DFN Global Zertifikate

Auf dieser Seite finden Sie eine Beschreibung, wie Mitglieder der Universität Ulm personengebundene DFN Global Zertifikate erhalten können. Diese Zertifikate können z.B. zur Signatur von E-Mails verwendet werden. Wenn Sie vorher etwas zur Funktionsweise digitaler Zertifikate oder zum Unterschied zwischen Global- und Grid-Zertifikaten lesen möchten, dann besuchen Sie bitte unsere Einführung zu digitalen Zertifikaten.

Bitte beachten Sie, dass die folgende Beschreibung für den Browser Firefox geschrieben wurde und nur für Angehörige der Universität Ulm geeignet ist.  Bitte beachten Sie, dass elektronische Unterschriften mittels der von uns erstellten Zertifikate NICHT rechtsverbindlich sind und dass Sie Ihr Global Zertifikat alle 3 Jahre verlängern müssen. Wenn Sie Ihren privaten Schlüssel verlieren bzw. wenn Sie Ihr Keystore-Passwort vergessen, dann führt das zwingend zum Verlust aller mit Ihrem öffentlichen Zertifikat verschlüsselter Dateien und E-Mails. Sie sollten daher unbedingt ein Backup Ihres privaten und öffentlichen Schlüssels (am besten im pkcs12 Format mit Endung .p12) erstellen, sobald Sie den signierten Teil Ihres Schlüssel importiert haben. Es gibt keine Möglichkeit, Ihren privaten Schlüssel oder Ihre Daten zu rekonstruieren!

Zertifikate werden nur für "@uni-ulm.de" E-Mail Adressen ausgestellt. Die Zustimmung zur Veröffentlichung des Zertifikats ist verpflichtend. Da bereits bei der Antragstellung der private Schlüssel im Keystore Ihres Browsers in Ihrem Account auf Ihrem lokalen Rechner gespeichert wird, sollten Sie für die dann folgenden Arbeitsschritte weder den Browser, noch den Account, noch den Computer wechseln. Am besten verwenden Sie Ihren eigenen Arbeitsplatzrechner oder Laptop zur Antragstellung und für alle weiteren Schritte.

Bitte gehen Sie sequentiell vor. Die Schritte in den Abschnitten I, II und IV bauen aufeinander auf.

Kommunikations- und Informationszentrum (kiz)

  • Helpdesk

    Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:
    Mo - Fr  8 - 18 Uhr
    +49 (0)731/50-30000
    helpdesk(at)uni-ulm.de
    Kundenportal
    [mehr]

  • Service-Points

    An den Service-Points können Sie uns persönlich aufsuchen.
    [mehr]

  • Identitätsmanagement

    Self Service Funktionen des Identitätsmanagementsystems (IDM):

    • Berechtigungen verwalten
    • Dienste abonnieren
    • Passwörter ändern
    • ...

    IDM Self Services
    [mehr]

  • Literatursuche

  • kiz von A bis Z

    Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz.
    A-Z-Liste
    Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht: Redaktion

mehr zu: DFN Global Zertifikate

Abschnitt I: DFN Global Nutzer Zertifikatantrag

Das Zertifikat ist eine Art digitaler Ausweis, der Ihre Identität im Web und im Umgang mit anderen Webteilnehmern nachweist. Sie sollten daher sicherstellen, dass niemand in den Besitz des privaten Teils Ihres Zertifikats gelangt. Bitte verwenden Sie nur gute Passwörter, um Ihre Zertifikate zu schützen. Es ist ein Masterpasswort für den allgemeinen Schutz des Zertifikatspeichers im Firefox und je ein weiteres Passwort für jedes exportierte Zertifikat erforderlich.

  1. Bitte überprüfen Sie im Tab "Sicherheit" der "Einstellungen" des Firefox, dass "[v] Master-Passwort verwenden" aktiviert ist.

  2. Um ein Zertifikat zu erstellen, rufen Sie bitte (nur Firefox) die Global-Uni-Ulm CA Seite des DFN auf (klicken Sie hier). In seltenen Fällen kann es sein, dass Sie dabei das Sicherheitszertifikat der Seite akzeptieren müssen.

