DFN Global certificates

This page describes how members of Ulm University can obtain DFN global user certificates. These certificates can be utilized e.g. for signing emails. If you want to read something about how certificates work or about the difference between DFN grid and global certificates, please visit our introduction to digital certificates.

The description is for the Firefox browser and only valid for members of Ulm University. Please note that signs by these certificates are NOT legally binding and that your Global certificate has to be renewed after 3 years. Loosing your private key or forgetting the keystore password immediately leads to data loss of all files and emails, that have been encrypted with your public key. Therefore you should definitively create a backup of your private and public key (best use pkcs12-format with ending .p12) as soon as you have imported your signed public key. It is NOT possible to reconstruct your private key or your data!

Certificates are signed only for emails with "@uni-ulm.de". Accepting publication of the certificate is mandatory. During the first step your private key is stored immediately in the keystore of your browser in your account on your local computer. Therefore you should not switch the account, the computer or the browser during the following steps. Advice: Use the PC at your own workplace or your laptop for all steps.

Please follow the instructions step by step due to interdependencies between sections I, II and IV.

Section I: Application for an DFN Global user certificate

A certificate is kind of a digital passport signed by an authority (your certificate authority) that authenticates the owner of this particular passport/certificate. So if you show your certificate to somebody else and that person trusts the signing authority, this person knows for sure who you are. Such a certificate always consists of a private and a public key. The private key has similarities to a real world key, while you can imagine the public key to be some kind of a corresponding lock. Everybody can access the public key without any restrictions. By signing something with your private key, everybody else can verify your identity by checking your sign with the public key. Hence it is of utmost importance to keep your private key secret. Firefox utilizes a master keystore password to protect your private keys. It will ask for your keystore password when you try to access the private keys in the store. We strongly suggest to use a strong password to ensure a high level of protection for your private keys.

  1. First of all you should enter the Preferences of Firefox (Edit => Preferences, Firefox 3.5: Tools => Options) and activate the "[v] Use a master password" checkbox under the "Security" tab. In addition some features require activation of the "[v] Java" and "[v] Javascript" checkboxes (Mac/Firefox3.6: Only JavaScript available) below "Content" tab of menu "Edit => Preferences, Firefox 3.5: Tools => Options".

  2. Use Firefox to visit the DFN global user certificate page (and accept the unsigned certificate of that page): 

    • Firefox 2.x: Just click "OK".
    • Firefox 3.0: Click the "Or you can add an exception" link in the lower part of the white box, then the "Add Exception" button followed by the "Get Certificate" and "Confirm Security Exception" buttons.
    • Firefox 3.5+: The root certificate is already included in newer versions of Firefox. Therefore the DFN page is loaded without any message box in case of new browser versions.

  3. When you are at the DFN page "Willkomen zur DFN-PKI", first select tab "CA-Zertifikate" and there the sub-tabs "Wurzelzertifikat", "DFN-PCA Zertifikat" and "Global-Uni-Ulm CA Zertifikat". A message box opens for each missing CA-Certificate. Activate the three entries "[x] Dieser CA vertrauen, um ..." found in the message box and hit the ok button. This should install the root certificate and the key chain of trust in your browser. Only a short message is displayed if the CA-Certificates are installed already. Thereafter select tab "Zertifikate" and sub-tab "Nutzerzertifikat" from the menu. The displayed page should look similar to the figure shown below (please click the image to enlarge - for details see text below image):

  1. ATTENTION: Do not use special characters when filling out the form. Replace e. g. German umlauts with their corresponding transcriptions like "ae", "oe", "ue" and "ss" for "ß".
    Enter your uni-ulm.de email address into (1) and your name (at least one given name and full family name, as stated in your passport) into (2). Dr. or PhD is allowed as name prefix, if stated in your passport too. PD and Prof. are not allowed at all since not part of the name. Please leave empty the field "Abteilung".
    Below "weitere Angaben" entere a PIN number for your certificate in (3) and re-enter it into (4). The PIN will be needed if you want to recall the certificate.

    Finally you have to accept the certificate policy of the DFN (5) and provide your consent that the public key part of your certificate will be published (6).

