DFN Global Zertifikate

Auf dieser Seite finden Sie eine Beschreibung, wie Mitglieder der Universität Ulm personengebundene DFN Global Zertifikate erhalten können. Diese Zertifikate können z.B. zur Signatur von E-Mails verwendet werden. Wenn Sie vorher etwas zur Funktionsweise digitaler Zertifikate lesen möchten, dann besuchen Sie bitte unsere Einführung zu digitalen Zertifikaten.

Bitte beachten Sie, dass die folgende Beschreibung für den Browser Firefox geschrieben wurde und nur für Angehörige der Universität Ulm geeignet ist.  Elektronische Unterschriften mittels der von uns erstellten Zertifikate sind NICHT rechtsverbindlich. Persönliche Global E-Mail Zertifikate müssen alle 3 Jahre verlängert werden. Wenn Sie Ihren privaten Schlüssel verlieren bzw. wenn Sie Ihr Keystore-Passwort vergessen, dann führt das zwingend zum Verlust aller mit Ihrem öffentlichen Zertifikat verschlüsselter Dateien und E-Mails. Sie sollten daher unbedingt ein Backup Ihres privaten und öffentlichen Schlüssels (am besten im pkcs12 Format mit Endung .p12) erstellen, sobald Sie den signierten Teil Ihres Schlüssel importiert haben. Es gibt keine Möglichkeit, Ihren privaten Schlüssel oder Ihre Daten zu rekonstruieren! Sofern E-Mails oder Dateien existieren, die mit einem alten bereits abgelaufenen Schlüssel verschlüsselt wurden, darf der alte Schlüssel nicht gelöscht werden. Ohne den alten Schlüssel verlieren Sie den Zugriff auf die entsprechenden E-Mails bzw. Dateien!

Zertifikate werden nur für "@uni-ulm.de" E-Mail Adressen ausgestellt. Die Zustimmung zur Veröffentlichung des Zertifikats ist verpflichtend. Am Anfang der Antragstellung wird der private Schlüssel im "Cookie/local Storage" (bis Aug. 2019: "im Keystore") Ihres Browsers unter dem "Home-Verzeichnis" Ihres Accounts gespeichert. Daher sollten Sie für die dann folgenden Arbeitsschritte weder den Browser, noch den Account, noch den Computer wechseln. Am besten verwenden Sie Ihren eigenen Arbeitsplatzrechner oder Laptop für alle Schritte. Zusätzlich müssen Sie sicher stellen, dass der "Cookie/local Storage" des Browser vom Anfang der Antragstellung bis zum Zertifikat-Backup am Ende nicht gelöscht wird. Wenn Sie einen Firefox in Standard-Konfiguration ohne selbst installierte Addons verwenden, ist dies sicher gestellt und Sie müssen nichts weiter unternehmen. Wenn Sie jedoch Cookie/Storage-Manager-Addons installiert haben, sollten Sie diese temporär deaktivieren. Auch darf der Browser nicht die "Historie", "Cookies" und den "local Storage" beim Beenden automatisch löscht. Ebenso dürfen Sie nicht im "privaten" Browser-Modus die Antragsseiten des DFN-Vereins verwenden.

Die folgende Anleitung beschreibt die Antragstellung von DFN-PKI Global-Nutzerzertifikaten. Die dafür notwendige persönliche Identifizierung wird durch die Registrierungsstelle am Service-Point der Bibliothekszentrale (Universität West) vorgenommen (siehe Info-Kasten "Ansprechpartner /Kontakte" rechts). Bitte vereinbaren Sie einen Identifizierungsermin, sobald Sie den Zertifikatantrag gemäß der unten folgenden Anleitung ausgedruckt und unterschrieben haben. Für DFN-PKI Global-Serverzertifikate wenden Sie sich bitte direkt an die im Info-Kasten angegebene E-Mail. Serverzertifikate sind nicht Teil dieser Anleitung.

Bitte gehen Sie sequentiell vor. Die Schritte in den Abschnitten I, II und IV bauen aufeinander auf. Bitte beachten Sie den Zeitraum der Zertifikat-Antragstellung. Die Beschreibung für Zertifikatanträge, die bis zum August 2019 (einschließlich) gestellt wurden, unterscheidet sich von der für neue Zertifikatanträge ab September 2019.

Kommunikations- und Informationszentrum (kiz)

  • Helpdesk

    Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:
    Mo - Do: 8 - 17 Uhr
    Fr: 8 - 16 Uhr
    Tel: +49 (0) 731 / 50 - 30000
    (universitätsintern: 30000)

    helpdesk(at)uni-ulm.de
    Support-Portal
    [mehr]

  • Service-Points

    An den Service-Points können Sie uns persönlich aufsuchen.

    [mehr]

  • Identitätsmanagement

    Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.

    IDM Self Services
    [mehr]

  • Literatursuche

  • kiz von A bis Z

    Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.

    A-Z-Liste

mehr zu: DFN Global Zertifikate

Abschnitt I: DFN Global Nutzer Zertifikatantrag (neue Anträge ab September 2019)

Nur für neue Zertifikatanträge ab September 2019:

Seit September 2019 wird der private Schlüssel von Nutzerzertifikaten nicht mehr im Zertifikatspeicher sondern via Javascript im "local Storage" des Firefox gespeichert (dies gilt für alle Versionen und Browser, nicht nur für den Firefox). Daher müssen Sie unter allen Umständen sicherstellen, dass der "local Storage" erhalten bleibt, bis Sie das signierte Zertifikat importiert und ein Backup des Zertifikats incl. des privaten Schlüssels erstellt haben. Das heißt, dass Sie "Cookie-/Local-Storage-Manager-Addons" deaktivieren müssen und beim Beenden des Firefox nicht die Historie incl. Cookies und "local Storage" löschen dürfen. Sollten Sie dennoch den "local Storage" aus Versehen löschen (dort liegt temporär Ihr privater Schlüssel), dann müssen Sie den ganzen Zertifizierungsprozeß erneut durchlaufen. Nach dem Backup des Zertifikats incl. des privaten Schlüssels können Sie die entsprechenden Firefox-Addons sowie das automatische Löschen der Historie wieder aktivieren.

Das Zertifikat ist eine Art digitaler Ausweis, der Ihre Identität im Web und im Umgang mit anderen Webteilnehmern nachweist. Sie müssen daher sicherstellen, dass niemand in den Besitz des privaten Teils Ihres Zertifikats gelangt. Seit September 2019 wird der private Schlüssel nicht mehr im Keystore sondern im "local Storage" des Firefox gespeichert. Dies geschieht durch eine Javascript Programm des DFN-Vereins, welches auch die Verschlüsselung des privaten Schlüssels im "local Storage" vornimmt. Sie werden an entsprechender Stelle gebeten, zur Sicherung des privaten Schlüssel ein Passwort einzugeben. Zusätzlich vergeben Sie bei der Zertifikaterstellung eine "PIN", mit deren Hilfe Sie Ihr Zertifikat bei Bedarf sperren können. Am Ende des Zertifizierungsprozesses speichern Sie das öffentliche Zertifikat zusammen mit Ihrem privaten Schlüssel außerhalb vom Firefox auf der Festplatte. Zur Absicherung des Zertifikat-Backups vergeben Sie erneut ein Passwort.