    • Wenn Sie auf der DFN Seite "Willkommen zur DFN-PKI" sind, wählen Sie bitte zuerst den Tab "CA-Zertifikate" und dort die Unter-Tabs "Wurzelzertifikat", "DFN-PCA Zertifikat" und "Global-Uni-Ulm CA Zertifikat" aus. Für jedes noch nicht installierte CA-Zertifikate wird eine Dialogbox geöffnet. In dieser markieren Sie alle drei Einträge "[x] Dieser CA vertrauen, um ..." und bestätigen die Dialogbox. Hierdurch wird das Root Zertifikat und die Key "Chain of Trust" in Ihrem Browser installiert. Sollten die Zertifikate bereits installiert sein, wird nur eine kurze Meldung angezeigt. Nun wählen Sie bitte unter dem Tab "Zertifikate" den Unter-Tab "Nutzerzertifikat" aus. Jetzt sollten Sie hier sein (bitte klicken Sie auf das Bild, um es zu vergrößern - für Details siehe Beschreibung nach Bild):

    1. ACHTUNG: Verwenden Sie bitte bei den folgenden Angaben keine Sonderzeichen; verwenden Sie z.B anstelle der deutschen Umlaute 'ae', 'oe', 'ue' und Anstelle von 'ß' nur 'ss'.

      Tragen Sie bitte unter "Zertifikatsdaten" Ihre uni-ulm.de E-Mail-Adresse (1) und Ihren Namen (2, mindestens einen Vornamen und den vollständigen Familiennamen, wie im Ausweis) ein. Es sind nur Namenszusätze erlaubt, die auch im Personalausweis eingetragen sind. Zum Beispiel ist ein eingetragener Dr. Titel zulässig, PD oder Prof. jedoch nicht. Das Abteilungsfeld (im Bild durchgestrichen) lassen Sie im elektronischen Teil des Global-Zertifikatantrags bitte leer.

      Im Abschnitt "weitere Angaben" geben Sie bitte zweimal eine PIN ein (3, 4 - wird benötigt, falls man das Zertifikat sperren möchte). Abschließend muss man der Zertifizierungsrichtlinie (5) und der Veröffentlichung des Zertifikats (6) zustimmen und mit "weiter" (7) das Formular abschicken.

    2. Auf der nächsten Seite bitte nochmals die Daten überprüfen. Ist alles in Ordnung können Sie mit "Bestätigen" die Daten abschicken. Sind die Daten nicht korrekt, können Sie mit "Ändern" die Daten weiter bearbeiten.

    3. Jetzt wird der Zertifikatantrag erstellt, den Sie dann mittels "Zertifikatantrag anzeigen" herunterladen/ansehen können. Drucken Sie bitte den Antrag aus (eventuell müssen Sie die Datei manuell als pdf-Datei speichern und dann mittels z.B. Acroread öffnen):

    1. In dem ausgedruckten Antrag (Feld 1) geben Sie bitte Ihre Abteilung / Ihr Instut an (Studenten tragen dort einfach "Student" ein). Darunter markieren Sie die Art der Ausweispapiere (Reisepass oder Personalausweis) und geben die letzten 5 Stellen der Ausweisnummer an (bei Personalausweisen die Nummer oben rechts). Anschließend versehen Sie den Antrag im Feld (2) noch mit Ort, Datum und Ihrer Unterschrift. Wenn Sie im elektronischen Antrag nicht Ihren vollständigen Vornamen angegeben haben, tragen Sie diesen bitte im ausgedruckten Antrag im Feld "Vorname Nachname" handschriftlich nach.

    2. Suchen Sie nun mit dem unterschriebenen Antrag, Ihrem gültigen Personalausweis/Reisepass und Ihrem gültigen Mitgliedsausweis der Universität Ulm Ihre Registrierungsstelle (Global-Uni-Ulm-RA) auf. Bitte vereinbaren Sie hierzu einen Termin mit der Global-Uni-Ulm-RA (Kontaktdaten siehe rechts oben).

    Abschnitt II: Firefox Zertifikat-Import + Backup

    Nachdem Ihre Identität von der Registrierungsstelle überprüft worden ist, wird Ihnen der Link zu Ihrem signierten Zertifikat per E-Mail zugeschickt. Diese E-Mail wird vom DFN automatisch erzeugt. Sie wird nicht von uns verschickt.

    Der Firefox bietet eine einfache Möglichkeit mittels des "Keystores" bzw. "Zertifikat Managers" Ihre Zertifikate zu verwalten. Ein "Master Passwort" stellt sicher, dass Ihre Zertifikate vor unerlaubten Zugriffen geschützt sind. Wenn Sie noch kein "Master Passwort" gesetzt haben, sollten Sie das nun unbedingt nachholen (für Details siehe Abschnitt I dieser Webseite).

    1. Um Probleme beim Import des Zertifikats zu vermeiden, aktivieren Sie bitte "(x) Jedes mal fragen"  im Tab "Erweitert Verschlüsselung bzw. Zertifikate (je nach Version)" der "Einstellungen" des Firefox. Wenn "( ) Automatisch eines wählen" nicht deaktiviert ist, verwendet Firefox in bestimmten Situationen ein falsches Zertifikat.

