Service-Kategorie: Informationssicherheit

Seit dem 28.7.2025 sind sowohl Server- als auch Nutzerzertifikate von Harica auf dem bisherigen Sicherheitsniveau wieder ohne Einschränkungen verfügbar.

Ein digitales Zertifikat ist ein elektronischer Datensatz, der bestimmte Eigenschaften von Personen oder Computern beschreibt und der durch kryptographische Verfahren überprüft werden kann. Bei der Erstellung eines Zertifikats wird zunächst ein privater und ein öffentlicher Schlüssel erzeugt. Der öffentliche Schlüssel wird dann zusammen mit weiteren Eigenschaften, etwa dem Namen einer Person oder eines Servers, durch die Signatur der Zertifizierungsstelle bestätigt. Das so entstehende Dokument ist das digitale Zertifikat der Person bzw. des Servers (siehe auch: Einführung in digitale Zertifikate).

Das Zertifikat der Zertifizierungsstelle selbst wird mit dem gleichen Verfahren durch eine übergeordnete Zertifizierungsstelle abgesichert. Dieser Vorgang wird so lange fortgesetzt, bis man zu einem bereits bekannten Wurzelzertifikat gelangt. Ausgehend von dem Wurzelzertifikat, dem man vertrauen muss, ergibt sich so eine überprüfbare Zertifikatskette bis hin zu dem Nutzerzertifikat.

Die Zertifikatserstellung erfolgt über TCS (Trusted Certificate Service). Dieser ist ein PKI-Angebot (Public Key Infrastructure), welches der DFN-Verein (Deutsches Forschungsnetz) über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe des externen Anbieters Harica. Mitglieder der Universität Ulm können über Harica sowohl Nutzer- als auch Serverzertifikate beziehen.

Das Sicherheitsniveau der Zertifikate erfordert, dass die Identität des Zertifikatsinhabers mittels amtlicher Ausweispapiere festgestellt wurde. Ein weiterer Vorteil dieser Zertifikate ist, dass das Wurzelzertifikat „HARICA Client RSA Root CA 2021“ der Harica Zertifikatskette in den meisten modernen Browsern und E‑Mail-Programmen bereits ab Installation enthalten ist. Daher funktioniert diese Zertifikatskette in der Regel unmittelbar und ohne weitere Eingriffe des Nutzers.

Ein wesentlicher Einsatzbereich von Zertifikaten ist das Absichern der Kommunikation per E‑Mail. Der Besitzer eines Zertifikats kann seine E‑Mail mit seinem privaten Schlüssel signieren und dann die signierte E‑Mail zusammen mit seinem öffentlichen Schlüssel versenden. Der Empfänger kann die Authentizität der E‑Mail mit Hilfe des öffentlichen Schlüssels des Senders prüfen und gleichzeitig dessen Identität mit Hilfe der Zertifikatskette bestätigen. Somit weiß der Empfänger, dass er die unveränderte E‑Mail des Senders erhalten hat.

Weiter zu: Nutzerzertifikate von Harica (für E-Mail)

Für die Beantragung eines Sectigo Serverzertifikats beachten Sie bitte die Hinweise weiter unten auf dieser Seite.

Leistungsmerkmale

• Für Mitglieder der Universität Ulm bietet das kiz auf Antrag die Möglichkeit, personengebundene Nutzer- und Serverzertifikate über TCS/GÉANT von Harica zu beziehen.
• Serverzertifikate werden nur für öffentliche, dienstliche Server erstellt, wenn dies zur Absicherung der Übertragung sensibler Daten, wie beispielsweise Passwörtern erforderlich ist.
• Die Signatur der Nutzerzertifikate ist nicht rechtsverbindlich, d.h. nicht qualifiziert.
• Nutzerzertifikate sind maximal 2 Jahre (seit Sept. 2023), Serverzertifikate 1 Jahre gültig (Gültigkeitszeitraum). Der reguläre Gültigkeitszeitraum kann verkürzt werden, wenn ein Zertifikat widerrufen wird oder der Zertifikatsinhaber / die Zertifikatsinhaberin aus der Universität Ulm ausscheidet. Die maximale Gültigkeit von Zertifikaten wird durch die Vorgaben von Harica bestimmt. Wir haben keinen Einfluss auf diese Vorgaben.
• Zertifikate von Harica werden nicht veröffentlicht. Es gibt dafür keinen von Harica betriebenen LDAP-Server.
• Der Standort der Registrierungsstelle für Nutzerzertifikate befindet sich in der Bibliothekszentrale an der Universität West (s.u.).
• Wir leisten Support bei der Beantragung eines Harica Nutzer- bzw. Serverzertifikats, sofern der Antrag mit dem Firefox gestellt wird. Jeder darüber hinausgehende Support, z.B. für das Signieren von E‑Mails oder bei Verwendung anderer Browser, erfolgt nach bestem Bemühen.
• Bei Problemen mit der zertifikatsbasierten Verschlüsselung von Daten und E‑Mails können wir keinen Support bieten. Die Konsequenzen verlorener Schlüssel sind unwiderrufbar. Die Nutzbarkeit von E‑Mail-Programmen kann durch verschlüsselte E‑Mails beeinträchtigt werden.

