Service-Kategorie: Informationssicherheit

Der Anbieter von digitalen Zertifikaten, Sectigo, hat den Dienst zum 10.1.2025 kurzfristig gekündigt. Seit dem 11.1.2025 können keine neuen Zertifikate bei Sectigo beantragt werden. Die Laufzeit gültiger Sectigo-Zertifikate wird nach derzeitigem Kenntnisstand durch die Kündigung nicht beeinflusst.

Zur Zeit arbeiten wir in Zusammenarbeit mit dem DFN-Verein an einer Übergangslösung, welche einen eingeschränkten Dienst mittels eines anderen Anbieters zur Verfügung stellt.

Serverzertifikate: Für Serverzertifikate (SSL) ist mittlerweile ein eingeschränkter Dienst verfügbar.

Nutzerzertifikate: Nutzerzertifikate (E-Mail) auf dem bisherigen Sicherheitsniveau sind noch nicht verfügbar: Der neue Anbieter implementiert zur Zeit ein Shibboleth-basiertes Antragsverfahren. Wann genau das neue Verfahren verfügbar ist, steht leider noch nicht fest. Wir sowie der DFN-Verein sind hier abhängig von dem neuen Anbieter, der sehr kurzfristig in die von Sectigo aufgerissene Lücke gesprungen ist. Sectigo hatte für die Implementierung des Verfahrens mehr als ein Jahr Zeit. Wir hoffen, dass der neue Anbieter das deutlich schneller umsetzen wird. Jedoch können weitere Verzögerungen bis zur Verfügbarkeit leider nicht ausgeschlossen werden. Neuigkeiten dazu werden auf dieser Webseite veröffentlicht.

Ein digitales Zertifikat ist ein elektronischer Datensatz, der bestimmte Eigenschaften von Personen oder Computern beschreibt und der durch kryptographische Verfahren überprüft werden kann. Bei der Erstellung eines Zertifikats wird zunächst ein privater und ein öffentlicher Schlüssel erzeugt. Der öffentliche Schlüssel wird dann zusammen mit weiteren Eigenschaften, etwa dem Namen einer Person oder eines Servers, durch die Signatur der Zertifizierungsstelle bestätigt. Das so entstehende Dokument ist das digitale Zertifikat der Person bzw. des Servers (siehe auch: Einführung in digitale Zertifikate).

Das Zertifikat der Zertifizierungsstelle selbst wird mit dem gleichen Verfahren durch eine übergeordnete Zertifizierungsstelle abgesichert. Dieser Vorgang wird so lange fortgesetzt, bis man zu einem bereits bekannten Wurzelzertifikat gelangt. Ausgehend von dem Wurzelzertifikat, dem man vertrauen muss, ergibt sich so eine überprüfbare Zertifikatskette bis hin zu dem von uns ausgestellten Zertifikat.

Die Zertifikatserstellung erfolgt über TCS (Trusted Certificate Service). Dieser ist ein PKI-Angebot (Public Key Infrastructure), welches der DFN-Verein (Deutsches Forschungsnetz) über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe des externen Anbieters Sectigo. Mitglieder der Universität Ulm können über Sectigo sowohl Nutzer- als auch Serverzertifikate beziehen.

Das Sicherheitsniveau der Zertifikate erfordert, dass die Identität des Zertifikatsinhabers mittels amtlicher Ausweispapiere festgestellt wurde. Ein weiterer Vorteil dieser Zertifikate ist, dass das Wurzelzertifikat „USERTrust RSA Certification Authority“ der Sectigo Zertifikatskette in den meisten modernen Browsern und E‑Mail-Programmen bereits ab Installation enthalten ist. Daher funktioniert diese Zertifikatskette in der Regel unmittelbar und ohne weitere Eingriffe des Nutzers.