    2. Wenn Sie noch nicht die Zertifikatkette in Ihrem Firefox-Browser installiert haben bzw. wenn diese nicht schon per Default dort installiert ist, dann können Sie das über den ersten Link der E-Mail "1. Für die CA-Zertifikate wählen Sie bitte die Seite ..." nachholen. Hierzu kopieren Sie den Link in die Adresszeile des Firefox und klicken dann die Sub-Tabs "Wurzelzertifikat", "DFN-PCA Zertifikat" und "Global-Uni-Ulm CA Zertifikat" an.

    3. Um das signierte Zertifikat zu importieren, verwenden Sie bitte den zweiten Link der Zertifikat-E-Mail: Kopieren Sie dafür die Linkadresse nach "2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:" in die Adresszeile des Firefox und rufen die Seite dann auf. Auf der Seite klicken Sie bitte auf "Zertifikat importieren". Je nach Konfiguration Ihres Firefox erscheint dann eine Dialogbox, die nach der Verwendung des Zertifikats fragt. Wählen Sie dort bitte alle drei Optionen aus:

      "[x] Dieser CA vertrauen, um Webseiten zu identifizieren."
      "[x] Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren."
      "[x] Dieser CA vertrauen, um Software-Entwickler zu identifizieren."

      Falls Sie nicht "(x) Jedes mal fragen..." ausgewählt haben, wird Firefox diesen Dialog nicht anzeigen (die Dialogbox wird in manchen Firefox-Versionen grundsätzlich nicht angezeigt). In diesem Fall wird anstelle der eben beschriebenen Dialogbox die Meldung

      "Warnung: Ihr persönliches Zertifikat wurde installiert. Sie sollten eine Sicherungskopie dieses Zertifikats aufheben."

      angezeigt. Auch dies ist in Ordnung. Sie können jetzt mit der Erstellung eines Backups fortfahren.

    4. Anschließend sollten Sie ein Backup Ihres persönlichen Zertifikats erstellen (in der Regel privater und öffentlicher Teil zusammen). Die Backupdatei können Sie z.B. in Ihr E-Mail-Programm importieren, um dann mit dem privaten Schlüssel E-Mails zu unterschreiben. Das Backup erstellen Sie mittels des Firefox Zertifikat-Managers:
      ⇒ Öffnen Sie den "Einstellungen" Dialog von Firefox,
      ⇒ Tab: "Erweitert",
      ⇒ Unter-Tab: "Verschlüsselung" bzw. "Zertifikate" (je nach Firefox Version),
      ⇒ Button: "Zertifikate anzeigen" bzw. "Zertifikate" (die Dialogbox "Zertifikat-Manager" wird nun angezeigt),
      ⇒ Tab: "Ihre Zertifikate" bzw. "Meine Zertifikate" (je nach Firefox Version).
      Wenn der Import Ihres Zertifikats erfolgreich war, sollten Sie nun eine Zeile mit Ihrem Namen sehen. Wählen Sie die Zeile mit Ihrem persönlichem DFN-Zertifikat aus (die Zeile wird dann blau). Nun klicken Sie auf den Button "Backup" bzw. "Sichern" bzw. "Exportieren" (je nach Firefox Version). Jetzt werden Sie gefragt, wohin Sie das Zertifikat speichern wollen (ggf. werden Sie hier nach Ihrem Masterpasswort gefragt). Speichern Sie das Zertifikat-Backup im PKCS12-Format unter Verwendung eines guten Passworts.

    Das Backup sollten Sie an einem sicheren Ort aufbewahren; sie können es zum Beispiel auf CD brennen. SCHÜTZEN SIE IHRE SCHLÜSSEL!

    Abschnitt III: Erneuern Ihres DFN Global Zertifikats

    Drei Jahre nach Erstellung Ihres DFN Global Zertifikats erhalten Sie eine automatisch erzeugte E-Mail "Ihr Zertifikat wird ablaufen". Wenn Sie Ihr DFN Global Zertifikat erneuern wollen, dann folgen Sie bitte den Anweisungen der Abschnitte I und II dieses Textes. Zur Erneuerung des DFN Global Zertifikats muss dieses neu erzeugt werden und Sie müssen sich erneut ausweisen. Bitte achten Sie darauf, dass die DN (d.h. Ihr Name) des neuen Zertifikats mit der des alten übereinstimmt (Ausnahmen: Heirat, etc.)

    Abschnitt IV: Import des Zertifikats in Thunderbird

    Dieser Abschnitt beschreibt, wie Sie im Thunderbird die Vertrauenseinstellungen der Zertifikatkette überprüfen und Ihr Global Nutzerzertifikat importieren und aktivieren können. Da der Keystore des Thunderbirds unabhängig von dem des Firefox ist, müssen Sie im Thunderbird erneut ein Master-Passwort setzen. Sie können dort das gleiche Passwort wie im Firefox verwenden.

