Probebetrieb: Das Verfahren zur Beantragung und Erstellung von Gruppenzertifikaten mittels des Anbieters Harica wurde im August 2025 eingeführt und befindet sich zur Zeit im Probebetrieb.

Ein Gruppenzertifikat ist erforderlich, wenn Sie gemeinsam mit anderen einen E-Mail-Account nutzen und daher mehrere Personen Zugriff auf den privaten Schlüssel des Zertifikats benötigen.

Inhalt des Gruppenzertifikats ist nur die E-Mail-Adresse des Gruppenkontos. Vor- und Nachname sowie der Gruppenname sind nicht Bestandteil des Zertifikats (Stand Aug. 2025). Wenn man die Signatur einer mit dem Gruppenzertifikat signierter E-Mail prüft, sieht man nur die E-Mail-Adresse der Gruppe. Unabhängig vom Inhalt des Zertifikats zeigen E-Mail-Programme natürlich auch weiterhin den Gruppennamen im Absender-Feld "Gesendet von" an, sofern der Gruppenname in diesem Feld beim Versenden der E-Mail angegeben wurde.

Die folgende Dokumentation beschreibt die Voraussetzungen zum Bezug eines Gruppenzertifikats sowie alle weiteren Schritte bis hin zur Erstellung und zum Download des Zertifikats. Abschließend werden einige mögliche Einsatzszenarien geschildert. Der hier angebotene Dienst umfasst die Zertifikatserzeugung, jedoch nicht den darüber hinaus gehenden Einsatz des Zertifikats.

Der Beantragungsprozess (Abschnitt (A) bis (C)) muss nur ein einziges Mal durchlaufen werden. Danach kann man selbständig für die beantragte E-Mail-Adresse neue Gruppenzertifikate erzeugen und herunterladen (Abschnitt (D)). Bitte beachten Sie auch die Abschnitte “(E) Hinweise zum Einsatz des Gruppenzertifikats” und “(G) Weitere wichtige Hinweise zu Gruppenzertifikaten”.

(A) Voraussetzung - Ernennung einer hauptverantwortlichen Person:

Sie bestimmen innerhalb der Gruppe mit Zugriff auf die Gruppen E-Mail eine für das Gruppenzertifikat hauptverantwortliche Person. Diese Person ist dafür zuständig, dass alle für das Gruppenzertifikat erforderlichen Regeln und Vorschriften eingehalten werden (z.B. Wahrung der Integrität des Zertifikats, Schutz des privaten Schlüssels). Die hauptverantwortliche Person erhält bei Harica einen Account, der der Gruppen-E-Mail zugeordneten ist.

(B) Melden der hauptverantwortlichen Person an die Zerifizierungsstelle:

Bitte Teilen Sie uns mit, dass Sie den Einsatz eines Gruppenzertifikats planen und wer die für das Zertifikat hauptverantwortliche Person ist. Im Fall von Problemen bezüglich der Zerifizierung benötigen wir einen Ansprechpartner für das Gruppenzertifikat. Inhalt der E-Mail:

• Titel/Subject: Hauptverantwortliche Person für Gruppenzertifikat <Gruppen-E-Mail-Addresse>
• Empfänger/To: ra(at)uni-ulm.de
• Inhalt der E-Mail:
  • Adresse der Gruppen E-Mail: E-Mail-Adresse der Gruppen E-Mail (muss mit "@uni-ulm.de" enden), für die das Gruppenzertifikat beantragt wird.
  • Hauptverantwortliche Person: Vor- und Nachname der hauptverantwortlichen Person.
  • Einsatz der Gruppen E-Mail: Bitte beschreiben Sie, aus welchem Grund für diese Gruppe signierte E-Mails erforderlich sind, sowie die vorgesehene Server- bzw. Client-Software.
  • Schutz des privaten Schlüssels: Bitte erläutern Sie, wie Sie den privaten Schlüssel des Gruppenzertifikats schützen und wie Sie vorgehen, wenn ein Mitglied die Gruppe verlässt. Bitte beachten Sie hierbei, dass das ausgeschiedene Gruppenmitglied keine Möglichkeit mehr besitzen darf, im Namen der Gruppe Signaturen zu erstellen. Beispiele für mögliche Szenarien finden Sie im Abschnitt "(E) Hinweise zum Einsatz des Gruppenzertifikats" weiter unten.