Ein wesentlicher Einsatzbereich von Zertifikaten ist das Absichern der Kommunikation per E‑Mail. Der Besitzer eines Zertifikats kann seine E‑Mail mit seinem privaten Schlüssel signieren und dann die signierte E‑Mail zusammen mit seinem öffentlichen Schlüssel versenden. Der Empfänger kann die Authentizität der E‑Mail mit Hilfe des öffentlichen Schlüssels des Senders prüfen und gleichzeitig dessen Identität mit Hilfe der Zertifikatskette bestätigen. Somit weiß der Empfänger, dass er die unveränderte E‑Mail des Senders erhalten hat.

Zur Zeit steht der Dienst leider nicht zur Verfügung. Details zu den Gründen sowie eine Einschätzung zu einer möglichen erneuten Verfügbarkeit finden Sie am Anfang dieser Webseite.

Weiter zu: Nutzerzertifikate von Sectigo (für E-Mail)

Für die Beantragung eines Sectigo Serverzertifikats beachten Sie bitte die Hinweise weiter unten auf dieser Seite.

Leistungsmerkmale

• Für Mitglieder der Universität Ulm bietet das kiz auf Antrag die Möglichkeit, personengebundene Nutzer- und Serverzertifikate über TCS/GÉANT von Sectigo zu beziehen.
• Serverzertifikate werden nur für öffentliche, dienstliche Server erstellt, wenn dies zur Absicherung der Übertragung sensibler Daten, wie beispielsweise Passwörtern erforderlich ist.
• Die Signatur der Nutzerzertifikate ist nicht rechtsverbindlich, d.h. nicht qualifiziert.
• Nutzerzertifikate sind maximal 2 Jahre (seit Sept. 2023), Serverzertifikate 1 Jahre gültig (Gültigkeitszeitraum). Der reguläre Gültigkeitszeitraum kann verkürzt werden, wenn ein Zertifikat widerrufen wird oder der Zertifikatsinhaber / die Zertifikatsinhaberin aus der Universität Ulm ausscheidet. Die maximale Gültigkeit von Zertifikaten wird durch die Vorgaben von Sectigo bestimmt. Wir haben keinen Einfluss auf diese Vorgaben.
• Zertifikate von Sectigo werden nicht veröffentlicht. Es gibt dafür keinen von Sectigo betriebenen LDAP-Server.
• Der Standort der Registrierungsstelle für Nutzerzertifikate befindet sich in der Bibliothekszentrale an der Universität West (s.u.).
• Wir leisten Support bei der Beantragung eines Sectigo Nutzer- bzw. Serverzertifikats, sofern der Antrag mit dem Firefox gestellt wird. Jeder darüber hinausgehende Support, z.B. für das Signieren von E‑Mails oder bei Verwendung anderer Browser, erfolgt nach bestem Bemühen.
• Bei Problemen mit der zertifikatbasierten Verschlüsselung von Daten und E‑Mails können wir keinen Support bieten. Die Konsequenzen verlorener Schlüssel sind unwiderrufbar. Die Nutzbarkeit vieler E‑Mail-Programmen kann durch verschlüsselte E‑Mails erheblich beeinträchtigt werden.

Nutzergruppen

Mitglieder der Universität Ulm mit einer E‑Mail, die mit „@uni‑ulm.de“ endet, können die Erlaubnis zum Bezug personengebundener Nutzerzertifikate beantragen.

Mitglieder der Universität Ulm, die Server für ein Institut oder die eigene Arbeitsgruppe administrieren, können die Erlaubnis zum Bezug personengebundener Serverzertifikat beantragen. Voraussetzung ist, dass der Server dienstlich genutzt wird, öffentlich zugänglich ist und durch Transportverschlüsselung abzusichernde Daten verarbeitet werden.

Dienstleistungszeiten

Die Nutzung der Zertifikate unterliegt innerhalb ihres Gültigkeitszeitraums keinen zeitlichen Einschränkungen.

