Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Zertifikate
Das RZ bietet viele Informationen zu den Zertifikaten - vgl. "Weitere Informationen" unten.
Allerdings wirkt das Angebot überwältigend und die Beschreibungen zu kompliziert. Meistens will man einfach ganz schnell ein eigenes Zertifikat beantragen und einrichten, ohne viel Zeit dabei zu verlieren.
Deswegen steht auf dieser Seite ein skizzenhafter Überblick, mit dem man hoffentlich schneller das erledigen kann, was man eigentlich erledigen will. Am besten verwendet man zur Navigation das Inhaltsverzeichnis oben rechts auf dieser Seite.
Schnittstelle
Die Schnittstelle für Nutzer- und Administratoren-Zertifikate Freiburg.
Die Navigierung erfolgt über die Kartenreiter. Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, wo man die eigentliche Aufgaben erledigen kann.
Beantragung und Einrichtung auf dem eigenen PC
- Diese Seite ausfüllen und ausdrucken
- vgl. Details
- Termin mit Zertifizierungsstelle im RZ vereinbaren
- Mit Ausweis zum Termin im RZ gehen
- In dem Browser, wo man den Antrag ausgefüllt hat, das Link anschauen, das man per E-Mail zugeschickt bekam.
- vgl. Details
- Zertifikat in Firefox bzw. MS Internet Explorer anzeigen lassen
- Zertifikat zwecks Archivierung abspeichern, aber auch zum Importieren in Thunderbird
- Thunderbird mit Zertifikat einrichten
Zertifizierungskette
Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert.
Eventuell muss man auf dem eigenen PC diese Zertifizierungskette noch installieren
- Wurzelzertifikat Deutschen Telekom Root CA 2 (i.d.R. installiert)
- Zwischenzertifikat DFN-Verein PCA Global - G01
- Zwischenzertifikat Uni-FR CA - G02
Andere Plattforme
MacOS
Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link. Wenn man auf das Link klickt, wird das beantragte Zertifikat runtergeladen. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat.
Auf einem Mac wird das Zertifikat im App „Keychain Access“ gespeichert.
Exportieren
Man kann das Zertifikat als .p12-Datei exportieren, die von Thunderbird wiederum importiert werden kann. Die erzeugte Datei wird zur Sicherheit mit einem Passwort erstellt.
iOS (iPhone)
alpine
Das Linux-Programm alpine kann mit Zertifikaten umgehen.
- Signierte Nachricht an sich selbst schicken und mit alpine anschauen
- Der öffentliche Schlüssel wird in ~/.alpine-smime/public automatisch gespeichert
- Die Zertifikatkette muss man in ~/alpine-smime/ca/chain.crt speichern
- Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert:
- Zuerst das Zertifikat in Firefox laden
- Dann den privaten Schlüssel daraus generieren:
- openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes
- Hierfür braucht man zwei Passwörter:
- „Import Password“, das man beim Exportier von Firefox festgelegt hat
- „PEM pass phrase“, das man in Zukunft in alpine benutzen wird, wenn man eine Nachricht signiert
- Den erzeugten Schlüssel
MyAddress@physik.uni-freiburg.de.key
wird in~/.alpine-smime/private
abgespeichert
Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch „E“ (zum Verschlüsseln) bzw. „G“ (zum Signieren), bevor man mit „Y“ die Nachricht endgültig wegschickt.
openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys
UID nicht gleich E-Mail-Adresse
Es gibt in alpine Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine „role“ einrichten, vgl.:
http://www.ii.com/internet/messaging/pine/changing_from/#role
Verschiedenes
Eigene Zertifikate verwalten
Mit „Zertifikat suchen“ kann man die eigenen Zertifikate ansehen.
Mit „Zertifikat“ man ein Zertifikat sperren.
Weitere Informationen
Ausführliche Hintergrundsinformation zu Zertifikaten findet man im RZ, im RZ-Wiki RZ Wiki. Im RZ-Wiki ist auch eine Übersicht über viele Seiten, die mit Zertifikaten zu tun haben.
Informationen bezüglich Verschlüsselung und digitaler Unterschrift mit Thunderbird.