(C) Anlegen eines Gruppen E-Mail-Accounts bei Harica:

Die hauptverantwortliche Person legt bei Harica einen Account für die Gruppen-E-Mail Adresse an:

1. Öffnen Sie die URL des Harica “Zertifikat Managers” in Ihrem Browserfenster

   → https://cm.harica.gr/Login

   und klicken Sie auf den Link "Sing Up" (nicht auf “Login” und auch nicht auf “Academic Login”):

   → Sign Up

2. Es öffnet sich der Kasten “Sign up”. Sie geben dort die Daten der Gruppen-E-Mail an, nicht Ihre eigenen Daten. Für die Felder Vorname (given name) und Nachname (surname) wählen Sie möglichst sinnvolle Bestandteile, die die Gruppen-E-Mail beschreiben. Beispiele für Vorname/Nachname: Datenschutz/Uni-Ulm, kiz-Helpdesk/Uni-Ulm, Registration-Authority/Uni-Ulm, … 

   • Email addresse: → Geben Sie hier die Gruppen-E-Mail-Adresse ein.
   • Given name: → Der Vorname sollte die Gruppe repräsentieren.
   • Surname: → Für den Nachnamen bietet sich z.B. Uni-Ulm an.
   • Password: → Setzen Sie das Passwort für den Login, am besten mittels eines Passwort-Managers.
   • Confirm Password: → Wiederholen Sie das Passwort.

   → Button “Sign Up”.

3. Validierungs-E-Mail: Sie erhalten zeitnah (typisch < 1 Minute) vom Absender “HARICA Certificate Manager (CM) <noreply@harica.gr>” eine E-Mail mit Betreff “Welcome to HARICA - Activate your account”. Diese E-Mail wird an die Gruppen-E-Mail-Adresse geschickt.

   → Klicken Sie auf den Link “Confirm email” in der E-Mail. Dies öffnet ein neues Browser-Fenster. Sollte sich das Browser-Fenster nicht automatisch öffnen, können Sie die URL, zu der der Link führt, auch manuell in ein neues Browser-Fenster kopieren.

4. Neues Browser-Fenster “Welcome to HARICA / Activate your account!”:

   → Klicken Sie auf den Button “Activate”.

5. Web-Seite  “Your account has been activated / You can now log in to CertManager”:

   → Klicken Sie auf den Button “Go to login page”.

6. Jetzt befinden Sie sich wieder auf der Login-Seite von Harica mit der Überschrift “Login”:

   → Sie können sich nun mit der Gruppen-E-Mail und dem zugehörigen Passwort einloggen.

(D) Erstellen eines Gruppenzertifikats auf den Servern von Harica:

Sie können jederzeit selbstständig Gruppenzertifikate erstellen und herunterladen. Der Vorgang dauert nur wenige Minuten.

1. Einloggen bei Harica: Öffnen Sie die URL des Harica “Zertifikat Managers” in Ihrem Browserfenster

   → https://cm.harica.gr/Login

   Loggen Sie sich mit der “Gruppen-E-Mail-Addresse” und dem zugehörigen Passwort ein:

   → Gruppen-E-Mail-Addresse und Passwort eingeben, Button Login klicken.

2. Sie sind jetzt auf der Harica Homepage "Harica Cert Manager - My Dashboard" der Gruppen-E-Mail eingeloggt:

   • Klicken Sie im Cookie-Dialog “We are using cookies” rechts unten auf “OK”. Dieser Dialog wird in der Regel nur einmal angezeigt.
   • Wählen Sie im linken Menü den Eintrag "Email" aus.
   • Klicken Sie im rechten Fensterinhalt im Kasten "Select the type of your certificate" in der Zeile "Email-only" auf den Button "Select".

   Hinweis: Wählen Sie nicht den Eintrag "For enterprises or organizations (IV+OV)" aus, da dieser Zertifikat-Typ nicht für Gruppen-E-Mails zulässig ist.

3. Es folgen zwei Kästen mit Informationen zu Ihrem Zertifikat, die Sie jeweils durch einen Klick auf den Button "Next" bestätigen:

   • Kasten "Enter your email address" mit Ihrer E-Mail Adresse → "Next"
   • Kasten "Select a method to validate your email address(es)" mit Ihrer E-Mail → "Next"

   Hinweis: Sie können keine Änderungen an den Daten vornehmen.

