Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
wiki:zertifikate [2014/11/28 12:18] – [Zertifizierungskette] wynekenwiki:zertifikate [2016/06/28 15:17] – [Schnittstelle] wyneken
Zeile 9: Zeile 9:
 ===== Schnittstelle ===== ===== Schnittstelle =====
  
 +Zertifikate werden  über eine Schnittstellenseite beantragt und verwaltet. In der Schnittstelle erfolgt die Navigierung erfolgt über die Kartenreiter: Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, wo man die eigentliche Aufgaben erledigen kann.
  
-Die [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=1&RA_ID=0|Schnittstelle für Nutzer- und Administratoren-Zertifikate Freiburg]].+  * [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=1&RA_ID=0|Schnittstelle für Nutzer- und Administratoren-Zertifikate Freiburg]].
  
-Die Navigierung erfolgt über die Kartenreiter. Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, wo man die eigentliche Aufgaben erledigen kann.+Was kann man mit dieser Schnittstelle machen? Lesen Sie weiter auf dieser Seite! 
 +===== Überblick =====
  
-====== Beantragung und Einrichtung auf dem eigenen PC ======+  * [[Beantragung und Einrichtung auf dem eigenen PC]] 
 +  * [[Zertifizierungskette]] installieren (mit Hilfe dieser Kette wird auf Ihrem PC bzw. Smartphone die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert)
  
-  - [[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=basic_csr;id=1;menu_item=1&RA_ID=0|Diese Seite]] ausfüllen und ausdrucken +  * Andere Plattforme 
-    * vgl. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_beantragen|Details]] +    * [[MacOS]] 
-  - Termin mit Zertifizierungsstelle im RZ vereinbaren +    * [[iOS (iPhone)]] 
-  - Mit Ausweis zum Termin im RZ gehen +    * [[alpine (Linux)]]
-  - In dem Browser, wo man den Antrag ausgefüllt hat, das per E-Mail zugeschickte Link anschauen und installieren. +
-      vgl. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_installieren|Details]] +
-  - Zertifikat in [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox_35|Firefox]] bzw. [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer|MS Internet Explorer]] anzeigen lassen +
-  - Zertifikat zwecks Archivierung abspeichern, aber auch zum Importieren in Thunderbird +
-      * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|Firefox]] +
-      * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#microsoft_internet_explorer||MS Internet Explorer]] +
-  - Thunderbird mit im letzten Schritt abgespeichertem Zertifikat einrichten, da Thunderbird und Firefox getrennte Zertifikatsverwaltung haben +
-      * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_importieren|Importieren]] +
-      * [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#zertifikat_in_thunderbird_aktivieren|Aktivieren]]+
  
 +===== Verschiedenes =====
  
-===== Zertifizierungskette =====+==== Eigene Zertifikate verwalten ====
  
-Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert.+  * Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=search_cert;id=1;menu_item=4;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat suchen]]" kann man die eigenen Zertifikate ansehen.
  
-Eventuell muss man auf dem eigenen PC [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=import_der_zertifikatskette|diese Zertifizierungskette noch installieren]]. Ganz einfach kann man das oft machen, indem man nacheinander auf folgenden Links klickt:+  * Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=revoke_req;id=1;menu_item=3;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat sperren]]man ein Zertifikat sperren.
  
-  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_rootcert.crt|Wurzelzertifikat **Deutschen Telekom Root CA 2**]] (i.d.R. standardmäßig installiert) +==== Weitere Informationen ====
-  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_intermediatecacert.crt|Zwischenzertifikat **DFN-Verein PCA Global - G01**]] +
-  * [[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/g_cacert.crt|Zwischenzertifikat **Uni-FR CA - G02**]]+
  