    Bitte überprüfen Sie im Thunderbird-Menü unter "Bearbeiten bzw. Extras" (beim Mac unter "Thunderbird"), Untermenü "Einstellungen", im Tab "Sicherheit", Subtab "Passwörter", dass "[v] Master-Passwort verwenden" aktiviert ist.

    Wenn Sie Zertifikate einsetzen müssen Sie von Zeit zu Zeit mit dem Zertifikat-Manager von Firefox bzw. Thunderbird arbeiten. Je nach Version von Firefox bzw. Thunderbird unterscheiden sich die Menüeinträge und Beschriftungen. Diese Alternativen sind im Weiteren durch "oder" getrennt aufgeführt. Sie erreichen den Zertifikat-Manager wie folgend beschrieben:
    Firefox oder Thunderbird Menü: "Bearbeiten" oder "Extras" oder "Firefox" oder "Thunderbird" (je nach Firefox- bzw. Thunderbird-Version),
    => Submenü: "Einstellungen",
    => Tab: "Erweitert",
    => Subtab: "Verschlüsselung" oder "Zertifikate" (je nach Firefox- bzw. Thunderbirdversion),
    => Button: "Zertifikate anzeigen" oder "Zertifikate" (je nach Firefox- bzw. Thunderbirdversion).

    Stellen Sie im Thunderbird sicher, dass die drei Zertifikate der Zertifikatkette existieren (wenn nicht siehe nächster Absatz) und dass Sie den Zertifikaten vertrauen (siehe Abbildung am Anfang des Abschnitts oben rechts):
    Thunderbird Zertifikatmanager:
    => Tab: "Zertifizierungsstellen",
    => scrollen Sie zu den Zertifikatgruppen "[-] Deutsche Telekom AG" und "[-] DFN Verein" und markieren Sie (Einfachklick) jeweils eines der drei Zertifikate (achten Sie auf die genaue Schreibweise) "Deutsche Telekom Root CA2", "DFN-Verein PCA Global - G01" und "Global-Uni-Ulm-CA" (die Zeile ist dann blau),
    => klicken Sie (nacheinander für jedes der drei Zertifikate) auf den Button "Bearbeiten",
    => stellen Sie sicher, dass alle drei Haken [v] der Vertrauenseinstellungen bei jedem der drei Zertifikate gesetzt sind (siehe Abbildung),
    => bestätigen Sie dies jeweils mit einem Klick auf den Button "OK".

    Wenn im Thunderbird Zertifikate der Zertifikatkette fehlen, dann können Sie die benötigten Zertifikate aus dem Firefox exportieren und im Thunderbird importieren:
    Export: Firefox Zertifikatmanager:
    => Tab: "Zertifizierungsstellen",
    => markieren Sie (Einfachklick) jeweils ein Zertifikat "Deutsche Telekom Root CA2", "DFN-Verein PCA Global - G01" und "Global-Uni-Ulm-CA" (die markierte Zeile ist dann blau),
    => klicken Sie (für jedes dieser Zertifikate) auf den Button "Exportieren",
    => speichern Sie die drei Zertifikate auf der Festplatte.
    Wenn Sie die Zertifikate nicht im Firefox finden, können Sie diese auch direkt von der DFN-Webseite herunterladen (durch jeweils einen Rechtsklick auf die Tabs "Wurzelzertifikat", "DFN-PCA-Zertifikat" und "Global-Uni-Ulm-CA-Zertifikat" nebst "Ziel speichern unter").
    Import: Thunderbird Zertifikatmanager:
    => Tab: "Zertifizierungsstellen",
    => importieren Sie mittels Klick auf den Button "Importieren" nacheinander die drei Zertifikate der Zertifikatkette (wenn nicht schon vorhanden).
    Wenn Sie bei dem Import nach den Vertrauenseinstellungen gefragt werden, dann sollten Sie alle drei Haken [v] setzen.
    Bitte überprüfen Sie nach dem Import nochmals die Vertrauenseinstellungen (siehe vorheriger Absatz).

    Importieren Sie das pkcs12-Backup Ihres Global-Nutzerzertifikates in den Thunderbird:
    Thunderbird-Zertifikatmanager:
    => Tab: "Ihre Zertifikate" oder "Meine Zertifikate",
    => Button: "Importieren",
    => suchen Sie das Backup Ihres Nutzerzertifikats auf der Festplatte und importieren Sie es.
    Beim Import werden Sie zunächst nach dem Backup-Passwort und danach nach dem Thunderbird-Keystore-Passwort gefragt.
    Nach dem erfolgreichen Import sollte nun Ihr neues Zertifikat unter "Ihre Zertifikate" oder "Meine Zertifikate" zu sehen sein.