4. Ein Kasten mit Titel “Review the application before submitting” und einer Zusammenfassung der Zertifikatsdaten wird angezeigt.

   → [v] Bestätigen Sie "Terms of Use", “Certification Practices" und "Data Privacy Statement".
   → Klicken Sie unter dem Kasten auf den Button "Submit".

   Hinweis: Zur Zeit (Stand: 07/2025) sind die Zertifikate 2 Jahre gültig.

5. Sie befinden sich jetzt wieder auf Ihre persönlichen Harica Homepage “My Dashboard”. Der neue Zertifikatsantrag ist im Kasten “Pending Certificats” gelistet.

   Hinweis: Der Antrag ist “pending” (ausstehend), da bis zum Erhalt des Zertifikats noch einige Schritte erforderlich sind.

6. Validierungs-E-Mail: Sie erhalten zeitnah (typisch < 1 Minute) vom Absender “HARICA Certificate Manager (CM) <noreply@harica.gr>” eine E-Mail mit Betreff “HARICA - Email confirmation for certificate issuance”. Die Überschrift der E-Mail ist “Validate your email”:

   → Klicken Sie auf den Button “Confirm” in der E-Mail. Dies öffnet ein neues Browser-Fenster. Sollte sich das Browser-Fenster nicht automatisch öffnen, können Sie den Link, zu dem der Button führt, auch manuell in ein neues Browser-Fenster kopieren.

   Hinweis: Wenn Sie die E-Mail nicht erhalten, können Sie im Kasten “Pending Certificates” in der Zeile Ihres Zertifikatsantrags auf die drei Punkte am rechten Rand klicken und dort per “Resend email” eine neue E-Mail Validierung anfordern.

7. Im neu geöffnetem Browser-Fenster mit dem Titel "Validate your email address" wird nochmals Ihre E-Mail Adresse wiederholt:

   → Klicken Sie auf den Button “Confirm”.

8. Sie befinden sich nun wieder auf Ihre persönlichen Harica Homepage “My Dashboard”. Der neue Zertifikatsantrag wird jetzt im Kasten “Ready Certificats” gelistet.

   → Klicken Sie auf den Button “Enroll your Certificate”.

9. Kasten "Certificate Enrollment":

   • Ändern Sie keine Default-Einstellunge ("Generate Certificate", "Algorithm: RSA", Key size: 2048").
   • Vergeben Sie eine gutes Passwort zum Schutz des privaten Schlüssels (am besten mittels eines Passwort-Managers).
   • [v] Bestätigen Sie, dass nur Sie Kenntnis von dem Passwort haben.
   • Klicken Sie auf "Enroll Certificate".

   Hinweis: Jetzt wird das Zertifikat erzeugt. Der Vorgang kann etwas dauern.

10. Kasten "Get your certificate":

    → Klicken Sie auf den Button “Download” und speichern Sie das Zertifikat unter einem aussagekräftigen Namen mit der Endung ‘.p12’, zum Beispiel:
    "Harica-Gruppenzertifikat_gruppen.email@uni-ulm.de_erzeugt-2025-07-25_Laufzeit-2-Jahre.p12".

    Wenn Ihr Browser so konfiguriert ist, dass er die Datei automatisch unter dem Namen “Certificate.p12” im Download-Folder speichert, dann benennen Sie die Datei bitte entsprechend um.

    Bitte speichern Sie die Datei an einem sichern Ort und merken Sie sich das vergebene Passwort, welches den Inhalt der Datei schützt. Wenn Sie das Zertifikat oder das Passwort verlieren, können Sie nicht mehr auf für Sie verschlüsselte E-Mails und Daten zugreifen. Die Daten können nicht rekonstruiert werden! Auch nicht aus einem Backup!

    Hinweis: Dies ist die einzige Gelegenheit zum Download Ihres Zertifikats zusammen mit dem privaten Schlüssel. Der private Schlüssel wird nicht auf den Servern von Harica gespeichert. Sie haben später keine Möglichkeit mehr, den privaten Schlüssel des Zertifikats zu erhalten.