  1. Bitte stellen Sie sicher, dass der "local Storage" Speicher des Firefox erhalten bleibt, bis Sie das Zertifikat importiert und ein Zertifikat-Backup erstellt haben. Wenn Sie die Standard-Konfiguration des Firefox nicht verändert haben, sollte alles funktionieren. Sie müssten nur aktiv werden, wenn Sie Cookie- und Storage-Manager-Addons installiert haben oder wenn Sie Firefox so konfiguriert haben, dass er die Surf-Historie mit Cookies und "local Storage" beim Beenden automatisch löscht. Ein Beispiel für eine problematische Konfiguration:

    Einstellungen -> Datenschutz und Sicherheit -> Cookies & Website-Daten -> Behalten bis:
    -> FALSCH: Firefox geschlossen wird (der privater Schlüssel wird gelöscht)
    -> RICHTIG: sie nicht mehr gültig sind (Firefox-Default, privater Schlüssel bleibt erhalten)

    Bitte stellen Sie auch sicher, dass "Javascript" im Firefox zugelassen ist. Wenn Sie die Standard-Konfiguration des Firefox nicht verändert haben, sollte auch hier alles funktionieren und Sie müssen die Konfiguration nicht ändern.

  2. Um ein Zertifikat zu erstellen, rufen Sie bitte (nur Firefox) die Global-Uni-Ulm CA Seite des DFN auf (klicken Sie hier). In seltenen Fällen kann es sein, dass Sie dabei das Zertifikat der Seite akzeptieren müssen.

  3. Jetzt befinden Sie sich auf der Seite "Willkommen zur DFN-PKI - Schnittstelle für Nutzer und Administratoren - Zertifikate".

    Bitte prüfen Sie, dass die richtige RA_ID "RA_ID=4840" in der Adressleiste des Firefox angezeigt wird. Sollte eine andere "RA_ID" (z.B. 4830) angezeigt werden, dann ändern Sie in der Adressleiste des Firefox die RA_ID bitte zu "RA_ID=4840" ab und laden die neue "RA_ID=4840" Web-Seite mit "RETURN".

  4. Bitte wählen Sie auf der "Willkommen zur DFN-PKI" Webseite den Bereich "Zertifikate -> Nutzerzertifikate" aus. Darauf hin wird nur ein kurzer Text mit einem Link angezeigt: "Bitte nutzen Sie die neue Antragsseite unter https:// ... /4840".

    Bitte klicken Sie auf der DFN-PKI Webseite auf den Link "https:// ... /4840".

  5. Sie sind jetzt auf der Seite "Willkommen zu den Antragsseiten der DFN-PKI". Klicken Sie bitte auf den Link "Zertifikate".

  6. Auf der Seite "Passwort zum Schutz des Browser-Speichers" geben Sie bitte zwei mal das Password ein, mit dem der private Schlüssel im "local Storage" des Firefox geschützt wird. Wenn Sie an diese Stelle später (z.B. zum Import des Zertifikats) erneut gelangen, müssen Sie das Passwort nur noch ein mal eingeben, um den "local Storage" zu entsperren. Mit "Weiter" setzen Sie dann das Passwort.

  7. Auf der Seite "Hier können Sie ein neues Zertifikat beantragen" wählen Sie bitte "Neues Zertifikat beantragen" aus.

  8. Sie befinden sich jetzt auf der Seite "Neues Zertifikat":

    Im Feld "Name" geben Sie bitte Ihren vollständigen Vornamen und Familiennamen an (exakt wie im Personalausweis bzw. Reisepass - für Ausnahmen bitte erst weiter lesen). Wenn Sie mehrere Vornamen besitzen, müssen Sie nur einen davon angeben. Sofern vorhanden ist es jedoch empfehlenswert mehrere Vornamen anzugeben, um die Eindeutigkeit des Zertifikats zu verbessern. Der Titel "Dr." darf dem Namen vorangestellt werden, sofern der "Dr." Titel auch im Personalausweis bzw. Reisepass verzeichnet ist. Ist der Titel "Dr." nicht im Personalausweis/Reisepass zu finden, darf er auch nicht im Zertifikat vorhanden sein. Deutsche Umlaute dürfen nicht im Feld "Name" verwendet werden und müssen wir folgend ersetzt werden: ä -> ae, ö -> oe, ü -> ue, Ä -> Ae, Ö -> Oe, Ü -> Ue und ß -> ss.

    Im Feld "E-Mail" geben Sie bitte Ihre "@uni-ulm.de" E-Mail Adresse an. Andere E-Mail Domains sind nicht erlaubt.

    Das Feld "Abteilung" lassen Sie bitte leer.

    Im Feld "Namensraum" wählen Sie bitte "O=Universitaet Ulm,C=DE" aus. Die andere Option mit "L= und ST=" wird für Nutzerzertifikate zur Zeit nicht unterstützt.

    Im Feld "Sperr-PIN" geben Sie bitte eine mindestens 8 Stellen lange PIN ein, mit deren Hilfe Sie das Zertifikat später widerrufen können (wenn z.B. Ihr privater Schlüssel in falsche Hände gelangt).

    Abschließend stimmen Sie den "Informationen für Zertifikatinhaber" und der "Veröffentlichung des Zertifikats" zu:
    [v] Ich verpflichte mich, die ... Regelungen einzuhalten.
    [v] Ich stimme der Veröffentlichung des Zertifikates ... zu.
    und erstellen den elektronischen Zertifikatantrag durch Auswahl von "Weiter".

    Da eine initiale verschlüsselte Kontaktaufnahme per E-Mail nur möglich ist, wenn das Zertifikat veröffentlicht wurde, ist für den Erhalt eines Zertifikats die Zustimmung zur Veröffentlichung verpflichtend.

  9. Sie befinden sich jetzt auf der Seite "Zertifikatantrag für VORNAME NACHNAME":

    Wählen Sie "Zertifikatantrag anzeigen" aus und drucken Sie den Zertifikatantrag aus.

    Bitte beachten Sie, dass Sie in keinem Fall den "local Store" des Firefox jetzt löschen dürfen (denn nur dort liegt ihr privater Schlüssel).

    Fahren Sie jetzt mit dem Ausfüllen des ausgedruckten Antrags fort:
     

  1. In dem ausgedruckten Antrag (Feld A) geben Sie bitte Ihre Abteilung / Ihr Institut an (Studenten tragen dort einfach "Student" ein). Darunter markieren Sie die Art der Ausweispapiere (Reisepass oder Personalausweis) und geben die letzten 5 Stellen der Ausweisnummer an (bei Personalausweisen die Nummer oben rechts). Anschließend versehen Sie den Antrag im Feld (B) noch mit Ort, Datum und Ihrer Unterschrift (wie im Personalausweis/Reisepass).

  2. Suchen Sie nun mit dem unterschriebenen Antrag, Ihrem gültigen Personalausweis/Reisepass und Ihrem gültigen Mitgliedsausweis der Universität Ulm Ihre Registrierungsstelle (Global-Uni-Ulm-RA) auf. Bitte vereinbaren Sie hierzu vorab einen Termin mit der Global-Uni-Ulm-RA (Kontaktdaten siehe rechts oben).