  2. After clicking on "weiter" (7) you will be led to the next page. Here you should check the information you entered into the previous form. If everything is fine you can submit the data with a click on "Bestätigen" or correct your answers with "Ändern", which will lead you back to the previous form.

  3. After your click on "Bestätigen" the server will process your data and after clicking on "Zertifikatantrag anzeigen" a pdf-file similar to that shown below should be opened or downloaded (depending on your system settings).

  1. Print the form. Put your department / institute in at (1) - students simply use "Student" there. In the lower part of (1), your passport identification data is required: In case of a passport you have to mark "Reisepass" and in case of an ID card "Personalausweis" and the last 5 digits of the corresponding number as stated in your passport / ID card (if you are not sure just leave this line blank and fill it out when you visit your RA).  Finally put in the town and date and sign the document (2). If you did not state your full given name in the electronic application, please note done the additional names in field "Vorname Nachname" manually written.

  2. Bring the application, along with your valid ID card and your university membership card to your local registration authority (RA). Please arrange for an appointment with a member of staff from your Global-Uni-Ulm-RA to avoid inconveniences. (Global-Uni-Ulm-RA contact information is in the gray box on the right hand side of this page's upper part)

Section II: Firefox certificate import + backup

After your identity has been verified at your RA you will receive an email containing information about your signed public key and how to fetch it. This email is created automatically by the DFN. It is not sent by us.

The Firefox Browser offers a convenient method to securely store private keys with the help of a so called "Certificate Manager". A "Master Password" ensures that your certificates are safe from illegitimate access. If you have not already set a strong "Master Password" in your Firefox browser we strongly suggest, that you do so now. (The steps involved into setting such a password are explained in previous section).

  1. Before you proceed please select
    Firefox-Menu: "Edit",
    Submenu: "Preferences" ("Firefox-Preferences" window opens),
    Tab: "Advanced",
    Sub-Tab: "Encryption"
    and activate the check box "(x) Ask me every time". This will help to prevent some problems we faced, while testing this procedure.

  2. If the root certificate and the chain of trust is still missing in your Firefox browser, you can install those certificates by copying the first link of the email "1. Für die CA-Zertifikate wählen Sie bitte die Seite ..." into your Firefox browser and clicking on all Sub-Tabs "Wurzelzertifikat", "DFN-PCA Zertifikat" and "Global-Uni-Ulm CA Zertifikat".

  3. To import your new certificate into Firefox's certificate manager use the second link situated after "2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:" in the email from your RA. At the page the link refers to, click on "Zertifikat importieren" and -- depending on your Firefox settings and version -- the following dialog will either appear or remain absent.

    "[x] Dieser CA vertrauen, um Webseiten zu identifizieren."
    "[x] Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren."
    "[x] Dieser CA vertrauen, um Software-Entwickler zu identifizieren."

    If the dialog appears make sure that all boxes are checked and proceed. Typically when the former dialog box does not appear, a warning message will be displayed telling you that the downloaded private key has been installed and you should consider to make a backup.

    "Warnung: Ihr persönliches Zertifikat wurde installiert. Sie sollten eine Sicherungskopie dieses Zertifikats aufheben."

    Though this dialog is a warning everything is ok.

  4. As you will need a backup copy of your certificate e.g. for import in your email program you should follow Firefox's advice and create one now. This can be done in the "Certificate Manager" which can be found via
    Firefox-Menu: "Edit",
    Submenu: "Preferences" ("Firefox-Preferences" window opens),
    Tab: "Advanced",
    Sub-Tab: "Encryption"
    Button: "View Certificates" ("Certificate Manager" window opens),
    Tab: "Your Certificates".
    If everything went well so far your name should be listed here. Simply select the line containing your name and click on Button "Backup" or "Export" (depending on Firefox version). Choose the location where the backup file shall be created and enter your Master Password into the respective dialog box. The last dialog asks you for a password for the backup. All these passwords are a nuisance but if you choose a bad password for this backup your private key is at stake. So you should once more think of a strong password and remember it. The password quality meter in the lower part of the dialog box is a hint on the strength of the password you made up. Finally click on "OK" and the backup file (PKCS12 format) will be created at the previously chosen location.