Nutzergruppen

Mitglieder der Universität Ulm mit einer E‑Mail, die mit „@uni‑ulm.de“ endet, können die Erlaubnis zum Bezug personengebundener Nutzerzertifikate beantragen.

Mitglieder der Universität Ulm, die Server für ein Institut oder die eigene Arbeitsgruppe administrieren, können die Erlaubnis zum Bezug personengebundener Serverzertifikat beantragen. Voraussetzung ist, dass der Server dienstlich genutzt wird, öffentlich zugänglich ist und durch Transportverschlüsselung abzusichernde Daten verarbeitet werden.

Dienstleistungszeiten

Die Nutzung der Zertifikate unterliegt innerhalb ihres Gültigkeitszeitraums keinen zeitlichen Einschränkungen.

Zur Bearbeitung der Erlaubnis zum Bezug von Zertifikaten ist ein persönlicher Kontakt erforderlich:

Registrierungsstelle Nutzerzertifikate
kiz Universität West: Service-Point Information
Kontaktaufnahme via E‑Mail (z.B. für Terminvereinbarung, Betreff "Nutzerzertifikate"): ra(at)uni-ulm.de

Registrierungsstelle Serverzertifikate
Die Erlaubnis zum Bezug von Serverzertifikaten wird direkt von den Administratoren im kiz bearbeitet. Die Kontaktaufnahme sowie eine Terminvereinbarung erfolgen via E‑Mail an die Adresse ra(at)uni-ulm.de (Betreff "Serverzertifikate").

Antragsmodalitäten

Die Erlaubnis zum Erstellen von Zertifikaten muss beantragt werden.

Für die Beantragung von Serverzertifikaten muss man mittels einer E-Mail an „ra(at)uni-ulm.de“ (Subject "Serverzertifikate") direkt mit den PKI-Administratoren Kontakt aufnehmen.

Das Antragsverfahren für die Erlaubnis zum Erstellen von Nutzerzertifikaten erfordert einen mittels Webbrowser und E-Mail Bestätigungs-Link erzeugten und unterschriebenen Antrag, sowie eine Identitätsfeststellung mit persönlichem Erscheinen der antragstellenden Person. Dieser Vorgang ist nur ein einziges mal erforderlich. Danach kann man eigenverantwortlich für sich selbst Nutzerzertifikate erstellen.

Der Verfahrensablauf für personengebundene Nutzerzertifikate mit Identitäts- und Organisationsdaten ist ausführlich auf den Webseiten des kiz beschrieben (http://www.uni-ulm.de/index.php?id=139170) und wird im Folgenden stark verkürzt wiedergegeben:

1. Berechtigung zum Bezug von Nutzerzertifikaten mit Identitäts- und Organisationsinformationen beantragen: Im ersten Schritt wird der "Antrag zum Bezug digitaler Nutzerzertifikate" gestellt. Der Antrag enthält den Vor- und Nachnamen wie im Ausweisdokument sowie die E-Mail der antragstellenden Person. Die E-Mail muss auf "@uni-ulm.de enden. Der Antrag muss ausgedruckt und unterschreiben werden.
2. Termin mit einer Zertifizierungsstelle vereinbaren – E‑Mail an „ra(at)uni-ulm.de“. In der E‑Mail ist anzugeben, dass es sich um ein „Nutzerzertifikatsantrag“ handelt.
3. Nachweis der eigenen Identität bei der gewählten Zertifizierungsstelle mit Personalausweis und Mitgliedsausweis des Universität Ulm. Anstelle des Personalausweises sind auch ein Reisepass oder Aufenthaltstitel ausreichend. Die Ausweisdokumente dürfen nicht abgelaufen sein. Der ausgedruckte "Antrag zum Bezug digitaler Nutzerzertifikate" muss an den Bearbeiter übergeben werden.
4. Nach der Identifizierung wird die Berechtigung zum Bezug solcher Zertifikate dem Account der antragstellenden Person zugewiesen. In der Regel erfolgt die Zuweisung innerhalb von drei Werktagen. Wenn sich Probleme mit dem Antrag ergeben, kann deren Klärung und Korrektur auch etwas mehr Zeit in Anspruch nehmen.
5. Wenn man im Besitzt der Berechtigung ist, kann man jederzeit für sich selbst personengebundene Nutzerzertifikate erstellen. Dies dauert nur wenige Minuten.
6. Abschließend muss das Nutzerzertifikat in das E‑Mail-Programm importiert und das E-Mail Programm eingerichtet werden.

Das Verfahren zur Integration eines Serverzertifikates ist nicht universell zu beschreiben, da es entscheidend von der verwendeten Serversoftware abhängt.

Gebühr / Entgelt

Für den Dienst werden keine Gebühren oder Entgelte erhoben.