  3. Nach dem Identifizierungstermin am Info-Point stellen wir beim DFN-Verein den Antrag auf Signierung des öffentlichen Teils Ihres Zertifikats. Dies erfolgt durch den Backend-Support der Zertifizierungsstelle und kann wenige Tage dauern (in der Regel ein Tag). Sie erhalten dann eine E-Mail vom DFN-Verein. Für die nun folgenden Schritte bis hin zum Zertifikat-Backup lesen Sie bitte dem Abschnitt II: Firefox Zertifikat-Import + Backup (neue Anträge ab September 2019).

Abschnitt II: Firefox Zertifikat-Import + Backup (neue Anträge ab September 2019)

Nur für neue Zertifikatanträge ab September 2019:

Nachdem Ihre Identität von der Registrierungsstelle überprüft worden ist, erhalten Sie vom DFN-Verein eine E-Mail "Global-Uni-Ulm CA Zertifikatinformation" mit einem Link "https:// ... /dfn-ca-global-g2/4840/certificates" zu Ihrem neuen Nutzerzertifikat. Bitte beachten Sie, dass das mit der E-Mail verschickte öffentliche Zertifikat nicht Ihren privaten Schlüssel enthält.

  1. Folgen Sie dem Link in dieser E-Mail. Achten Sie dabei darauf, dass der Link im gleichen Web-Browser, auf dem selben Computer, mit dem selben Account und unter dem selben Browser-Profil geöffnet wird, genau wie bei der Antragstellung. Wenn ein "Klick" auf den Link in der E-Mail nicht den richtigen Browser mit dem richtigen Profil öffnet, dann öffnen Sie den Browser bitte manuell und übertragen den Link der E-Mail per "Copy&Paste".
  2. Sie befinden sich jetzt auf der Webseite "Passwort zum Schutz des Browser-Speichers". Geben Sie hier das Passwort ein, welches Sie ganz am Anfang der Antragstellung zum Schutz der Zertifikate im "local Storage" gesetzt haben (das ist nicht der PIN).
  3. Jetzt sehen Sie Ihr Zertifikat, mit Namen und Zeit der Antragstellung. Klicken Sie auf den Namen "Max Emil Mustermann".
  4. Nun werden die Details zu Ihrem Zertifikat "Zertifikat für Max Emil Mustermann" angezeigt. Erstellen Sie ein Backup des Zertifikats (öffentliches Zertifikat und privater Schlüssel), indem Sie auf "Zertifikatdatei erstellen" klicken, ein Passwort für die Backup-Datei vergeben und das Backup im PKCS12-Format "Max_Emil_Mustermann_Datum.p12" auf der Festplatte Ihres Computers speichern.
  5. Bewahren Sie das Backup des Zertifikats an einem sicheren Ort auf. Zum Beispiel können Sie das Backup auf einem USB-Stick kopieren und auf CD brennen. Lagern Sie die Medien an einem sicheren Ort. SCHÜTZEN SIE IHRE PRIVATEN SCHLÜSSEL!

Im nächsten Schritt (siehe z.B. Abschnitt IV: Import des Zertifikats in Thunderbird) können Sie das Zertifikat-Backup in Ihr E-Mail Programm importieren.

Abschnitt I: DFN Global Nutzer Zertifikatantrag (alte Anträge bis August 2019)

Nur für Zertifikatanträge, die bis August 2019 (einschließlich) gestellt wurden.

Das Zertifikat ist eine Art digitaler Ausweis, der Ihre Identität im Web und im Umgang mit anderen Webteilnehmern nachweist. Sie sollten daher sicherstellen, dass niemand in den Besitz des privaten Teils Ihres Zertifikats gelangt. Bitte verwenden Sie nur gute Passwörter, um Ihre Zertifikate zu schützen. Es ist ein Masterpasswort für den allgemeinen Schutz des Zertifikatspeichers im Firefox und je ein weiteres Passwort für jedes exportierte Zertifikat-Backup erforderlich. Zusätzlich vergeben Sie eine weiteres Passwort ("PIN"), mit dessen Hilfe Sie Ihr Zertifikat bei Bedarf sperren können.

  1. Bitte überprüfen Sie in den "Einstellungen" des Firefox, dass im Abschnitt "Privatsphäre & Sicherheit" der Punkt "[v] Master-Passwort verwenden" aktiviert ist.

  2. Um ein Zertifikat zu erstellen, rufen Sie bitte (nur Firefox) die Global-Uni-Ulm CA Seite des DFN auf (klicken Sie hier). In seltenen Fällen kann es sein, dass Sie dabei das Sicherheitszertifikat der Seite akzeptieren müssen.

  3. Wenn Sie auf der DFN Seite "Willkommen zur DFN-PKI" sind, wählen Sie bitte zuerst den Tab "CA-Zertifikate" und dort die Unter-Tabs "Wurzelzertifikat", "DFN-PCA-Zertifikat" und "DFN-CA Global G2 Zertifikat" aus (siehe nächstes Bild). Für jedes noch nicht installierte CA-Zertifikate wird eine Dialogbox geöffnet. In dieser markieren Sie beide Einträge "[x] Dieser CA vertrauen, um ..." und bestätigen die Dialogbox. Hierdurch wird das Root Zertifikat und die Zertifikate der Zertifikatkette in Ihrem Browser installiert. Sollten die Zertifikate bereits installiert sein, wird nur eine kurze Meldung angezeigt.

  1. Nun wählen Sie bitte den Tab "Zertifikate" und dort den Unter-Tab "Nutzerzertifikat" aus. Jetzt befinden Sie sich auf der Antragsseite für das Nutzerzertifikat (siehe nächstes Bild). Die weiteren Schritte sind unter dem Bild erklärt.
  1. Achtung: Verwenden Sie bitte keine Sonderzeichen bei der Angabe des Namens. Zum Beispiel muss 'ae' anstelle von 'ä', 'oe' anstelle von 'ö', 'ue' anstelle von 'ü' und 'ss' anstelle von 'ß' verwendet werden.

    Abschnitt "Zertifikatdaten":

    (1) Im Feld "E-Mail" geben Sie bitte Ihre "@uni-ulm.de" E-Mail-Adresse an. Andere E-Mails sind nicht erlaubt. Bitte prüfen Sie die E-Mail sorgfältig.

    (2) Im Feld "Name" geben Sie bitte mindestens einen vollständigen Vornamen und den vollständigen Familiennamen an (exakt wie im Personalausweis bzw. Reisepass - mit der Ausnahme ä, ö, ü und ß). Optional können Sie auch noch weitere Vornamen angeben, sofern diese im Personalausweis zu finden sind. Mehrere Vornamen sind vorteilhaft, da so die Eindeutigkeit des Zertifikats verbessert wird. Darüber hinaus sind Namenszusätze erlaubt, die im Personalausweis eingetragen sind (z.B. ein eingetragener "Dr." Title). Ist der "Dr." Titel nicht im Personalausweis zu finden, darf er auch nicht im Zertifikat "Namen" auftauchen.