If your original private key is lost either by a hardware failure or due to faulty operation you will have to repeat the previous and following steps to apply for a new one. Hence it is sensible to save the backup at a secure place. Consider for example burning a CD containing your key.

Section III: Renew your DFN Global certificate

Three years after creating your DFN Global certificate you will get an automatic email "Ihr Zertifikat wird ablaufen" which points out that your certificate will expire soon. If you want to renew your certificate please follow the instructions found in sections I and II within this text. To renew the certificate it has to be recreated and you have to prove your identity again. Please make sure that the DN (among other things your name) of the new certificate is identical to the DN of your former certificate (exceptions e.g. marriage).

Abschnitt IV: Import des Zertifikats in Thunderbird

Dieser Abschnitt beschreibt, wie Sie im Thunderbird die Vertrauenseinstellungen der Zertifikatkette überprüfen und Ihr Global Nutzerzertifikat importieren und aktivieren können. Da der Keystore des Thunderbirds unabhängig von dem des Firefox ist, müssen Sie im Thunderbird erneut ein Master-Passwort setzen. Sie können dort das gleiche Passwort wie im Firefox verwenden.

Bitte überprüfen Sie im Thunderbird-Menü unter "Bearbeiten bzw. Extras" (beim Mac unter "Thunderbird"), Untermenü "Einstellungen", im Tab "Sicherheit", Subtab "Passwörter", dass "[v] Master-Passwort verwenden" aktiviert ist.

Wenn Sie Zertifikate einsetzen müssen Sie von Zeit zu Zeit mit dem Zertifikat-Manager von Firefox bzw. Thunderbird arbeiten. Je nach Version von Firefox bzw. Thunderbird unterscheiden sich die Menüeinträge und Beschriftungen. Diese Alternativen sind im Weiteren durch "oder" getrennt aufgeführt. Sie erreichen den Zertifikat-Manager wie folgend beschrieben:
Firefox oder Thunderbird Menü: "Bearbeiten" oder "Extras" oder "Firefox" oder "Thunderbird" (je nach Firefox- bzw. Thunderbird-Version),
=> Submenü: "Einstellungen",
=> Tab: "Erweitert",
=> Subtab: "Verschlüsselung" oder "Zertifikate" (je nach Firefox- bzw. Thunderbirdversion),
=> Button: "Zertifikate anzeigen" oder "Zertifikate" (je nach Firefox- bzw. Thunderbirdversion).

Stellen Sie im Thunderbird sicher, dass die drei Zertifikate der Zertifikatkette existieren (wenn nicht siehe nächster Absatz) und dass Sie den Zertifikaten vertrauen (siehe Abbildung am Anfang des Abschnitts oben rechts):
Thunderbird Zertifikatmanager:
=> Tab: "Zertifizierungsstellen",
=> scrollen Sie zu den Zertifikatgruppen "[-] Deutsche Telekom AG" und "[-] DFN Verein" und markieren Sie (Einfachklick) jeweils eines der drei Zertifikate (achten Sie auf die genaue Schreibweise) "Deutsche Telekom Root CA2", "DFN-Verein PCA Global - G01" und "Global-Uni-Ulm-CA" (die Zeile ist dann blau),
=> klicken Sie (nacheinander für jedes der drei Zertifikate) auf den Button "Bearbeiten",
=> stellen Sie sicher, dass alle drei Haken [v] der Vertrauenseinstellungen bei jedem der drei Zertifikate gesetzt sind (siehe Abbildung),
=> bestätigen Sie dies jeweils mit einem Klick auf den Button "OK".