    Legen Sie im Thunderbird fest, mit welchem Zertifikat Sie die E-Mails unterschreiben möchte:
    Thunderbird Menü: "Extras",
    => Submenü: "Konten" oder "Konten-Einstellungen",
    => Unterbereich: "S/MIME-Sicherheit Ihres E-Mail Kontos",
    => Kasten: "Digitale Unterschrift",
    => Button: "Auswählen" (eine Dialogbox geht auf),
    => wählen Sie das eben importierte Zertifikat aus,
    => bestätigen Sie mit "OK" oder "ja", dass das Zertifikat auch für die Verschlüsselung verwendet wird.
    => Abschließend müssen Sie Thunderbird neu starten.

    Beim Verfassen neuer Nachrichten sollte Ihnen nun der Button "S/MIME" die Möglichkeit zum Unterschreiben von Nachrichten bieten (klicken Sie hierfür auf das kleine schwarze Dreieck neben dem Button "S/MIME"):

    Bitte beachten Sie unbedingt die Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII). Wir empfehlen nur das Unterschreiben von E-Mails, jedoch nicht das Verschlüsseln.

    Wenn Sie eine unterschriebene E-Mail empfangen haben und Thunderbird die Signatur der E-Mail verifizieren kann, dann wird folgendes Symbol eingeblendet:

    Sie können das Briefsymbol auch ankicken, um Details über die Signatur zu erfahren.

    Wenn Thunderbird die Signatur jedoch nicht verifizieren kann, dann wird folgendes Briefsymbol eingeblendet:

    Das Fehlschlagen der Signaturüberprüfung kann mehrere Ursachen haben. Oft wird der Zertifikatkette des Senders nicht vertraut und somit wird die Unterschrift abgelehnt. Dies kann man korrigieren, indem man allen Zertifikaten der Sender-Zertifikatkette das Vertrauen ausspricht. Man findet die Sender-Zertifikatkette, indem man auf das Briefsymbol, dann auf den Button "Unterschriftszertifikat ansehen" klickt und den Tab "Details" auswählt. Dort steht in Fenster "Zertifikatshierachie" die Zertifikatkette. Die entsprechenden Zertifikate sucht man dann im Zertifikat-Manager und spricht ihnen das Vertrauen aus (für Details zum Umgang mit Zertifikatketten siehe weiter oben in diesem Abschnitt).

    Abschnitt V: Mac Safari + Mac Mail

    Auf Apple Rechnern werden die Schlüssel (Zertifikate) zentral im Schlüsselbund verwaltet. Der Schlüsselbund ist automatisch durch das Login-Passwort abgesichert. Sowohl der Web-Browser Safari als auch das Mac-Mail-Programm verwenden gemeinsam die im Schlüsselbund gespeicherten Zertifikate. Die Mac-Schlüsselbundverwaltung erreichen Sie über Finder => Programme => Dienstprogramme => Schlüsselbundverwaltung. Alternativ können Sie auch einfach nach "Schlüsselbundverwaltung" im Spotlight suchen.

    Zur Installation der Zertifikatkette verwenden Sie am besten den Safari, da dieser direkt auf die Mac-Schlüsselverwaltung zugreift. Im Tab "CA-Zertifikate" der DFN-Webseite klicken Sie auf die Zertifikat-Tabs "Wurzelzertifikat", "DFN-PCA Zertifikat" und "Global-Uni-Ulm CA Zertifikat" und importieren so diese Zertifikate in den Mac-Schlüsselbund. Alternativ kann man mit dem Firfox die Zertifikate mittels der eben genannten Zertifikat-Tabs oder mittels des Firefox Zertifikatmanagers als Datei speichern, etwa "Wurzelzertifikat.crt", "DFN-PCA-Zertifikat.crt" und "Global-Uni-Ulm-CA.crt". Diese Zertifikate muss man anschließend durch Doppelklick auf die jeweilige Datei manuell in den Schlüsselbund importieren.

    Wenn Sie wie im Abschnitt I beschrieben den Zertifikatantrag mit dem Firefox gestellt haben, dann befindet sich Ihr privater Schlüssel nur im lokalen Keystore des Firefox. In diesem Fall müssen Sie wie im Abschnitt II beschrieben mit dem Firefox das Zertifikat über den 2. Link der DFN-PKI-Email importieren, ein Backup Ihres Zertifikats erstellen (privater und öffentlicher Schlüssel zusammen in einer "NAME.p12" Datei) und dieses Backup dann per Doppelklick in den Mac-Schlüsselbund übertragen.

    Wenn Sie den Zertifikatantrag mit dem Safari gestellt haben (das Vorgehen ist Analog zum Firefox), können Sie mittels des Safaris Ihr Zertifikat direkt über den 2. Link der DFN-PKI-Email in den Mac-Schlüsselbund importieren (der private Schlüssel befindet sich bereits dort).

