Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
wiki:zertifikate [2014/11/28 12:18] – [Zertifizierungskette] wyneken | wiki:zertifikate [2016/07/20 11:01] – [Überschrift] wyneken | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Zertifikate ====== | ====== Zertifikate ====== | ||
- | Das RZ bietet viele Informationen zu den Zertifikaten - vgl. [[https:// | + | Das RZ bietet viele Informationen zu den Zertifikaten - vgl. [[https:// |
- | + | ||
- | Allerdings wirkt das Angebot überwältigend und die Beschreibungen zu kompliziert. Meistens will man einfach ganz schnell ein eigenes Zertifikat beantragen und einrichten, ohne viel Zeit dabei zu verlieren. | + | |
- | + | ||
- | Deswegen steht auf dieser Seite ein skizzenhafter Überblick, mit dem man hoffentlich schneller das erledigen kann, was man eigentlich erledigen will. Am besten verwendet man zur Navigation das Inhaltsverzeichnis oben rechts auf dieser Seite. | + | |
+ | Deswegen steht auf dieser Seite ein skizzenhafter Überblick, mit dem man hoffentlich schneller nur das erledigen kann, was man eigentlich erledigen will. | ||
===== Schnittstelle ===== | ===== Schnittstelle ===== | ||
+ | Zertifikate werden | ||
- | Die [[https:// | + | * [[https:// |
- | + | ||
- | Die Navigierung erfolgt über die Kartenreiter. Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, | + | |
- | + | ||
- | ====== Beantragung und Einrichtung auf dem eigenen PC ====== | + | |
- | + | ||
- | - [[https:// | + | |
- | * vgl. [[https:// | + | |
- | - Termin mit Zertifizierungsstelle im RZ vereinbaren | + | |
- | - Mit Ausweis zum Termin im RZ gehen | + | |
- | - In dem Browser, wo man den Antrag ausgefüllt hat, das per E-Mail zugeschickte Link anschauen und installieren. | + | |
- | * vgl. [[https:// | + | |
- | - Zertifikat in [[https:// | + | |
- | - Zertifikat zwecks Archivierung abspeichern, | + | |
- | * [[https:// | + | |
- | * [[https:// | + | |
- | - Thunderbird mit im letzten Schritt abgespeichertem Zertifikat einrichten, da Thunderbird und Firefox getrennte Zertifikatsverwaltung haben | + | |
- | * [[https:// | + | |
- | * [[https:// | + | |
- | + | ||
- | + | ||
- | ===== Zertifizierungskette ===== | + | |
- | + | ||
- | Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert. | + | |
- | + | ||
- | Eventuell muss man auf dem eigenen PC [[https:// | + | |
- | + | ||
- | * [[https:// | + | |
- | * [[https:// | + | |
- | * [[https:// | + | |
- | + | ||
- | Wenn z.B. auf einem Mac hierbei Dateien runtergeladen werden, einfach darauf doppelklicken, | + | |
- | + | ||
- | ====== Andere Plattforme ====== | + | |
- | + | ||
- | + | ||
- | ===== MacOS ===== | + | |
- | + | ||
- | Wenn man das Zertifikat auf einem Mac beantragt hat, muss man das Zertifikat mit dem selben Browser installieren. Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link zugeschickt. Wenn man auf das Link klickt, wird das beantragte Zertifikat installiert. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat. | + | |
- | + | ||
- | Auf dem Mac wird das Zertifikat dann im App " | + | |
- | + | ||
- | + | ||
- | ==== Aus Keychain Access Exportieren ==== | + | |
- | + | ||
- | Man kann das Zertifikat als .p12-Datei exportieren, | + | |
- | + | ||
- | ===== iOS (iPhone) ===== | + | |
- | + | ||
- | * [[Zertifikatkette]] als Datei '' | + | |
- | * Diese Datei als E-Mail-Attachment an sich selbst schicken | + | |
- | * Am iPhone die Nachricht mit dem Attachment anschauen und auf das Attachment klicken | + | |
- | * Akzeptieren, | + | |
- | * Eigenes Zertifikat nach [[http:// | + | |
- | * Zertifikat muss auf dem Mac (in '' | + | |
- | * Zertifikat aus '' | + | |
- | * .p12-Datei per E-Mail an sich selbst schicken | + | |
- | * In '' | + | |
- | * Zertifikat zur aktiven Anwendung aktivieren | + | |
- | * '' | + | |