    Abschnitt "Weitere Angaben":

    (3)+(4) Die PIN wird benötigt, falls Sie das Zertifikat sperren möchten bzw. müssen. Bitte verwenden Sie für die PIN kein Passwort, dass Sie bereits an anderer Stelle verwenden.

    (5) Den Zertifizierungsrichtlinien muss zugestimmt werden.

    (6) Der Veröffentlichung des Zertifikats muss zugestimmt werden.

    (7) Abschließend bitte die Angaben im Formular mit "Weiter" bestätigen.

  2. Web-Seite: Bitte überprüfen Sie die Daten.
    Auf der nächsten Web-Seite bitte nochmals die Angaben überprüfen. Ist alles in Ordnung können Sie mit "Bestätigen" den elektronischen Zertifikatantrag an den DFN-Verein schicken (in diesem Moment wird der private und öffentliche Schlüssel erzeugt). Sind die Angaben nicht korrekt, können Sie mit "Ändern" die Daten weiter bearbeiten.

  3. Web-Seite: Abschließend müssen Sie Ihren Zertifikatantrag ausdrucken.
    Den Zertifikatantrag können Sie mittels "Zertifikatantrag anzeigen" herunterladen/ansehen. Drucken Sie bitte den Antrag aus (eventuell müssen Sie die Datei manuell als pdf-Datei speichern und dann mittels z.B. Acroread öffnen):

  1. In dem ausgedruckten Antrag (Feld A) geben Sie bitte Ihre Abteilung / Ihr Institut an (Studenten tragen dort einfach "Student" ein). Darunter markieren Sie die Art der Ausweispapiere (Reisepass oder Personalausweis) und geben die letzten 5 Stellen der Ausweisnummer an (bei Personalausweisen die Nummer oben rechts). Anschließend versehen Sie den Antrag im Feld (B) noch mit Ort, Datum und Ihrer Unterschrift (wie im Personalausweis/Reisepass).

  2. Suchen Sie nun mit dem unterschriebenen Antrag, Ihrem gültigen Personalausweis/Reisepass und Ihrem gültigen Mitgliedsausweis der Universität Ulm Ihre Registrierungsstelle (Global-Uni-Ulm-RA) auf. Bitte vereinbaren Sie hierzu vorab einen Termin mit der Global-Uni-Ulm-RA (Kontaktdaten siehe rechts oben).

Abschnitt II: Firefox Zertifikat-Import + Backup (alte Anträge bis August 2019)

Nur für Zertifikatanträge, die bis August 2019 (einschließlich) gestellt wurden.

Nachdem Ihre Identität von der Registrierungsstelle überprüft worden ist, wird Ihnen der Link zu Ihrem signierten Zertifikat per E-Mail zugeschickt. Diese E-Mail wird vom DFN automatisch erzeugt. Sie wird nicht von uns verschickt.

Der Firefox bietet eine einfache Möglichkeit mittels des "Keystores" bzw. "Zertifikat Managers" Ihre Zertifikate zu verwalten. Ein "Master Passwort" stellt sicher, dass Ihre Zertifikate vor unerlaubten Zugriffen geschützt sind. Wenn Sie noch kein "Master Passwort" gesetzt haben, sollten Sie das nun unbedingt nachholen (für Details siehe Abschnitt I dieser Webseite).

  1. Um Probleme beim Import des Zertifikats zu vermeiden, aktivieren Sie bitte "(x) Jedes mal fragen"  im Tab "Erweitert Verschlüsselung bzw. Zertifikate (je nach Version)" der "Einstellungen" des Firefox. Wenn "( ) Automatisch eines wählen" nicht deaktiviert ist, verwendet Firefox in bestimmten Situationen ein falsches Zertifikat.

  2. Wenn Sie noch nicht die Zertifikatkette in Ihrem Firefox-Browser installiert haben bzw. wenn diese nicht schon per Default dort installiert ist, dann können Sie das über den ersten Link der E-Mail "1. Für die CA-Zertifikate wählen Sie bitte die Seite ..." nachholen. Hierzu kopieren Sie den Link in die Adresszeile des Firefox und klicken dann die Sub-Tabs "Wurzelzertifikat", "DFN-PCA Zertifikat" und "Global-Uni-Ulm CA Zertifikat" an.

  3. Um das signierte Zertifikat zu importieren, verwenden Sie bitte den zweiten Link der Zertifikat-E-Mail: Kopieren Sie dafür die Linkadresse nach "2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:" in die Adresszeile des Firefox und rufen die Seite dann auf. Auf der Seite klicken Sie bitte auf "Zertifikat importieren". Je nach Konfiguration Ihres Firefox erscheint dann eine Dialogbox, die nach der Verwendung des Zertifikats fragt. Wählen Sie dort bitte alle drei Optionen aus:

    "[x] Dieser CA vertrauen, um Webseiten zu identifizieren."
    "[x] Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren."
    "[x] Dieser CA vertrauen, um Software-Entwickler zu identifizieren."

    Falls Sie nicht "(x) Jedes mal fragen..." ausgewählt haben, wird Firefox diesen Dialog nicht anzeigen (die Dialogbox wird in manchen Firefox-Versionen grundsätzlich nicht angezeigt). In diesem Fall wird anstelle der eben beschriebenen Dialogbox die Meldung

    "Warnung: Ihr persönliches Zertifikat wurde installiert. Sie sollten eine Sicherungskopie dieses Zertifikats aufheben."

    angezeigt. Auch dies ist in Ordnung. Sie können jetzt mit der Erstellung eines Backups fortfahren.

  4. Anschließend sollten Sie ein Backup Ihres persönlichen Zertifikats erstellen (in der Regel privater und öffentlicher Teil zusammen). Die Backupdatei können Sie z.B. in Ihr E-Mail-Programm importieren, um dann mit dem privaten Schlüssel E-Mails zu unterschreiben. Das Backup erstellen Sie mittels des Firefox Zertifikat-Managers:
    ⇒ Öffnen Sie den "Einstellungen" Dialog von Firefox,
    ⇒ Tab: "Erweitert",
    ⇒ Unter-Tab: "Verschlüsselung" bzw. "Zertifikate" (je nach Firefox Version),
    ⇒ Button: "Zertifikate anzeigen" bzw. "Zertifikate" (die Dialogbox "Zertifikat-Manager" wird nun angezeigt),
    ⇒ Tab: "Ihre Zertifikate" bzw. "Meine Zertifikate" (je nach Firefox Version).
    Wenn der Import Ihres Zertifikats erfolgreich war, sollten Sie nun eine Zeile mit Ihrem Namen sehen. Wählen Sie die Zeile mit Ihrem persönlichem DFN-Zertifikat aus (die Zeile wird dann blau). Nun klicken Sie auf den Button "Backup" bzw. "Sichern" bzw. "Exportieren" (je nach Firefox Version). Jetzt werden Sie gefragt, wohin Sie das Zertifikat speichern wollen (ggf. werden Sie hier nach Ihrem Masterpasswort gefragt). Speichern Sie das Zertifikat-Backup im PKCS12-Format unter Verwendung eines guten Passworts.

Das Backup sollten Sie an einem sicheren Ort aufbewahren; sie können es zum Beispiel auf CD brennen. SCHÜTZEN SIE IHRE SCHLÜSSEL!