    Hinweis zur Nutzung des Safaris: Zum Installieren Ihres Nutzerzertifikats öffnen Sie den 2. Link der E-Mail, klicken in der Webseite auf "Zertifikat importieren" und speichern die Datei vorerst unter dem Namen "pki" (einige Safari-Versionen lassen anscheinend nur das zu). Dann benennen Sie die Datei in "pki.p12" um und importieren diese wieder durch einen Doppelklick in den Schlüsselbund.

    Abschließend sollte man unbedingt die Vertrauenseinstellungen aller importierten Zertifikate kontrollieren. Hierfür öffnet man im Schlüsselbund die Detailansicht zu jedem der importierten Zertifikate - durch einen Doppelklick auf die Zertifikatzeilen "Deutschte Telekom Root CA 2", "DFN-Verein PCA Global - G01", "Global-Uni-Ulm-CA" und "Vorname Nachname (Ihr Zertifikat)". Danach öffnet man mit einem Einfachklick den Bereich "Vertrauen" und ändert den Eintrag "Bei Verwendung dieses Zertifikats" zu "Immer Vertrauen" ab (siehe Abbildung oben). Nachdem man das mit allen Zertifikaten (insbesondere auch mit dem eigenen Nutzerzertifikat) gemacht hat (siehe 4 blaue (+) Zeichen in der Abbildung oben), sollte nach dem Neustart des E-Mail Programms beim Editieren neuer E-Mails ein Button zum Signieren von E-Mails angezeigt werden:

    Bitte beachten Sie unbedingt DFN Global Zertifikatedie Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII). Wir empfehlen nur das Unterschreiben von E-Mails, jedoch nicht das Verschlüsseln.

    Wenn Sie eine signierte E-Mail empfangen haben deren Signatur vom Mac Mailprogramm überprüft werden konnte, dann wird die Meldung "Signiert" (siehe folgendes Bild) angezeigt (eventuell müssen Sie erst die Details des Mail-Headers einblenden):

    Wenn die Signatur jedoch nicht verifiziert werden konnte, dann wird zusätzlich noch die Meldung

    angezeigt. Da das Fehlschlagen einer Signaturüberprüfung sehr oft an fehlenden Vertrauenseinstellungen der Zertifikatkette liegt, sollten Sie in diesem Fall überprüfen, ob Sie allen Zertifikaten der Zertifikatkette des Signaturzertifikats vertrauen.

    Abschnitt VI: Windows Internet-Explorer + Outlook

    Wir raten dringend von der Verwendung des Internet Explorers bei der Antragstellung ab. Bitte verwenden Sie den Firefox wie in den Abschnitten I und II beschrieben. Siehe hierzu auch die DFN-FAQ zu Windows und Internet Explorer. Wir leisten bei Problemen bezüglich des IE keinen Support.

    Wenn Sie trotzdem den Internet-Explorer verwenden wollen, dann ist das Vorgehen ähnlich zu dem Vorgehen mit dem Firefox. Je nach Sicherheitseinstellungen fragt der Internet-Explorer z.B. nach Popups oder Skript-Ausführung. Es kann empfehlenswert sein, die Internetsicherheit kurzfristig auf "Mittel" zu stellen. Auch der Internet-Explorer speichert die Zertifikate in einem lokalen Zertifikat-Store "Menü: Extras => Sub-Menü:Internetoptionen => Tab:Inhalte => Button:Zertifikate". Hier können Formate im pkcs12-Format importiert und exportiert werden. Es gibt keine Garantie, dass die Verwendung des IE zum Erfolg führt.

    Eine sehr gute und ausführliche Anleitung zur Verwendung von Zertifikaten in Outlook 2003 finden Sie hier. Natürlich müssen die dort beschriebenen Schritte mit den drei Zertifikaten der Zertifikatkette der Universität Ulm (zum Download dieser Zertifikate siehe Abschnitt IV) und Ihrem eigenen Nutzerzertifikat (das Backup aus Abschnitt II) durchgeführt werden. Eine dem entsprechende Anleitung für Outlook 2007 finden Sie hier (in Englisch).

    Alle Arbeiten können auch direkt mittels des Windows Zertifikat-Stores durchgeführt werden. Sie erreichen den Zertifikat-Store (hier für WindowsXP) via "Start-Menü => Systemsteuerung => Netzwerk und Internetverbindungen => Internetoptionen => Tab: Inhalte => Button: Zertifikate". Im Tab "Vertrauenswürdige Stammzertifizierungsstellen" importieren Sie das "Deutsche Telekom Root CA2" (Wurzelzertifikat - rootcert.crt), im Tab "Zwischenzertifizierungsstellen" importiert Sie "DFN-Verein PCA Global - G01" (DFN-PCA-Zertifikat - intermediatecacert.crt) und "Global-Uni-Ulm-CA" (Global-Uni-Ulm-CA-Zertifikat - cacert.crt) und im Tab "Eigene Zertifikate" importiert Sie Ihr eigenes Zertifikatbackup. Abschließend selektieren Sie in Outlook unter "Extras => Optionen => Tab: Sicherheit => Abschnitt: Verschlüsselte Nachrichten => Button: Einstellungen => Abschnitt: Zertifikate und Algorithmen => Signaturzertifikat UND Verschlüsselungszertifikat: Button: Auswählen" Ihr eben importiertes Zertifikat und starten Outlook neu. Nun sollten Sie neue Nachrichten signieren können.