- | * Hier kann man auch festlegen, dass man beim Versand von E-Mail grundsätzlich signieren und/oder verschlüsseln möchte. | + | |
- | * Um an jemand verschlüsselte E-Mail zu schicken, soll er vorher einmal eine unterschriebene Nachricht schicken | + | |
- | * Auf dem blauen Icon hinter des Absenders Adress klicken | + | |
- | * Dort das Zertifikat (public key) installieren | + | |
- | + | ||
- | Jetzt könnte man z.B. an sich selbst eine signierte Nachricht schicken, damit man den eigenen öffentlichen Schlüssel installieren kann. Oder vielleicht wird das schon bei den obigen Schritten erledigt. | + | |
- | + | ||
- | Hier eine [[http:// | + | |
- | ===== alpine ===== | + | |
- | + | ||
- | Das Linux-Programm alpine kann mit Zertifikaten umgehen. | + | |
- | + | ||
- | - Signierte Nachricht an sich selbst schicken und mit alpine anschauen | + | |
- | * Der öffentliche Schlüssel wird in ~/ | + | |
- | - Die [[Zertifikatkette]] muss man in ~/ | + | |
- | - Den privaten Schlüssel wird in ~/ | + | |
- | * Zuerst das Zertifikat in Firefox laden (siehen oben) | + | |
- | * Dann [[https:// | + | |
- | * Dann den privaten Schlüssel daraus generieren: | + | |
- | * openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes | + | |
- | * Hierfür braucht man zwei Passwörter: | + | |
- | * " | + | |
- | * "PEM pass phrase", | + | |
- | * Den erzeugten Schlüssel '' | + | |
- | + | ||
- | Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch " | + | |
- | + | ||
- | Anmerkung: Den öffentlichen Schlüssel haben wir oben auf einfacher Weise eingebaut. Man kann aber auch anhand des von Firefox exportierten Zertifikats die Datei mit dem öffentlichen Schlüssel kreieren: | + | |
- | openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys | + | Was kann man mit dieser Schnittstelle machen? Lesen Sie weiter auf dieser Seite! |
+ | ===== Zu erledigende Schritte ===== | ||
+ | Um ein Zertifikat einzusetzen muss man zwei Sachen machen: | ||
+ | - Die sogenannte [[Zertifizierungskette]] installieren. Mit Hilfe dieser Kette wird auf Ihrem PC bzw. Smartphone die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert. | ||
+ | - Das Zertifikat [[Beantragung und Einrichtung auf dem eigenen PC|beantragen und auf dem eigenen Gerät einrichten]] | ||
+ | - Verschlüsselte Kommunikation mit einem E-Mail-Partner ist nur möglich, wenn man dessen [[Public key eines Kommunkationspartner speichern|" | ||
- | ==== UID nicht gleich E-Mail-Adresse | + | ===== Wichtige Warnungen ===== |
- | Es gibt in alpine Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine " | + | <note important> |
+ | Wer eine Kopie Ihres Zertifikats besitzt, kann Ihre verschlüsselten Mails lesen und beim Email-Versand erfolgreich vortäuschen, | ||
+ | * sich zu überlegen, ob das Zertifikat auf ein mobiles Gerät installiert werden soll oder nicht, da das Gerät gestohlen oder verloren gehen kann. | ||
+ | * für die Sicherheit aller Geräte zu sorgen, auf denen das Zertifikat gespeichert ist. | ||
+ | * alle Sicherheitskopien des Zertifikats mit einem guten Passwort zu versehen. | ||
+ | </ | ||
- | http://www.ii.com/ | + | <note important> |
+ | </note> | ||
- | ====== Verschiedenes | + | ===== Verschiedenes ===== |
- | ===== Eigene Zertifikate verwalten ===== | + | ==== Hinweise |
- | Mit "[[https:// | + | * [[Zertifikate verwenden]] |
+ | * [[MacOS Mail]] | ||
+ | ==== Eigene Zertifikate verwalten ==== | ||
- | Mit " | + | * Mit " |
- | ===== Weitere Informationen ===== | + | * Mit " |
- | Ausführliche Hintergrundsinformation zu Zertifikaten findet man [[https:// | + | ==== Weitere Informationen ==== |
- | Informationen | + | * Ausführliche Hintergrundsinformation zu Zertifikaten findet man [[https://www.rz.uni-freiburg.de/services/sicherheit/ |
+ | * Informationen [[http:// |