Zur Bearbeitung der Erlaubnis zum Bezug von Zertifikaten ist ein persönlicher Kontakt erforderlich:

Registrierungsstelle Nutzerzertifikate
kiz Universität West: Service-Point Information
Kontaktaufnahme via E‑Mail (z.B. für Terminvereinbarung, Betreff "Nutzerzertifikate"): ra(at)uni-ulm.de

Registrierungsstelle Serverzertifikate
Die Erlaubnis zum Bezug von Serverzertifikaten wird direkt von den Administratoren im kiz bearbeitet. Die Kontaktaufnahme sowie eine Terminvereinbarung erfolgen via E‑Mail an die Adresse ra(at)uni-ulm.de (Betreff "Serverzertifikate").

Antragsmodalitäten

Die Erlaubnis zum Erstellen von Zertifikaten muss beantragt werden.

Für die Beantragung von Serverzertifikaten muss man mittels einer E-Mail an „ra(at)uni-ulm.de“ (Subject "Serverzertifikate") direkt mit den PKI-Administratoren Kontakt aufnehmen.

Das Antragsverfahren für die Erlaubnis zum Erstellen von Nutzerzertifikaten erfordert einen mittels Webbrowser und E-Mail Bestätigungs-Link erzeugten und unterschriebenen Antrag, sowie eine Identitätsfeststellung mit persönlichem Erscheinen der antragstellenden Person. Dieser Vorgang ist nur ein einziges mal erforderlich. Danach kann man eigenverantwortlich für sich selbst Nutzerzertifikate erstellen.

Der Verfahrensablauf für Nutzerzertifikate ist ausführlich auf den Webseiten des kiz beschrieben (http://www.uni-ulm.de/index.php?id=130676) und wird im Folgenden stark verkürzt wiedergegeben:

1. Beantragen des Entitlements urn:mace:terena.org:tcs:personal-user, welches die Voraussetzung für den Zugriff auf die Seite zur Zertifikatserstellung von Sectigo ist. Der im ersten Schritt erstellte "Antrag zum Erhalt des für Sectigo erforderlichen Entitlements" enthält den Vor- und Nachnamen wie im Ausweisdokument sowie die E-Mail der antragstellenden Person. Die E-Mail muss auf "@uni-ulm.de enden. Der Antrag muss ausgedruckt und unterschreiben werden.
2. Termin mit einer Zertifizierungsstelle vereinbaren – E‑Mail an „ra(at)uni-ulm.de“. In der E‑Mail ist anzugeben, dass es sich um ein „Nutzerzertifikatsantrag“ handelt.
3. Nachweis der eigenen Identität bei der gewählten Zertifizierungsstelle mit Personalausweis und Mitgliedsausweis des Universität Ulm. Anstelle des Personalausweises sind auch ein Reisepass oder Aufenthaltstitel ausreichend. Die Ausweisdokumente dürfen nicht abgelaufen sein. Der ausgedruckte "Antrag zum Erhalt des für Sectigo erforderlichen Entitlements" muss an den Bearbeiter übergeben werden.
4. Nach der Identifizierung wird dem Account der antragstellenden Person das Entitlement zugewiesen. In der Regel erfolgt die Zuweisung innerhalb von drei Werktagen. Wenn sich Probleme mit dem Antrag ergeben, kann deren Klärung und Korrektur auch etwas mehr Zeit in Anspruch nehmen.
5. Wenn man im Besitzt des Entitlements ist, kann man jederzeit für sich selbst personengebundene Nutzerzertifikate erstellen. Dies dauert nur wenige Minuten. Es sind maximal zwei gleichzeitig gültige Nutzerzertifikate erlaubt.
6. Abschließend muss das Nutzerzertifikat in das E‑Mail-Programm importiert und das E-Mail Programm eingerichtet werden.

Das Verfahren zur Integration eines Serverzertifikates ist nicht universell zu beschreiben, da es entscheidend von der verwendeten Serversoftware abhängt.

Gebühr / Entgelt

Für den Dienst werden keine Gebühren oder Entgelte erhoben.