele Seiten]], die mit Zertifikaten zu tun haben. | |
| |
Informationen [[http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift|bezüglich Verschlüsselung und digitaler Unterschrift]] mit Thunderbird. | |