Das RZ bietet viele Informationen zu den Zertifikaten - vgl. "Weitere Informationen" unten.

Allerdings wirkt das Angebot überwältigend und die Beschreibungen zu kompliziert. Meistens will man einfach ganz schnell ein eigenes Zertifikat beantragen und einrichten, ohne viel Zeit dabei zu verlieren.

Deswegen steht auf dieser Seite ein skizzenhafter Überblick, mit dem man hoffentlich schneller das erledigen kann, was man eigentlich erledigen will. Am besten verwendet man zur Navigation das Inhaltsverzeichnis oben rechts auf dieser Seite.

Die Schnittstelle für Nutzer- und Administratoren-Zertifikate Freiburg.

Die Navigierung erfolgt über die Kartenreiter. Zu jedem oberen Kartenreiter gibt es eine Gruppe unterer Kartenreiter, wo man die eigentliche Aufgaben erledigen kann.

• Beantragung und Einrichtung
• Zertifizierungskette (Mit Hilfe dieser Kette wird die Richtigkeit des eigenen persönlichen Zertifikats sowie der Zertifikate anderer attestiert)

• Andere Plattforme
  • Zertifikate in MacOS
  • iOS (iPhone)
  • alpine

• Verschiedenes
  • Eigene Zertifikate verwalten
  • Weitere Informationen

Wenn man das Zertifikat auf einem Mac beantragt hat, muss man das Zertifikat mit dem selben Browser installieren. Man bekommt von der Zertifizierungsstelle eine E-Mail mit Link zugeschickt. Wenn man auf das Link klickt, wird das beantragte Zertifikat installiert. Das wird allerdings nur klappen, wenn man von diesem Mac / Browser aus das Zertifikat beantragt hat.

Auf dem Mac wird das Zertifikat dann im App „Keychain Access“ gespeichert.

• Zertifikatkette als Datei kette.crt abspeicher
• Diese Datei als E-Mail-Attachment an sich selbst schicken
• Am iPhone die Nachricht mit dem Attachment anschauen und auf das Attachment klicken
  • Akzeptieren, dass die Zertifikate installiert werden
• Eigenes Zertifikat nach dieser Anleitung in iPhone installieren
  • Zertifikat muss auf dem Mac (in Keychain Access) installiert sein
  • Zertifikat aus Keychain Access (zum Schutz mit Passwortangabe) als .p12-Datei exportieren
  • .p12-Datei per E-Mail an sich selbst schicken
  • In Mail aus iPhone auf das Attachment klicken und installieren
  • Zertifikat zur aktiven Anwendung aktivieren
    • Einstellungen → Mail, Kontakte, Kalender → <Mailaccount> → Account → Erweitert → S/MIME → on
    • Hier kann man auch festlegen, dass man beim Versand von E-Mail grundsätzlich signieren und/oder verschlüsseln möchte.
  • Um an jemand verschlüsselte E-Mail zu schicken, soll er vorher einmal eine unterschriebene Nachricht schicken
    • Auf dem blauen Icon hinter des Absenders Adress klicken
    • Dort das Zertifikat (public key) installieren

Jetzt könnte man z.B. an sich selbst eine signierte Nachricht schicken, damit man den eigenen öffentlichen Schlüssel installieren kann. Oder vielleicht wird das schon bei den obigen Schritten erledigt.

Hier eine weitere detaillierte Anleitung aber auf Englisch.

Das Linux-Programm alpine kann mit Zertifikaten umgehen.

1. Signierte Nachricht an sich selbst schicken und mit alpine anschauen
   • Der öffentliche Schlüssel wird in ~/.alpine-smime/public automatisch gespeichert
2. Die Zertifikatkette muss man in ~/alpine-smime/ca/chain.crt speichern
3. Den privaten Schlüssel wird in ~/.alpine-smime/private gespeichert:
   • Zuerst das Zertifikat in Firefox laden (siehen oben)
   • Dann in Firefox das Zertifikat als p12-Datei abspeichern
   • Dann den privaten Schlüssel daraus generieren:
     • openssl pkcs12 -in SavedCertificate.p12 -out MyAddress@physik.uni-freiburg.de.key -nocerts -nodes
     • Hierfür braucht man zwei Passwörter:
       • „Import Password“, das man beim Exportien von Firefox festgelegt hat
       • „PEM pass phrase“, das man in Zukunft in alpine benutzen wird, wenn man eine Nachricht signiert
   • Den erzeugten Schlüssel MyAddress@physik.uni-freiburg.de.key wird in ~/.alpine-smime/private abgespeichert

Wenn man nun eine Nachricht verfasst und losschicken will, tippt man noch „E“ (zum Verschlüsseln) bzw. „G“ (zum Signieren), bevor man mit „Y“ die Nachricht endgültig wegschickt.

Anmerkung: Den öffentlichen Schlüssel haben wir oben auf einfacher Weise eingebaut. Man kann aber auch anhand des von Firefox exportierten Zertifikats die Datei mit dem öffentlichen Schlüssel kreieren:

openssl pkcs12 -in SavedCertificate.p12 -out newfile.crt.pem -clcerts -nokeys

Es gibt in alpine Probleme, falls die User-ID auf dem Linuxrechner anders lautet als die E-Mail-Adresse im Zertifikat. Wenn das der Fall ist, muss man eine (al)pine „role“ einrichten, vgl.:

http://www.ii.com/internet/messaging/pine/changing_from/#role

Mit „Zertifikat suchen“ kann man die eigenen Zertifikate ansehen.

Mit „Zertifikat“ man ein Zertifikat sperren.

Ausführliche Hintergrundsinformation zu Zertifikaten findet man im RZ, im RZ-Wiki RZ Wiki. Im RZ-Wiki ist auch eine Übersicht über viele Seiten, die mit Zertifikaten zu tun haben.

Informationen bezüglich Verschlüsselung und digitaler Unterschrift mit Thunderbird.