    Bitte beachten Sie unbedingt die Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII). Wir empfehlen nur das Unterschreiben von E-Mails, jedoch nicht das Verschlüsseln.

    Abschnitt VII: Weitere Browser und E-Mail-Programme

    In diesem Abschnitt finden Sie einige Hinweise zum Umgang mit anderen Browsern und E-Mail-Programmen. Wir können leider nur Mozilla Firefox und Thunderbird direkt unterstützten. Für diese beiden Programme versuchen wir einen möglichst umfassenden Service anzubieten. Da es viele verschiedene Browser- und E-Mail-Programmen in jeweils mehreren Versionen gibt, ist eine Unterstützung aller Programme nicht möglich. Insofern erheben die Hinweise in diesem Abschnitt keinen Anspruch auf Vollständigkeit.

    Hinweise zu weiteren E-Mail-Programmen:

    • K-Mail: K-Mail verwendet "kleopatra" als Krypto-Backend. In kleopatra muss man den privaten pkcs12-Key-Backup und die komplette Key "Chain of Trust" importieren. Außerdem muss man den sha1-fingerprint "sha1_fpr:" (siehe Zertifikat-Details => Tab:Dump) des "CN=Deutsche Telekom Root CA 2,OU=T-TeleSec Trust Center,O=Deutsche Telekom AG,C=D" Zertifikats in der Datei ~/.gnugp/trustlist.txt hinzufügen und anschließend KDE neu starten. Wenn man bis dahin alles richtig gemacht hat, sollte das Telekom Zertifikat nach einem Aufruf von "Validate" nun als "Trusted Root Certificate" markiert sein. Eine entsprechende Markierungsfarbe kann man unter "Erscheinungsbild" in der Konfiguration von Kleopatra definieren. Nun bearbeitet man in K-Mail unter "Einstellungen => K-Mail konfigurieren" die Identität, für die man die Zertifikatverschlüsselung aktivieren möchte. Im Tab "Kyptographie" sollte man den eigenen Schlüssel zum Signieren und zur Eigenverschlüsselung für S/MIME eintragen (durch Klick auf Ändern sucht man in der Kleopatra-Datenbank nach dem passenden Schlüssel). Nun kann man beim Verfassen neuer E-Mails die Buttons "signieren" und "verschlüsseln" verwenden.
    • Mutt/Linux: Ein Template zur S/MIME Konfiguration von Mutt findet man in der Datei "smime.rc" im Verzeichnis "contrib" der Mutt-Installation, z.B. unter "/usr/share/doc/packages/mutt/contrib/smime.rc". Abweichend von den Defaults ist das Anpassen der Optionen "set smime_is_default", "set smime_encrypt_self = yes" und set smime_default_key="12345678.0" wichtig. Weitere Tips zur Anpassung der Optionen und eine Beschreibung zur Installation der Zertifikate und Chains finden Sie unter http://equiraptor.com/smime_mutt_how-to.html.

    Abschnitt VIII: Manuelle Zertifikatsuche und LDAP-Anbindung

    Bitte überprüfen Sie zuerst, ob die Zertifikatkette vollständig in Ihrem E-Mail-Programm importiert und freigegeben ist. Details hierzu finden Sie in den Abschnitten IV, V und VI. Das Anbinden von LDAP ist nur sinnvoll, wenn Sie sehr vielen Nutzern verschlüsselte E-Mails schicken wollen. Wir raten dringend davon ab. Um wenigen ausgewählten Nutzern eine verschlüsselte E-Mail zu senden, können Sie die Person viel einfacher einzeln via DFN-Webseite suchen (siehe nächster Absatz). Darüber hinaus können die Zertifikate auch durch das Zusenden signierter E-Mails ausgetauscht werden.