Wenn im Thunderbird Zertifikate der Zertifikatkette fehlen, dann können Sie die benötigten Zertifikate aus dem Firefox exportieren und im Thunderbird importieren:
Export: Firefox Zertifikatmanager:
=> Tab: "Zertifizierungsstellen",
=> markieren Sie (Einfachklick) jeweils ein Zertifikat "Deutsche Telekom Root CA2", "DFN-Verein PCA Global - G01" und "Global-Uni-Ulm-CA" (die markierte Zeile ist dann blau),
=> klicken Sie (für jedes dieser Zertifikate) auf den Button "Exportieren",
=> speichern Sie die drei Zertifikate auf der Festplatte.
Wenn Sie die Zertifikate nicht im Firefox finden, können Sie diese auch direkt von der DFN-Webseite herunterladen (durch jeweils einen Rechtsklick auf die Tabs "Wurzelzertifikat", "DFN-PCA-Zertifikat" und "Global-Uni-Ulm-CA-Zertifikat" nebst "Ziel speichern unter").
Import: Thunderbird Zertifikatmanager:
=> Tab: "Zertifizierungsstellen",
=> importieren Sie mittels Klick auf den Button "Importieren" nacheinander die drei Zertifikate der Zertifikatkette (wenn nicht schon vorhanden).
Wenn Sie bei dem Import nach den Vertrauenseinstellungen gefragt werden, dann sollten Sie alle drei Haken [v] setzen.
Bitte überprüfen Sie nach dem Import nochmals die Vertrauenseinstellungen (siehe vorheriger Absatz).

Importieren Sie das pkcs12-Backup Ihres Global-Nutzerzertifikates in den Thunderbird:
Thunderbird-Zertifikatmanager:
=> Tab: "Ihre Zertifikate" oder "Meine Zertifikate",
=> Button: "Importieren",
=> suchen Sie das Backup Ihres Nutzerzertifikats auf der Festplatte und importieren Sie es.
Beim Import werden Sie zunächst nach dem Backup-Passwort und danach nach dem Thunderbird-Keystore-Passwort gefragt.
Nach dem erfolgreichen Import sollte nun Ihr neues Zertifikat unter "Ihre Zertifikate" oder "Meine Zertifikate" zu sehen sein.

Legen Sie im Thunderbird fest, mit welchem Zertifikat Sie die E-Mails unterschreiben möchte:
Thunderbird Menü: "Extras",
=> Submenü: "Konten" oder "Konten-Einstellungen",
=> Unterbereich: "S/MIME-Sicherheit Ihres E-Mail Kontos",
=> Kasten: "Digitale Unterschrift",
=> Button: "Auswählen" (eine Dialogbox geht auf),
=> wählen Sie das eben importierte Zertifikat aus,
=> bestätigen Sie mit "OK" oder "ja", dass das Zertifikat auch für die Verschlüsselung verwendet wird.
=> Abschließend müssen Sie Thunderbird neu starten.

Beim Verfassen neuer Nachrichten sollte Ihnen nun der Button "S/MIME" die Möglichkeit zum Unterschreiben von Nachrichten bieten (klicken Sie hierfür auf das kleine schwarze Dreieck neben dem Button "S/MIME"):

Bitte beachten Sie unbedingt die Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII). Wir empfehlen nur das Unterschreiben von E-Mails, jedoch nicht das Verschlüsseln.

Wenn Sie eine unterschriebene E-Mail empfangen haben und Thunderbird die Signatur der E-Mail verifizieren kann, dann wird folgendes Symbol eingeblendet:

Sie können das Briefsymbol auch ankicken, um Details über die Signatur zu erfahren.

Wenn Thunderbird die Signatur jedoch nicht verifizieren kann, dann wird folgendes Briefsymbol eingeblendet:

Das Fehlschlagen der Signaturüberprüfung kann mehrere Ursachen haben. Oft wird der Zertifikatkette des Senders nicht vertraut und somit wird die Unterschrift abgelehnt. Dies kann man korrigieren, indem man allen Zertifikaten der Sender-Zertifikatkette das Vertrauen ausspricht. Man findet die Sender-Zertifikatkette, indem man auf das Briefsymbol, dann auf den Button "Unterschriftszertifikat ansehen" klickt und den Tab "Details" auswählt. Dort steht in Fenster "Zertifikatshierachie" die Zertifikatkette. Die entsprechenden Zertifikate sucht man dann im Zertifikat-Manager und spricht ihnen das Vertrauen aus (für Details zum Umgang mit Zertifikatketten siehe weiter oben in diesem Abschnitt).