Abschnitt III: Erneuern Ihres DFN Global Zertifikats

Drei Jahre nach Erstellung Ihres DFN Global Zertifikats erhalten Sie eine automatisch erzeugte E-Mail "Ihr Zertifikat wird ablaufen". Wenn Sie Ihr DFN Global Zertifikat erneuern wollen, dann folgen Sie bitte den Anweisungen der Abschnitte I und II dieses Textes. Zur Erneuerung des DFN Global Zertifikats muss dieses neu erzeugt werden und Sie müssen sich erneut ausweisen. Bitte achten Sie darauf, dass die DN (d.h. Ihr Name) des neuen Zertifikats mit der des alten übereinstimmt (Ausnahmen: Heirat, etc.)

Abschnitt IV: Import des Zertifikats in Thunderbird

Import und Überprüfung des Nutzerzertifikats in Thunderbird

Dieser Abschnitt beschreibt den Import eines Global Nutzerzertifikats in den Thunderbird. Da der Keystore des Thunderbirds unabhängig von dem des Firefox ist, müssen Sie im Thunderbird erneut ein Master-Passwort setzen. Sie können dort das gleiche Passwort wie im Firefox verwenden. (Hinweis: Auch Zertifikate nach September 2019 werden im Thunderbird-Keystore gespeichert, obwohl der Firefox-Keystore nicht mehr verwendet wird.)

Bitte überprüfen Sie im Thunderbird-Menü unter "Bearbeiten bzw. Extras" (beim Mac unter "Thunderbird"), Untermenü "Einstellungen", im Tab "Sicherheit", Subtab "Passwörter", dass "[v] Master-Passwort verwenden" aktiviert ist.

Wenn Sie Zertifikate einsetzen müssen Sie von Zeit zu Zeit mit dem Zertifikat-Manager von Firefox bzw. Thunderbird arbeiten. Je nach Version von Firefox bzw. Thunderbird unterscheiden sich die Menüeinträge und Beschriftungen. Diese Alternativen sind im Weiteren durch "oder" getrennt aufgeführt. Sie erreichen den Zertifikat-Manager wie folgend beschrieben:
=> Firefox oder Thunderbird Menü: "Bearbeiten" oder "Extras" oder "Firefox" oder "Thunderbird" (je nach Firefox- bzw. Thunderbird-Version)
=> Submenü: "Einstellungen"
=> Tab: "Erweitert"
=> Subtab: "Verschlüsselung" oder "Zertifikate" (je nach Firefox- bzw. Thunderbirdversion)
=> Button: "Zertifikate anzeigen" oder "Zertifikate" (je nach Firefox- bzw. Thunderbirdversion)

Importieren Sie das pkcs12-Backup Ihres Global-Nutzerzertifikates in den Thunderbird und prüfen Sie das Zertifikat (siehe Abbildung am Anfang dieses Abschnitts (Abschnitt IV)):
Thunderbird-Zertifikatmanager (Schritte 1-3 in der Abbildung):
=> Tab: "Ihre Zertifikate" oder "Meine Zertifikate" (4),
=> Button: "Importieren" (5),
=> suchen Sie das Backup Ihres Nutzerzertifikats auf der Festplatte und importieren Sie es.
Beim Import werden Sie zunächst nach dem Backup-Passwort und danach nach dem Thunderbird-Keystore-Passwort gefragt.
Nach dem erfolgreichen Import sollte nun Ihr neues Zertifikat unter "Ihre Zertifikate" oder "Meine Zertifikate" zu sehen sein (6).
=> Wählen Sie Ihr Zertifikat aus (6) - es ist dann blau hinterlegt.
=> Button: "Ansehen" (7),
=> Tab: "Allgemein" (8),
=> prüfen Sie, dass im Abschnitt "Dieses Zertifikat wurde für die folgenden Anwendungen zertifiziert" mindestens die folgenden beiden Punkte aufgeführt sind (9):
===> E-Mail-Unterzeichner-Zertifikat
===> E-Mail-Empfänger-Zertifikat
Sollten Sie diese beiden Punkte nicht finden, dann folgen Sie bitte dem Bereich "Problembehebung" am Ende dieses Abschnitts (Abschnitt IV). Kehren Sie danach bitte an diese Stelle zurück und prüfen erneut, ob die entsprechenden Anwendungen nun zertifiziert sind.

Legen Sie im Thunderbird fest, mit welchem Zertifikat Sie die E-Mails unterschreiben möchte:
Thunderbird Menü: "Extras",
=> Submenü: "Konten" oder "Konten-Einstellungen",
=> Unterbereich: "S/MIME-Sicherheit Ihres E-Mail Kontos",
=> Kasten: "Digitale Unterschrift",
=> Button: "Auswählen" (eine Dialogbox geht auf),
=> wählen Sie das eben importierte Zertifikat aus,
=> bestätigen Sie mit "OK" oder "ja", dass das Zertifikat auch für die Verschlüsselung verwendet wird.
=> Abschließend müssen Sie Thunderbird neu starten.

Beim Verfassen neuer Nachrichten sollte Ihnen nun der Button "S/MIME" die Möglichkeit zum Unterschreiben von Nachrichten bieten (klicken Sie hierfür auf das kleine schwarze Dreieck neben dem Button "S/MIME"):

Mittels der Signatur der E-Mail Nachricht kann dann der Empfänger prüfen, dass diese E-Mail tatsächlich von Ihnen verschickt wurde. Möchten Sie auch die Verschlüsselungsfunktion einsetzen, dann beachten Sie bitte unbedingt die Risiken, die bei Verwendung dieser Funktion entstehen. Bei Verlust des Zugriffs auf verschlüsselte Daten können wir Ihnen in der Regel leider nicht helfen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII).

Wenn Sie eine unterschriebene E-Mail empfangen haben und Thunderbird die Signatur der E-Mail verifizieren kann, dann wird folgendes Briefsymbol mit einem stilisierten roten Siegel eingeblendet:

Sie können das Briefsymbol auch ankicken, um Details über die Signatur zu erfahren.

Wenn Thunderbird die Signatur jedoch nicht verifizieren kann, dann wird das folgende Briefsymbol mit einem roten Kreuz eingeblendet:

Das Fehlschlagen der Signaturüberprüfung kann mehrere Ursachen haben. Oft wird der Zertifikatkette des Senders nicht vertraut und somit die Signatur abgelehnt. Dies kann man korrigieren, indem man allen Zertifikaten der Sender-Zertifikatkette das Vertrauen ausspricht. Man findet die Sender-Zertifikatkette, indem man auf das Briefsymbol, dann auf den Button "Unterschriftszertifikat ansehen" klickt und den Tab "Details" auswählt. Dort steht in Fenster "Zertifikatshierachie" die Zertifikatkette. Die entsprechenden Zertifikate sucht man dann im Zertifikat-Manager und spricht ihnen das Vertrauen aus. Details zum Umgang mit Zertifikatketten und zur "Problembehebung" finden Sie in den nächsten Absätzen.