(E) Hinweise zum Einsatz des Gruppenzertifikats:

Beim Einsatz des Gruppenzertifikats ist es entscheidend, dass zu jedem Zeitpunkt nur aktive Gruppenmitglieder den privaten Schlüssel nutzen können. Dies wird insbesondere dann relevant, wenn ein Gruppenmitglied aus der Gruppe ausscheidet. Es gibt verschiedene Möglichkeiten, die Integrität des privaten Schlüssels sicherzustellen. Hier folgen drei Beispiele:

1. Der private Schlüssel des Gruppenzertifikats wird durch eine Server-Software geschützt. Nur der Administrator (hauptverantwortliche Person) hat direkten Zugriff auf den privaten Schlüssel. Die Mitglieder der Gruppe können nur über das Web-Frontend des Servers signierte E-Mails erzeugen, haben jedoch zu keinem Zeitpunkt direkten Zugriff auf den privaten Schlüssel, können diesen also auch nicht kopieren. Wenn ein Gruppenmitglied die Gruppe verlässt und den Zugriff auf das Web-Frontend verliert, dann gibt es auch keine Möglichkeit mehr, auf den privaten Schlüssel zuzugreifen.
2. Das Gruppenzertifikat wird von der hauptverantwortlichen Person auf einem Hardware-Gerät (Krypto-Stick/Token) installiert, das den privaten Schlüssel schützt. Es ist nicht möglich, den privaten Schlüssel von einem Krypto-Stick zu kopieren. Jedes Gruppenmitglied erhält einen Krypto-Stick und kann damit im E-Mail-Programm E-Mails signieren. Beim Verlassen der Gruppe muss das ausscheidende Gruppenmitglied den Krypto-Stick zurückgeben und hat somit keinen Zugriff mehr auf den privaten Schlüssel.
3. In einer kleinen, zeitlich stabilen Gruppe ist es auch möglich, das Gruppenzertifikat einschließlich des privaten Schlüssels direkt an die Gruppenmitglieder zu geben. Diese können das Zertifikat dann jeweils individuell in den Zertifikatsspeicher des genutzten E-Mail-Programms importieren und dem Gruppen-Account zuordnen (siehe Abschnitt (F)). Nachteil dieser Methode ist, dass sobald ein Gruppenmitglied die Gruppe verlässt das aktuelle Gruppenzertifikat gesperrt und ein neues Gruppenzertifikat erstellt und verteilt werden muss. Andernfalls hätte das ausgeschiedene Gruppenmitglied weiterhin Zugriff auf den privaten Schlüssel des noch gültigen Gruppenzertifikats.

(F) Import des Gruppenzertifikats in das E-Mail-Programm:

Die Handhabung von Gruppenzertifikaten ist weitgehend identisch mit der von Nutzerzertifikaten. Beide müssen in den Zertifikatsspeicher des E-Mail-Programms importiert werden. Der wesentliche Unterschied ist, dass das Nutzerzertifikat dem persönlichen E-Mail-Account des/der Nutzer/in, wohingegen das Gruppenzertifikat der Gruppen E-Mail-Adresse zugewiesen wird. Folgen Sie bitte zum Import des Zertifikats der Dokumentation zum Einrichten des E-Mail-Programms für Nutzerzertifikate.

Abweichend von der Dokumentation für Nutzerzertifikate müssen Sie für die Zuweisung des Gruppenzertifikats zur Gruppen E-Mail-Adresse zuerst eine zusätzliche Identität zu Ihrem persönlichem E-Mail-Account hinzufügen. Die dafür erforderlichen Schritte für Thunderbird 128 finden Sie in der folgenden Anleitung:

• Konfiguration:
  • Wählen Sie im Menü
             -> Bearbeiten -> Konten-Einstellungen
    den Bereich Ihres eigene E-Mail-Kontos
             vorname.nachmane@uni-ulm.de
    aus und klicken Sie auf den Button Weitere Identitäten.
  • Legen Sie eine neue Identität (Button Hinzufügen) mit den Daten zur Gruppe an:
             Ihr Name: Gruppenname
             E-Mail-Adresse: Gruppen E-Mail-Adresse
    Speichern Sie die Identität mit Button OK und öffnen Sie die neue Identität
             Gruppenname <Gruppen E-Mail-Adresse>
    nochmals über den Button Editieren.
  • Erst nach dem Speichern und erneuten Öffnen wird ein vierter Tab
             Ende-zu-Ende-Verschlüsselung
    sichtbar. Unter diesem Tab können Sie nun die Zuordnung des Gruppenzertifikats zur Gruppen E-Mail vornehmen (Abschnitt S/MIME). In den Zeilen
             Persönliches Zertifikat für digitales Signieren
             Persönliches Zertifikat für Verschlüsselung
    können Sie über den Button  Auswählen das zuvor importierte Gruppenzertifikat auswählen. Die im Formular darunter angezeigte Standardeinstellung zum
             Senden von Nachrichten - Standardeinstellungen
    darf nicht verändert werden, d.h. dort muss
             (v) Verschlüsselung für neue Nachrichten nicht verwenden
    aktiviert sein.
    Abschließend speichern Sie das Formular mit OK.
• Signierte E-Mail versenden:
  • Beim Erstellen einer neuen für die Gruppe vorgesehenen E-Mail müssen Sie jetzt darauf achten, dass Sie im E-Mail-Editor im Feld
             Von (Absender)
    die richtige Identität auswählen und unter Button
             S/MIME den Eintrag (v) Digital signieren
    aktivieren.
  • Testen können Sie die neue Konfiguration, indem Sie einfach eine signierte E-Mail der Gruppe an sich selbst bzw. an die Gruppen E-Mail schicken.

(G) Weiter wichtige Hinweise zu Gruppenzetifikaten:

• Die Anleitung ist nur für Mitglieder der Universität Ulm geeignet.
• Zertifikate werden nur für "@uni-ulm.de" Gruppen E-Mail-Adressen ausgestellt.
• Nicht jede E-Mail-Adresse ist eine günstige Wahl für ein Gruppenzertifikat. Geeignet sind E-Mail-Adressen, welche den Gruppennamen enthalten. Wenn die E-Mail-Adresse jedoch den persönlichen Namen einer Person enthält, wird ein/e Kommunikationspartner/in in der Regel erwarten, dass die E-Mail auch nur die genannte Person erreicht, nicht eine Gruppe von Personen. Dies wird offensichtlich, wenn man z.B. an eine verschlüsselte, geheime E-Mail denkt.
• Man darf in keinem Fall weiteren Personen Zugriff auf den privaten Schlüssel des persönlichen Zertifikats geben. Selbst wenn mehrere Personen das E-Mail-Postfach betreuen, z.B. das Sekretariat, darf der private Schlüssel eines persönlichen Zertifikats nur im Besitz des/der Eigentümers/in sein. Wenn es erforderlich ist, dass die Mitglieder des Sekretariats auch signierte E-Mails im Namen des/der Abteilungsleiter/in schicken, dann ist auch hier trotz der oben geschilderten Nachteile ein Gruppenzertifikat zwingend erforderlich.
• Elektronische Unterschriften mittels der so erstellten Zertifikate sind nicht rechtsverbindlich.
• Die maximale Laufzeit für Gruppenzertifikate beträgt 2 Jahre (Stand Aug. 2025). Zur Erneuerung muss ein neues Zertifikat erzeugt werden.
• Wenn Sie Ihren privaten Schlüssel verlieren oder Ihr Keystore-Passwort vergessen, dann führt dies zwangsläufig zum Verlust aller Dateien und E-Mails, die mit Ihrem öffentlichen Zertifikat verschlüsselt wurden. Sie sollten daher unbedingt ein Backup Ihres privaten und öffentlichen Schlüssels (am besten im pkcs12-Format mit Endung .p12) erstellen, sobald Sie das Zertifikat erhalten haben. Verwahren Sie das Keystore-Passwort an einem sicheren Ort. Am besten nutzen Sie dafür einen Passwort-Manager und sorgen dafür, dass dessen Datenbank zusätzlich in einem verschlüsselten Backup gesichert wird. Es gibt keine Möglichkeit, Ihren privaten Schlüssel oder Ihre Daten zu rekonstruieren! Selbst wenn die Daten in einem Backup gesichert sind, können diese ohne den privaten Schlüssel und das Keystore-Passwort nicht rekonstruiert werden!
• Sofern E-Mails oder Dateien existieren, die mit einem alten, bereits abgelaufenen oder gesperrten Zertifikat verschlüsselt wurden, darf der alte Schlüssel nicht gelöscht werden. Ohne den alten Schlüssel verlieren Sie den Zugriff auf die entsprechenden E-Mails und Dateien!