-Wenn z.B. auf einem Mac hierbei Dateien runtergeladen werden, einfach darauf doppelklicken, um die Zertifikate zu installieren. +  * Ausführliche Hintergrundsinformation zu Zertifikaten findet man [[https://www.rz.uni-freiburg.de/services/sicherheit/zertifikate#section-4|im RZ]] und im [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert|RZ Wiki]]. Im RZ-Wiki ist auch eine [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=tag:sicherheit#zertifikate|Übersicht über viele Seiten]], die mit Zertifikaten zu tun haben.
- +
-====== Andere Plattforme ====== +
- +
- +
-===== MacOS ===== +
- +
-Wenn man das Zertifikat auf einem Mac beantragt hat, muss man das Zertifikat mit dem selben Browser installieren. Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link zugeschickt. Wenn man auf das Link klickt, wird das beantragte Zertifikat installiert. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat. +
- +
-Auf dem Mac wird das Zertifikat dann im App "Keychain Access" gespeichert. +
- +
- +
-==== Aus Keychain Access Exportieren ==== +
- +
-Man kann das Zertifikat als .p12-Datei exportieren, die von Thunderbird wiederum importiert werden kann. Die erzeugte Datei wird zur Sicherheit mit einem Passwort erstellt. +
- +
-===== iOS (iPhone) ===== +
- +
-  [[Zertifikatkette]] als Datei ''kette.crt'' abspeicher +
-  * Diese Datei als E-Mail-Attachment an sich selbst schicken +
-  * Am iPhone die Nachricht mit dem Attachment anschauen und auf das Attachment klicken +
-    * Akzeptieren, dass die Zertifikate installiert werden +
-  * Eigenes Zertifikat nach [[http://comodin.com/e-mail-verschluesseln-mit-smime-zertifikat-und-mail-ios.html|dieser Anleitung]] in iPhone installieren +
-    * Zertifikat muss auf dem Mac (in ''Keychain Access'') installiert sein +
-    * Zertifikat aus ''Keychain Access'' (zum Schutz mit Passwortangabe) als .p12-Datei exportieren +
-    * .p12-Datei per E-Mail an sich selbst schicken +
-    * In ''Mail'' aus iPhone auf das Attachment klicken und installieren +
-    * Zertifikat zur aktiven Anwendung aktivieren +
-      * ''Einstellungen -> Mail, Kontakte, Kalender -> <Mailaccount> -> Account -> Erweitert -> S/MIME -> on'' +
-      * Hier kann man auch festlegen, dass man beim Versand von E-Mail grundsätzlich signieren und/oder verschlüsseln möchte. +
-    * Um an jemand verschlüsselte E-Mail zu schicken, soll er vorher einmal eine unterschriebene Nachricht schicken +
-      * Auf dem blauen Icon hinter des Absenders Adress klicken +
-      * Dort das Zertifikat (public key) installieren +
- +
-Jetzt könnte man z.B. an sich selbst eine signierte Nachricht schicken, damit man den eigenen öffentlichen Schlüssel installieren kann. Oder vielleicht wird das schon bei den obigen Schritten erledigt. +
- +
-Hier eine [[http://feinstruktur.com/blog/2011/12/12/using-smime-on-ios-devices.html|weitere detaillierte Anleitung]] aber auf Englisch. +
-===== alpine ===== +
- +
-Das Linux-Programm alpine kann mit Zertifikaten umgehen. +
- +
-  - Signierte Nachricht an sich selbst schicken und mit alpine anschauen +
-    * Der öffentliche Schlüssel wird in ~/.alpine-smime/public automatisch gespeichert +
-  - Die [[Zertifikatkette]] muss man in ~/alpine-smime/ca/chain.crt speichern +
-  - Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert: +
-    * Zuerst das Zertifikat in Firefox laden (siehen oben) +
-    * Dann [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert#mozilla_firefox|in Firefox das Zertifikat als p12-Datei abspeichern]] +
-    * Dann den privaten Schlüssel daraus generieren: +
-      * openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes +
-      * Hierfür braucht man zwei Passwörter: +
-        * "Import Password", das man beim Exportien von Firefox festgelegt hat +
-        * "PEM pass phrase", das man in Zukunft in alpine benutzen wird, wenn man eine Nachricht signiert +
-    * Den erzeugten Schlüssel ''MyAddress@physik.uni-freiburg.de.key'' wird in ''~/.alpine-smime/private'' abgespeichert +
- +
-Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch "E" (zum Verschlüsseln) bzw. "G" (zum Signieren), bevor man mit "Y" die Nachricht endgültig wegschickt. +
- +
-Anmerkung: Den öffentlichen Schlüssel haben wir oben auf einfacher Weise eingebaut. Man kann aber auch anhand des von Firefox exportierten Zertifikats die Datei mit dem öffentlichen Schlüssel kreieren: +
- +
-  openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys +
- +
- +
- +
-==== UID nicht gleich E-Mail-Adresse ==== +
- +
-Es gibt in alpine Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine "role" einrichten, vgl.: +
- +
-http://www.ii.com/internet/messaging/pine/changing_from/#role +
- +
-====== Verschiedenes ====== +
- +
- +
-===== Eigene Zertifikate verwalten ===== +
- +
-Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=search_cert;id=1;menu_item=4;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat suchen]]" kann man die eigenen Zertifikate ansehen. +
- +
-Mit "[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=revoke_req;id=1;menu_item=3;XSEC=38083aba972bfac47aa42fd83627b10404009dbfd52f1817af81e8fc6f69b2d4&RA_ID=0|Zertifikat]]" man ein Zertifikat sperren. +
- +
-===== Weitere Informationen ===== +
- +
-Ausführliche Hintergrundsinformation zu Zertifikaten findet man [[https://www.rz.uni-freiburg.de/services/sicherheit/zertifikate#section-4|im RZ]]im RZ-Wiki [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=usercert|RZ Wiki]]. Im RZ-Wiki ist auch eine [[https://www.wiki.uni-freiburg.de/rz/doku.php?id=tag:sicherheit#zertifikate|Übersicht über viele Seiten]], die mit Zertifikaten zu tun haben+
- +
-Informationen [[http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift|bezüglich Verschlüsselung und digitaler Unterschrift]] mit Thunderbird.+
  
 +  * Informationen [[http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift|bezüglich Verschlüsselung und digitaler Unterschrift]] mit Thunderbird.

Zuletzt angesehen:

QR-Code
QR-Code Zertifikate (erstellt für aktuelle Seite)