Zertifikatkette und Vertrauenseinstellungen

Problembehebung

Sollte Ihr eigenes Zertifikat nicht als gültiges Unterzeichner- und Empfänger-Zertifikat erkannt werden, kann das daran liegen, dass die Zwischenzertifikate der Zertifikatkette Ihres Zertifikats nicht vollständig vorliegen oder die Vertrauenseinstellungen der Zertifikatkette unvollständig sind. In den nächsten beiden Absätzen wird beschrieben, wir man dies prüfen und korrigieren kann. Das prinzipielle Vorgehen gilt auch, wenn die Signatur einer E-Mail eines anderen Teilnehmers nicht verifiziert werden kann (dann natürlich bezüglich der Zertifikatkette des Senders der E-Mail).

Stellen Sie im Thunderbird sicher, dass die drei Zertifikate der Zertifikatkette existieren (wenn nicht siehe nächster Absatz) und dass Sie den Zertifikaten vertrauen (siehe Abbildung am Anfang des vorherigen Absatzes).
Hinweis 1: Sie müssen mindestens einem der Zertifikate in der oben genannten Zertifikatkette vertrauen. Üblicherweise vertraut man dem Wurzelzertifikat. Die untergeordneten Zertifikate erben dann automatisch das Vertrauen des Wurzelzertifikats. Damit dies funktioniert müssen in jedem Fall alle Zertifikate der Kette vorhanden sein.
Hinweis 2: In einigen Unterversionen von Thunderbird wurde das Vererben fehlerhaft implementiert. Dies erkennt man daran, dass man mit dem eigenen Zertifikat nicht signieren kann, obwohl die Zertifikatkette vollständig vorliegt und dem Wurzelzertifikat vertraut wird. In diesem Fall aktivieren Sie bitte die Vertrauenseinstellung aller Zertifikate der Zertifikatkette.
Hinweis 3: Wenn Zertifikate der Kette fehlen (d.h. Sie können den entsprechenden Eintrag nicht finden), dann folgen Sie bitte den Schritten des nächsten Absatzen, um die fehlenden Zertifikate der Kette zu importieren.
So finden Sie die Zertifikate der Zertifikatkette:
=> Thunderbird Zertifikatmanager
=> Tab: "Zertifizierungsstellen"
=> Scrollen Sie zu den folgenden beiden Zertifikatgruppen und klappen Sie diese aus:
===> [-] T-Systems Enterprise Services GmbH
===> [-] Verein zur Foerderung eines Deutschen Forschungsnetzes e.V
=> Markieren Sie innerhalb dieser Zertifikatgrupen (durch einen Einfachklick) jeweils eines der drei Zertifikate (die Zeilen werden dann blau); achten Sie auf die genaue Schreibweise:
===> T-TeleSec GlobalRoot Class 2 (Wurzelzertifikat - diesem muss vertraut werden)
===> DFN-Verein Certification Authority 2 (Vertrauen nur bei Problemen mit Vererbung)
===> DFN-Verein Global Issuing CA (Vertrauen nur bei Problemen mit Vererbung)
=> Klicken Sie (nacheinander für jedes der drei Zertifikate) auf den Button "Bearbeiten".
=> Stellen Sie sicher, dass alle (beiden) Haken [v] der Vertrauenseinstellungen mindestens bei dem Wurzelzertifikat gesetzt sind (siehe Abbildung am Anfang von Abschnitt IV).
=> Bestätigen Sie dies jeweils mit einem Klick auf den Button "OK".

Wenn im Thunderbird Zertifikate der Zertifikatkette fehlen, dann können Sie die benötigten Zertifikate mit dem Firefox herunter laden und in den Thunderbird importieren:
=> Rufen Sie mit dem Firefox die DFN-PKI Webseite mit der Zertifikatkette auf.
=> Speichern Sie die folgenden Zertifikate als "crt" Dateien durch einen "Rechts-Click" auf den entsprechenden "Tab" und dann "Ziel speichern unter":
===> Wurzelzertifikat (Datei: "rootcert.crt")
===> DFN-PCA-Zertifikat (Datei: "intermediatecacert.crt")
===> DFN-CA Global G2 Zertifikat (Datei: "cacert.crt")
Importieren Sie die Zertifikat-Dateien in den Thunderbird:
=> Thunderbird Zertifikatmanager
=> Tab: "Zertifizierungsstellen"
=> Importieren Sie mittels Klick auf den Button "Importieren" nacheinander die drei Zertifikate der Zertifikatkette (wenn nicht schon vorhanden).
=> Wenn Sie bei dem Import nach den Vertrauenseinstellungen gefragt werden, dann setzten Sie beide Haken "[v]".
=> Bitte überprüfen Sie nach dem Import nochmals die Vertrauenseinstellungen (siehe vorheriger Absatz).

Abschnitt V: Mac Safari + Mac Mail

Auf Apple Rechnern werden die Schlüssel (Zertifikate) zentral im Schlüsselbund verwaltet. Der Schlüsselbund ist automatisch durch das Login-Passwort abgesichert. Sowohl der Web-Browser Safari als auch das Mac-Mail-Programm verwenden gemeinsam die im Schlüsselbund gespeicherten Zertifikate. Die Mac-Schlüsselbundverwaltung erreichen Sie über Finder => Programme => Dienstprogramme => Schlüsselbundverwaltung. Alternativ können Sie auch einfach nach "Schlüsselbundverwaltung" im Spotlight suchen.

Zur Installation der Zertifikatkette verwenden Sie am besten den Safari, da dieser direkt auf die Mac-Schlüsselverwaltung zugreift. Im Tab "CA-Zertifikate" der DFN-Webseite klicken Sie auf die Zertifikat-Tabs "Wurzelzertifikat", "DFN-PCA Zertifikat" und "Global-Uni-Ulm CA Zertifikat" und importieren so diese Zertifikate in den Mac-Schlüsselbund. Alternativ kann man mit dem Firfox die Zertifikate mittels der eben genannten Zertifikat-Tabs oder mittels des Firefox Zertifikatmanagers als Datei speichern, etwa "Wurzelzertifikat.crt", "DFN-PCA-Zertifikat.crt" und "Global-Uni-Ulm-CA.crt". Diese Zertifikate muss man anschließend durch Doppelklick auf die jeweilige Datei manuell in den Schlüsselbund importieren.

Wenn Sie wie im Abschnitt I beschrieben den Zertifikatantrag mit dem Firefox gestellt haben, dann befindet sich Ihr privater Schlüssel nur im lokalen Keystore des Firefox. In diesem Fall müssen Sie wie im Abschnitt II beschrieben mit dem Firefox das Zertifikat über den 2. Link der DFN-PKI-Email importieren, ein Backup Ihres Zertifikats erstellen (privater und öffentlicher Schlüssel zusammen in einer "NAME.p12" Datei) und dieses Backup dann per Doppelklick in den Mac-Schlüsselbund übertragen.

Wenn Sie den Zertifikatantrag mit dem Safari gestellt haben (das Vorgehen ist Analog zum Firefox), können Sie mittels des Safaris Ihr Zertifikat direkt über den 2. Link der DFN-PKI-Email in den Mac-Schlüsselbund importieren (der private Schlüssel befindet sich bereits dort).