Abschnitt V: Mac Safari + Mac Mail

Auf Apple Rechnern werden die Schlüssel zentral im Schlüsselbund verwaltet. Der Schlüsselbund ist automatisch durch das Login-Passwort abgesichert. Sowohl der Web-Browser Safari als auch das Mac-Mail-Programm verwenden gemeinsam die im Schlüsselbund gespeicherten Zertifikate. Die Schlüsselbundverwaltung erreichen Sie über Finder => Programme => Dienstprogramme => Schlüsselbundverwaltung. Alternativ können Sie auch einfach nach "Schlüsselbundverwaltung" im Spotlight suchen.

Das Stellen des Zertifikatantrags geschieht analog zu der Beschreibung für den Firefox. Die Zertifikatkette kann man manuell installieren, indem man "Wurzelzertifikat", "DFN-PCA Zertifikat" und "Global-Uni-Ulm CA Zertifikat" im Tab "CA-Zertifikate" der DFN-Webseite einzeln anklickt, die entsprechenden Datei unter den Namen "Wurzelzertifikat.crt", "DFN-PCA-Zertifikat.crt" und "Global-Uni-Ulm-CA.crt" speichert und anschließend durch einen Doppelklick auf die jeweilige Datei manuell in den Schlüsselbund importiert. Der Schlüsselbund wird durch den Doppelklick automatisch gestartet. (In ähnlicher Weise kann man auch mit dem Firefox die Zertifikatkette speichern und dann in den Mac-Schlüsselbund übertragen.) Zum Installieren Ihres Nutzerzertifikats öffnet man den 2. Link der E-Mail, klickt in der Webseite auf "Zertifikat importieren" und speichert die Datei vorerst unter dem Namen "pki" (das machen einige Safari-Versionen so). Dann benennt man die Datei in "pki.p12" um und importiert diese wieder durch einen Doppelklick in den Schlüsselbund. Da die Datei Ihren privaten Schlüssel enthält, ist es empfehlenswert, diese sofort zu löschen und den Papierkorb zu leeren.

Abschließend sollte man unbedingt die Vertrauenseinstellungen aller importierten Zertifikate kontrollieren. Hierfür öffnet man im Schlüsselbund die Detailansicht zu jedem der importierten Zertifikate - durch einen Doppelklick auf die Zertifikatzeilen "Deutschte Telekom Root CA 2", "DFN-Verein PCA Global - G01", "Global-Uni-Ulm-CA" und "Vorname Nachname (Ihr Zertifikat)". Danach öffnet man mit einem Einfachklick den Bereich "Vertrauen" und ändert den Eintrag "Bei Verwendung dieses Zertifikats" zu "Immer Vertrauen" ab (siehe Abbildung oben). Nachdem man das mit allen Zertifikaten (insbesondere auch mit dem eigenen Nutzerzertifikat) gemacht hat (siehe 4 blaue (+) Zeichen in der Abbildung oben), sollte nach dem Neustart des E-Mail Programms beim Editieren neuer E-Mails ein Button zum Signieren von E-Mails angezeigt werden:

Bitte beachten Sie unbedingt die Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII). Wir empfehlen nur das Unterschreiben von E-Mails, jedoch nicht das Verschlüsseln.

Wenn Sie eine signierte E-Mail empfangen haben deren Signatur vom Mac Mailprogramm überprüft werden konnte, dann wird die Meldung "Signiert" (siehe folgendes Bild) angezeigt (eventuell müssen Sie erst die Details des Mail-Headers einblenden):

Wenn die Signatur jedoch nicht verifiziert werden konnte, dann wird zusätzlich noch die Meldung

angezeigt. Da das Fehlschlagen einer Signaturüberprüfung sehr oft an fehlenden Vertrauenseinstellungen der Zertifikatkette liegt, sollten Sie in diesem Fall überprüfen, ob Sie allen Zertifikaten der Zertifikatkette des Signaturzertifikats vertrauen.

Abschnitt VI: Windows Internet-Explorer + Outlook

Wir raten dringend von der Verwendung des Internet Explorers bei der Antragstellung ab. Bitte verwenden Sie den Firefox wie in den Abschnitten I und II beschrieben. Siehe hierzu auch die DFN-FAQ zu Windows und Internet Explorer. Wir leisten bei Problemen bezüglich des IE keinen Support.