    Wenn Ihnen das Einrichten des LDAP-Zugangs zu aufwändig ist und Sie an nur wenige Personen verschlüsselte E-Mails schicken wollen, dann können Sie gezielt nach dem Zertifikat einer Person mittels der DFN-Zertifikatsuche suchen. Am besten verwenden Sie im Suchfeld die vollständige Uni-Ulm E-Mail oder den vollständigen Vor- und Nachnamen. Eine Suche nach Namensteilen oder nur nach dem Vor- oder Nachnamen ist in der Regel ohne Erfolg. Wir empfehlen ausschließlich die Suche mittels vollständiger Uni-Ulm E-Mail. Wenn Sie die Person gefunden haben klicken Sie auf das (i) Zeichen in der Zeile mit dem Zertifikat mit Rolle "User" (vermeiden Sie unbedingt Zertifikate mit anderen  Rollen). In der darauf folgenden Webseite können Sie das Zertifikat (PEM-Format) speichern (Button: "Download"). Abschließend importieren Sie die PEM-Datei mit dem Zertifikat-Manager Ihres E-Mail Programms (Tab: "Personen" oder "Zertifikate anderer Personen" - je nach Version des E-Mail-Programms).

    Als Basis-DN (bzw. Suchbasis) verwenden Sie bitte immer O=Universitaet Ulm,OU=DFN-PKI,O=DFN-Verein,C=DE. Dies stellt sicher, dass Ihnen nur Global- und keine Grid-Zertifikate per LDAP angeboten werden. Alternativ (nur für Experten, nur Thunderbird) können Sie auch einen automatischen Suchfilter verwenden: Menü: Extras => Sub-Menü: Einstellungen => Tab: Verfassen => Sub-Tab: Adressieren => Bereich: Adress-Autovervollständigung => [v] LDAP-Verzeichnisserver: DFN-PKI (wenn von Ihnen so im vorhergehenden Schritt benannt) => Button: Bearbeiten => Wählen Sie einen LDAP-Verzeichnisserver: DFN-PKI => Button: Bearbeiten => Tab: Erweitert => Suchfilter: (&(userCertificate=*)(!(o:dn:=GridGermany)))  (anstelle des Defaultwerts (objectclass=*)).

    Bitte beachten Sie, dass der DFN Zertifikat LDAP Server immer nur sehr wenige Einträge (in der Regel maximal 3) zurückliefert und recht langsam ist. Er eignet sich daher nicht, um z.B. nach einem Vor- oder Nachnamen zu suchen. Erst wenn Sie die vollständige E-Mail oder den vollständigen Namen eingegeben haben, gelangen Sie zu dem Zertifikat der von Ihnen gesuchten Person. Bitte vermeiden Sie unbedingt die Verwendung von Grid-Zertifikaten bei der E-Mail-Verschlüsselung.

    Abschnitt IX: Lösungen für gelegentlich auftretende Probleme

    Dieser Abschnitt enthält Lösungen für gelegentlich auftretende Probleme. Der Schwerpunkt des Abschnitts liegt auf einer Hilfestellung bei Verwendung von Zertifikaten in E-Mail Programmen.

    Thunderbird:

    (t01) Wie erreicht man den Zertifikat-Manager in Thunderbird?
    Siehe Absatz 2 von Abschnitt IV.

    (t02) Was ist zu tun, wenn Thunderbird beim Import des eigenen Zertifikat-Backups die Meldung "Die PKC#12-Operation ist aus unbekannten Gründen fehlgeschlagen" anzeigt?
    Überprüfen Sie, dass alle Zertifikate der Zertifikatkette vorhanden sind und ihnen allen vertraut wird. Siehe hierzu Absatz 1, 2, 3 und 4 von Abschnitt IV. Überprüfen Sie, dass Sie die richtige Datei importieren und dass diese unbeschädigt ist.

    (t03) Was ist zu tun, wenn das Senden einer verschlüsselten Nachricht mit der Meldung "Senden der Nachricht ist fehlgeschlagen. Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für vorname.nachname@uni-ulm.de finden." fehl schlägt?
    Überprüfen Sie, dass alle Zertifikate der Zertifikatkette vorhanden sind und ihnen allen vertraut wird. Siehe hierzu Absatz 1, 2, 3 und 4 von Abschnitt IV. Überprüfen Sie, ob sich im Tab "Personen" bzw. "Andere Personen" des Zertifikat-Managers genau ein Eintrag mit der Empfänger E-Mail "vorname.nachname@uni-ulm.de" befindet. Stehen dort mehrere Einträger zur selben E-Mail, dann entfernen Sie bitte die älteren / abgelaufenen / nicht-DFN Zertifikate (Zeile markieren und dann Button "Löschen" drücken). Finden Sie dort keinen Eintrag mit der Empfänger E-Mail, dann importieren Sie das Zertifikat des Empfängers bitte wie in Absatz 2 von Abschnitt VIII beschrieben.

    Mac-Mail:

    (m01) Wie erreicht man die Schlüsselbundverwaltung in Mac-Mail?
    Siehe Absatz 1 von Abschnitt V.

    Outlook:

    (o01) Wie erreicht man den Zertifikat-Store von Windows?
    Siehe Absatz 4 von Abschnitt VI.