Hinweis zur Nutzung des Safaris: Zum Installieren Ihres Nutzerzertifikats öffnen Sie den 2. Link der E-Mail, klicken in der Webseite auf "Zertifikat importieren" und speichern die Datei vorerst unter dem Namen "pki" (einige Safari-Versionen lassen anscheinend nur das zu). Dann benennen Sie die Datei in "pki.p12" um und importieren diese wieder durch einen Doppelklick in den Schlüsselbund.

Abschließend sollte man unbedingt die Vertrauenseinstellungen aller importierten Zertifikate kontrollieren. Hierfür öffnet man im Schlüsselbund die Detailansicht zu jedem der importierten Zertifikate - durch einen Doppelklick auf die Zertifikatzeilen "Deutschte Telekom Root CA 2", "DFN-Verein PCA Global - G01", "Global-Uni-Ulm-CA" und "Vorname Nachname (Ihr Zertifikat)". Danach öffnet man mit einem Einfachklick den Bereich "Vertrauen" und ändert den Eintrag "Bei Verwendung dieses Zertifikats" zu "Immer Vertrauen" ab (siehe Abbildung oben). Nachdem man das mit allen Zertifikaten (insbesondere auch mit dem eigenen Nutzerzertifikat) gemacht hat (siehe 4 blaue (+) Zeichen in der Abbildung oben), sollte nach dem Neustart des E-Mail Programms beim Editieren neuer E-Mails ein Button zum Signieren von E-Mails angezeigt werden:

Bitte beachten Sie unbedingt DFN Global Zertifikatedie Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII). Wir empfehlen nur das Unterschreiben von E-Mails, jedoch nicht das Verschlüsseln.

Wenn Sie eine signierte E-Mail empfangen haben deren Signatur vom Mac Mailprogramm überprüft werden konnte, dann wird die Meldung "Signiert" (siehe folgendes Bild) angezeigt (eventuell müssen Sie erst die Details des Mail-Headers einblenden):

Wenn die Signatur jedoch nicht verifiziert werden konnte, dann wird zusätzlich noch die Meldung

angezeigt. Da das Fehlschlagen einer Signaturüberprüfung sehr oft an fehlenden Vertrauenseinstellungen der Zertifikatkette liegt, sollten Sie in diesem Fall überprüfen, ob Sie allen Zertifikaten der Zertifikatkette des Signaturzertifikats vertrauen.

Abschnitt VI: Windows Internet-Explorer + Outlook

Wir raten dringend von der Verwendung des Internet Explorers bei der Antragstellung ab. Bitte verwenden Sie den Firefox wie in den Abschnitten I und II beschrieben. Siehe hierzu auch die DFN-FAQ zu Windows und Internet Explorer. Wir leisten bei Problemen bezüglich des IE keinen Support.

Wenn Sie trotzdem den Internet-Explorer verwenden wollen, dann ist das Vorgehen ähnlich zu dem Vorgehen mit dem Firefox. Je nach Sicherheitseinstellungen fragt der Internet-Explorer z.B. nach Popups oder Skript-Ausführung. Es kann empfehlenswert sein, die Internetsicherheit kurzfristig auf "Mittel" zu stellen. Auch der Internet-Explorer speichert die Zertifikate in einem lokalen Zertifikat-Store "Menü: Extras => Sub-Menü:Internetoptionen => Tab:Inhalte => Button:Zertifikate". Hier können Formate im pkcs12-Format importiert und exportiert werden. Es gibt keine Garantie, dass die Verwendung des IE zum Erfolg führt.

Eine sehr gute und ausführliche Anleitung zur Verwendung von Zertifikaten in Outlook 2003 finden Sie hier. Natürlich müssen die dort beschriebenen Schritte mit den drei Zertifikaten der Zertifikatkette der Universität Ulm (zum Download dieser Zertifikate siehe Abschnitt IV) und Ihrem eigenen Nutzerzertifikat (das Backup aus Abschnitt II) durchgeführt werden. Eine dem entsprechende Anleitung für Outlook 2007 finden Sie hier (in Englisch).

Alle Arbeiten können auch direkt mittels des Windows Zertifikat-Stores durchgeführt werden. Sie erreichen den Zertifikat-Store (hier für WindowsXP) via "Start-Menü => Systemsteuerung => Netzwerk und Internetverbindungen => Internetoptionen => Tab: Inhalte => Button: Zertifikate". Im Tab "Vertrauenswürdige Stammzertifizierungsstellen" importieren Sie das "Deutsche Telekom Root CA2" (Wurzelzertifikat - rootcert.crt), im Tab "Zwischenzertifizierungsstellen" importiert Sie "DFN-Verein PCA Global - G01" (DFN-PCA-Zertifikat - intermediatecacert.crt) und "Global-Uni-Ulm-CA" (Global-Uni-Ulm-CA-Zertifikat - cacert.crt) und im Tab "Eigene Zertifikate" importiert Sie Ihr eigenes Zertifikatbackup. Abschließend selektieren Sie in Outlook unter "Extras => Optionen => Tab: Sicherheit => Abschnitt: Verschlüsselte Nachrichten => Button: Einstellungen => Abschnitt: Zertifikate und Algorithmen => Signaturzertifikat UND Verschlüsselungszertifikat: Button: Auswählen" Ihr eben importiertes Zertifikat und starten Outlook neu. Nun sollten Sie neue Nachrichten signieren können.

Bitte beachten Sie unbedingt die Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass Sie zum Verschlüsseln von Nachrichten den öffentlichen Schlüssel des Empfängers benötigen (siehe hierzu Abschnitt VIII). Wir empfehlen nur das Unterschreiben von E-Mails, jedoch nicht das Verschlüsseln.

Abschnitt VII: Weitere Browser und E-Mail-Programme

In diesem Abschnitt finden Sie einige Hinweise zum Umgang mit anderen Browsern und E-Mail-Programmen. Wir können leider nur Mozilla Firefox und Thunderbird direkt unterstützten. Für diese beiden Programme versuchen wir einen möglichst umfassenden Service anzubieten. Da es viele verschiedene Browser- und E-Mail-Programmen in jeweils mehreren Versionen gibt, ist eine Unterstützung aller Programme nicht möglich. Insofern erheben die Hinweise in diesem Abschnitt keinen Anspruch auf Vollständigkeit.