Wenn Sie trotzdem den Internet-Explorer verwenden wollen, dann ist das Vorgehen ähnlich zu dem Vorgehen mit dem Firefox. Je nach Sicherheitseinstellungen fragt der Internet-Explorer z.B. nach Popups oder Skript-Ausführung. Es kann empfehlenswert sein, die Internetsicherheit kurzfristig auf "Mittel" zu stellen. Auch der Internet-Explorer speichert die Zertifikate in einem lokalen Zertifikat-Store "Menü: Extras => Sub-Menü:Internetoptionen => Tab:Inhalte => Button:Zertifikate". Hier können Formate im pkcs12-Format importiert und exportiert werden. Es gibt keine Garantie, dass die Verwendung des IE zum Erfolg führt.

Eine sehr gute und ausführliche Anleitung zur Verwendung von Zertifikaten in Outlook 2003 finden Sie hier. Natürlich müssen die dort beschriebenen Schritte mit den drei Zertifikaten der Zertifikatkette der Universität Ulm (zum Download dieser Zertifikate siehe Abschnitt IV) und Ihrem eigenen Nutzerzertifikat (das Backup aus Abschnitt II) durchgeführt werden. Eine dem entsprechende Opens external link in new windowAnleitung für Outlook 2007 finden Sie hier (in Englisch).

Alle Arbeiten können auch direkt mittels des Windows Zertifikat-Stores durchgeführt werden. Sie erreichen den Zertifikat-Store (hier für WindowsXP) via "Start-Menü => Systemsteuerung => Netzwerk und Internetverbindungen => Internetoptionen => Tab: Inhalte => Button: Zertifikate". Im Tab "Vertrauenswürdige Stammzertifizierungsstellen" importieren Sie das "Deutsche Telekom Root CA2" (Wurzelzertifikat - rootcert.crt), im Tab "Zwischenzertifizierungsstellen" importiert Sie "DFN-Verein PCA Global - G01" (DFN-PCA-Zertifikat - intermediatecacert.crt) und "Global-Uni-Ulm-CA" (Global-Uni-Ulm-CA-Zertifikat - cacert.crt) und im Tab "Eigene Zertifikate" importiert Sie Ihr eigenes Zertifikatbackup. Abschließend selektieren Sie in Outlook unter "Extras => Optionen => Tab: Sicherheit => Abschnitt: Verschlüsselte Nachrichten => Button: Einstellungen => Abschnitt: Zertifikate und Algorithmen => Signaturzertifikat UND Verschlüsselungszertifikat: Button: Auswählen" Ihr eben importiertes Zertifikat und starten Outlook neu. Nun sollten Sie neue Nachrichten signieren können.

Bitte beachten Sie unbedingt die Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII). Wir empfehlen nur das Unterschreiben von E-Mails, jedoch nicht das Verschlüsseln.

Abschnitt VII: Weitere Browser und E-Mail-Programme

In diesem Abschnitt finden Sie einige Hinweise zum Umgang mit anderen Browsern und E-Mail-Programmen. Wir können leider nur Mozilla Firefox und Thunderbird direkt unterstützten. Für diese beiden Programme versuchen wir einen möglichst umfassenden Service anzubieten. Da es viele verschiedene Browser- und E-Mail-Programmen in jeweils mehreren Versionen gibt, ist eine Unterstützung aller Programme nicht möglich. Insofern erheben die Hinweise in diesem Abschnitt keinen Anspruch auf Vollständigkeit.

Hinweise zu weiteren E-Mail-Programmen:

  • K-Mail: K-Mail verwendet "kleopatra" als Krypto-Backend. In kleopatra muss man den privaten pkcs12-Key-Backup und die komplette Key "Chain of Trust" importieren. Außerdem muss man den sha1-fingerprint "sha1_fpr:" (siehe Zertifikat-Details => Tab:Dump) des "CN=Deutsche Telekom Root CA 2,OU=T-TeleSec Trust Center,O=Deutsche Telekom AG,C=D" Zertifikats in der Datei ~/.gnugp/trustlist.txt hinzufügen und anschließend KDE neu starten. Wenn man bis dahin alles richtig gemacht hat, sollte das Telekom Zertifikat nach einem Aufruf von "Validate" nun als "Trusted Root Certificate" markiert sein. Eine entsprechende Markierungsfarbe kann man unter "Erscheinungsbild" in der Konfiguration von Kleopatra definieren. Nun bearbeitet man in K-Mail unter "Einstellungen => K-Mail konfigurieren" die Identität, für die man die Zertifikatverschlüsselung aktivieren möchte. Im Tab "Kyptographie" sollte man den eigenen Schlüssel zum Signieren und zur Eigenverschlüsselung für S/MIME eintragen (durch Klick auf Ändern sucht man in der Kleopatra-Datenbank nach dem passenden Schlüssel). Nun kann man beim Verfassen neuer E-Mails die Buttons "signieren" und "verschlüsseln" verwenden.
  • Mutt/Linux: Ein Template zur S/MIME Konfiguration von Mutt findet man in der Datei "smime.rc" im Verzeichnis "contrib" der Mutt-Installation, z.B. unter "/usr/share/doc/packages/mutt/contrib/smime.rc". Abweichend von den Defaults ist das Anpassen der Optionen "set smime_is_default", "set smime_encrypt_self = yes" und set smime_default_key="12345678.0" wichtig. Weitere Tips zur Anpassung der Optionen und eine Beschreibung zur Installation der Zertifikate und Chains finden Sie unter http://equiraptor.com/smime_mutt_how-to.html.

Abschnitt VIII: Manuelle Zertifikatsuche und LDAP-Anbindung

Bitte überprüfen Sie zuerst, ob die Zertifikatkette vollständig in Ihrem E-Mail-Programm importiert und freigegeben ist. Details hierzu finden Sie in den Abschnitten IV, V und VI. Das Anbinden von LDAP ist nur sinnvoll, wenn Sie sehr vielen Nutzern verschlüsselte E-Mails schicken wollen. Wir raten dringend davon ab. Um wenigen ausgewählten Nutzern eine verschlüsselte E-Mail zu senden, können Sie die Person viel einfacher einzeln via DFN-Webseite suchen (siehe nächster Absatz). Darüber hinaus können die Zertifikate auch durch das Zusenden signierter E-Mails ausgetauscht werden.

Wenn Ihnen das Einrichten des LDAP-Zugangs zu aufwändig ist und Sie an nur wenige Personen verschlüsselte E-Mails schicken wollen, dann können Sie gezielt nach dem Zertifikat einer Person mittels der DFN-Zertifikatsuche suchen. Am besten verwenden Sie im Suchfeld die vollständige Uni-Ulm E-Mail oder den vollständigen Vor- und Nachnamen. Eine Suche nach Namensteilen oder nur nach dem Vor- oder Nachnamen ist in der Regel ohne Erfolg. Wir empfehlen ausschließlich die Suche mittels vollständiger Uni-Ulm E-Mail. Wenn Sie die Person gefunden haben klicken Sie auf das (i) Zeichen in der Zeile mit dem Zertifikat mit Rolle "User" (vermeiden Sie unbedingt Zertifikate mit anderen  Rollen). In der darauf folgenden Webseite können Sie das Zertifikat (PEM-Format) speichern (Button: "Download"). Abschließend importieren Sie die PEM-Datei mit dem Zertifikat-Manager Ihres E-Mail Programms (Tab: "Personen" oder "Zertifikate anderer Personen" - je nach Version des E-Mail-Programms).

Der DFN stellt eine ausführliche Beschreibung (pdf) zur Anbindung von Thunderbird und Outlook (nur 2003, nicht! Express) an den DFN LDAP Server bereit. Hierdurch können Zertifikate zum Verschlüsseln von E-Mails automatisch bezogen werden. Im GWDG Wiki finden Sie eine kurze Beschreibung zur Anbindung von Outlook (2003 und 2007, nicht! Express), Thunderbird, Entourage und zur Benutzung der Kommandozeile.

Als Basis-DN (bzw. Suchbasis) verwenden Sie bitte immer O=Universitaet Ulm,OU=DFN-PKI,O=DFN-Verein,C=DE. Dies stellt sicher, dass Ihnen nur Global- und keine Grid-Zertifikate per LDAP angeboten werden. Alternativ (nur für Experten, nur Thunderbird) können Sie auch einen automatischen Suchfilter verwenden: Menü: Extras => Sub-Menü: Einstellungen => Tab: Verfassen => Sub-Tab: Adressieren => Bereich: Adress-Autovervollständigung => [v] LDAP-Verzeichnisserver: DFN-PKI (wenn von Ihnen so im vorhergehenden Schritt benannt) => Button: Bearbeiten => Wählen Sie einen LDAP-Verzeichnisserver: DFN-PKI => Button: Bearbeiten => Tab: Erweitert => Suchfilter: (&(userCertificate=*)(!(o:dn:=GridGermany)))  (anstelle des Defaultwerts (objectclass=*)).

Bitte beachten Sie, dass der DFN Zertifikat LDAP Server immer nur sehr wenige Einträge (in der Regel maximal 3) zurückliefert und recht langsam ist. Er eignet sich daher nicht, um z.B. nach einem Vor- oder Nachnamen zu suchen. Erst wenn Sie die vollständige E-Mail oder den vollständigen Namen eingegeben haben, gelangen Sie zu dem Zertifikat der von Ihnen gesuchten Person. Bitte vermeiden Sie unbedingt die Verwendung von Grid-Zertifikaten bei der E-Mail-Verschlüsselung.

Abschnitt IX: Lösungen für gelegentlich auftretende Probleme

Dieser Abschnitt enthält Lösungen für gelegentlich auftretende Probleme. Der Schwerpunkt des Abschnitts liegt auf einer Hilfestellung bei Verwendung von Zertifikaten in E-Mail Programmen.

Tunderbird:

(ta) Wie erreicht man den Zertifikat-Manager in Thunderbird? Siehe Absatz 2 von Abschnitt IV.

(tb) Was ist zu tun, wenn Thunderbird beim Import des eigenen Zertifikat-Backups die Meldung "Die PKC#12-Operation ist aus unbekannten Gründen fehlgeschlagen" anzeigt? Überprüfen Sie, dass alle Zertifikate der Zertifikatkette vorhanden sind und ihnen allen vertraut wird. Siehe hierzu Absatz 1, 2, 3 und 4 von Abschnitt IV. Überprüfen Sie, dass Sie die richtige Datei importieren und dass diese unbeschädigt ist.

(tc) Was ist zu tun, wenn das Senden einer verschlüsselten Nachricht mit der Meldung "Senden der Nachricht ist fehlgeschlagen. Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für vorname.nachname@uni-ulm.de finden." fehl schlägt? Überprüfen Sie, dass alle Zertifikate der Zertifikatkette vorhanden sind und ihnen allen vertraut wird. Siehe hierzu Absatz 1, 2, 3 und 4 von Abschnitt IV. Überprüfen Sie, ob sich im Tab "Personen" bzw. "Andere Personen" des Zertifikat-Managers genau ein Eintrag mit der Empfänger E-Mail "vorname.nachname@uni-ulm.de" befindet. Stehen dort mehrere Einträger zur selben E-Mail, dann entfernen Sie bitte die älteren / abgelaufenen / nicht-DFN Zertifikate (Zeile markieren und dann Button "Löschen" drücken). Finden Sie dort keinen Eintrag mit der Empfänger E-Mail, dann importieren Sie das Zertifikat des Empfängers bitte wie in Absatz 2 von Abschnitt VIII beschrieben.

Mac-Mail:

(ma) Wie erreicht man die Schlüsselbundverwaltung in Mac-Mail? Siehe Absatz 1 von Abschnitt V.

Outlook:

(oa) Wie erreicht man den Zertifikat-Store von Windows? Siehe Absatz 4 von Abschnitt VI.

Help Desk

Kontaktzeiten Mon - Fri   8 a.m. - 6 p.m.
Telefon +49 (0)731/50-30000
E-Mailhelpdesk(at)uni-ulm.de
Help Desk support form
[more]

Service Points kiz

Contact Global-Uni-Ulm-RA

Attention: Most important facts about Global certificates (German).

User identification (only Global user certificates) is available at the registration centers of the following service points:

Please contact our Global-Uni-Ulm-RA ra(at)uni-ulm.de to arrange a meeting for an individual identification or if you have questions concerning certificate creation.