Hinweise zu weiteren E-Mail-Programmen:

  • K-Mail: K-Mail verwendet "kleopatra" als Krypto-Backend. In kleopatra muss man den privaten pkcs12-Key-Backup und die komplette Key "Chain of Trust" importieren. Außerdem muss man den sha1-fingerprint "sha1_fpr:" (siehe Zertifikat-Details => Tab:Dump) des "CN=Deutsche Telekom Root CA 2,OU=T-TeleSec Trust Center,O=Deutsche Telekom AG,C=D" Zertifikats in der Datei ~/.gnugp/trustlist.txt hinzufügen und anschließend KDE neu starten. Wenn man bis dahin alles richtig gemacht hat, sollte das Telekom Zertifikat nach einem Aufruf von "Validate" nun als "Trusted Root Certificate" markiert sein. Eine entsprechende Markierungsfarbe kann man unter "Erscheinungsbild" in der Konfiguration von Kleopatra definieren. Nun bearbeitet man in K-Mail unter "Einstellungen => K-Mail konfigurieren" die Identität, für die man die Zertifikatverschlüsselung aktivieren möchte. Im Tab "Kyptographie" sollte man den eigenen Schlüssel zum Signieren und zur Eigenverschlüsselung für S/MIME eintragen (durch Klick auf Ändern sucht man in der Kleopatra-Datenbank nach dem passenden Schlüssel). Nun kann man beim Verfassen neuer E-Mails die Buttons "signieren" und "verschlüsseln" verwenden.
  • Mutt/Linux: Ein Template zur S/MIME Konfiguration von Mutt findet man in der Datei "smime.rc" im Verzeichnis "contrib" der Mutt-Installation, z.B. unter "/usr/share/doc/packages/mutt/contrib/smime.rc". Abweichend von den Defaults ist das Anpassen der Optionen "set smime_is_default", "set smime_encrypt_self = yes" und set smime_default_key="12345678.0" wichtig. Weitere Tips zur Anpassung der Optionen und eine Beschreibung zur Installation der Zertifikate und Chains finden Sie unter http://equiraptor.com/smime_mutt_how-to.html.

Abschnitt VIII: Manuelle Zertifikatsuche und LDAP-Anbindung

Bitte überprüfen Sie zuerst, ob die Zertifikatkette vollständig in Ihrem E-Mail-Programm importiert und freigegeben ist. Details hierzu finden Sie in den Abschnitten IV, V und VI. Das Anbinden von LDAP ist nur sinnvoll, wenn Sie sehr vielen Nutzern verschlüsselte E-Mails schicken wollen. Wir raten dringend davon ab. Um wenigen ausgewählten Nutzern eine verschlüsselte E-Mail zu senden, können Sie die Person viel einfacher einzeln via DFN-Webseite suchen (siehe nächster Absatz). Darüber hinaus können die Zertifikate auch durch das Zusenden signierter E-Mails ausgetauscht werden.

Wenn Ihnen das Einrichten des LDAP-Zugangs zu aufwändig ist und Sie an nur wenige Personen verschlüsselte E-Mails schicken wollen, dann können Sie gezielt nach dem Zertifikat einer Person mittels der DFN-Zertifikatsuche (alte Zertifikatkette) bzw. DFN-Zertifikatsuche (neue Zertifikatkette) suchen. Am besten verwenden Sie im Suchfeld die vollständige Uni-Ulm E-Mail oder den vollständigen Vor- und Nachnamen. Eine Suche nach Namensteilen oder nur nach dem Vor- oder Nachnamen ist in der Regel ohne Erfolg. Wir empfehlen ausschließlich die Suche mittels vollständiger Uni-Ulm E-Mail. Wenn Sie die Person gefunden haben klicken Sie auf das (i) Zeichen in der Zeile mit dem Zertifikat mit Rolle "User" (vermeiden Sie unbedingt Zertifikate mit anderen  Rollen). In der darauf folgenden Webseite können Sie das Zertifikat (PEM-Format) speichern (Button: "Download"). Abschließend importieren Sie die PEM-Datei mit dem Zertifikat-Manager Ihres E-Mail Programms (Tab: "Personen" oder "Zertifikate anderer Personen" - je nach Version des E-Mail-Programms).

Automatische suche via LDAP: Als Basis-DN (bzw. Suchbasis) verwenden Sie bitte immer O=Universitaet Ulm,OU=DFN-PKI,O=DFN-Verein,C=DE. Dies stellt sicher, dass Ihnen nur Global- und keine Grid-Zertifikate per LDAP angeboten werden. Alternativ (nur für Experten, nur Thunderbird) können Sie auch einen automatischen Suchfilter verwenden: Menü: Extras => Sub-Menü: Einstellungen => Tab: Verfassen => Sub-Tab: Adressieren => Bereich: Adress-Autovervollständigung => [v] LDAP-Verzeichnisserver: DFN-PKI (wenn von Ihnen so im vorhergehenden Schritt benannt) => Button: Bearbeiten => Wählen Sie einen LDAP-Verzeichnisserver: DFN-PKI => Button: Bearbeiten => Tab: Erweitert => Suchfilter: (&(userCertificate=*)(!(o:dn:=GridGermany)))  (anstelle des Defaultwerts (objectclass=*)).

Bitte beachten Sie, dass der DFN Zertifikat LDAP Server immer nur sehr wenige Einträge (in der Regel maximal 3) zurückliefert und recht langsam ist. Er eignet sich daher nicht, um z.B. nach einem Vor- oder Nachnamen zu suchen. Erst wenn Sie die vollständige E-Mail oder den vollständigen Namen eingegeben haben, gelangen Sie zu dem Zertifikat der von Ihnen gesuchten Person. Bitte vermeiden Sie unbedingt die Verwendung von Grid-Zertifikaten bei der E-Mail-Verschlüsselung.

Abschnitt IX: Lösungen für gelegentlich auftretende Probleme

Dieser Abschnitt enthält Lösungen für gelegentlich auftretende Probleme. Der Schwerpunkt des Abschnitts liegt auf einer Hilfestellung bei Verwendung von Zertifikaten in E-Mail Programmen.

Thunderbird:

(t01) Wie erreicht man den Zertifikat-Manager in Thunderbird?
Siehe Absatz 2 von Abschnitt IV.

(t02) Was ist zu tun, wenn Thunderbird beim Import des eigenen Zertifikat-Backups die Meldung "Die PKC#12-Operation ist aus unbekannten Gründen fehlgeschlagen" anzeigt?
Überprüfen Sie, dass alle Zertifikate der Zertifikatkette vorhanden sind und ihnen allen vertraut wird. Siehe hierzu Absatz 1, 2, 3 und 4 von Abschnitt IV. Überprüfen Sie, dass Sie die richtige Datei importieren und dass diese unbeschädigt ist.

(t03) Was ist zu tun, wenn das Senden einer verschlüsselten Nachricht mit der Meldung "Senden der Nachricht ist fehlgeschlagen. Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für vorname.nachname@uni-ulm.de finden." fehl schlägt?
Überprüfen Sie, dass alle Zertifikate der Zertifikatkette vorhanden sind und ihnen allen vertraut wird. Siehe hierzu Absatz 1, 2, 3 und 4 von Abschnitt IV. Überprüfen Sie, ob sich im Tab "Personen" bzw. "Andere Personen" des Zertifikat-Managers genau ein Eintrag mit der Empfänger E-Mail "vorname.nachname@uni-ulm.de" befindet. Stehen dort mehrere Einträger zur selben E-Mail, dann entfernen Sie bitte die älteren / abgelaufenen / nicht-DFN Zertifikate (Zeile markieren und dann Button "Löschen" drücken). Finden Sie dort keinen Eintrag mit der Empfänger E-Mail, dann importieren Sie das Zertifikat des Empfängers bitte wie in Absatz 2 von Abschnitt VIII beschrieben.

Mac-Mail:

(m01) Wie erreicht man die Schlüsselbundverwaltung in Mac-Mail?
Siehe Absatz 1 von Abschnitt V.

Outlook:

(o01) Wie erreicht man den Zertifikat-Store von Windows?
Siehe Absatz 4 von Abschnitt VI.