Zertifikate der LUH-CA

Die Leibniz Universität Hannover stellt im Rahmen einer DFN-weiten Public Key Infrastruktur (PKI) allen Mitgliedern und Angehörigen der LUH Zertifikate zur Verfügung.

Wer kann den Service nutzen?

Studierende	ja
Beschäftigte	ja
Einrichtungen	ja
Administrierende	ja

BEANTRAGUNGEN SCHRITT FÜR SCHRITT

Nutzerzertfikate

Persönliche Nutzerzertifikate zum Signieren und Verschlüsseln von E-Mail

Serverzertifikate

Serverzertifikat der DFN-PKI global mit Wurzelzertifikat-Browsereinbindung

DIREKTLINKS ZUR BEANTRAGUNG

Nutzerzertifikat beantragen

Serverzertifikat beantragen

SERVICEBESCHREIBUNG

Im Rahmen von DFN-PKI-G2, einer DFN-weiten Public Key Infrastruktur (PKI), können über das LUIS von allen Angehörigen und Mitgliedern der Leibniz Universität Hannover Zertifikate im X.509-Format für folgende Anwendungszwecke beantragt und bezogen werden:

Nutzerzertifikate (Signieren und Verschlüsseln von E-Mails, Signieren von Dokumenten)
Serverzertifikate (Server-Authentifizierung)

Die Zertifizierungstelle (Certification Authority, CA) wird durch den DFN betrieben, die Bearbeitung der Zertifikatsanträge erfolgt durch die im LUIS angesiedelte Registration Authority (RA). Für alle Fragen im Zusammenhang mit Zertifizierung steht die RA der LUH-CA für Sie als Ansprechpartner zur Verfügung.

WEITERE INFORMATIONEN

E-Mail Signatur & Verschlüsselung

Zertifikatshierarchie und RAs

Smartcard (SAP)

DFN-PKI

Überblick DFN-PKI

Zertifikat sperren

DFN-PKI LUH-CA Zertifizierungsstelle

Policies der DFN-PKI

Wurzelzertifikate

DFN-PKI Blog

ANLEITUNGEN

Technische Dokumentation und Schritt-für-Schritt-Anleitungen zu:

Verwendung von Zertifikaten
- CSR, Konvertierungen, Dienste-Konfiguration
- Mail-Clients (Nutzerzertifikate einbinden, verwenden, DFN PKI LDAP)
Smartcards

Anleitung (PDF)

FAQ

Wie signiere ich meine Mails? Was bedeutet das überhaupt?

Mit der kryptographischen Signatur stellt der Absender einer Mail Informationen zur Verfügung, die Empfängern die Verifikation seiner Identität ermöglichen. Es reicht aus, dass der Versender ein Nutzerzertifikat hat.

Weitere Informationen und Anleitungen zur Verwendung finden sich auf der Seite Sichere E-Mail.
Was ist der Unterschied zwischen signierter und verschlüsselter E-Mail?

Mit der kryptographischen Signatur stellt der Absender einer Mail Informationen zur Verfügung, die Empfängern die Verifikation seiner Identität ermöglichen. Es reicht aus, dass der Versender ein Nutzerzertifikat hat.

Mit der Verschlüsselung stellt der Absender einer Mail sicher, dass diese nur vom Empfänger gelesen werden kann. Sender und Empfänger müssen ein Nutzerzertifikat haben

Weitere Informationen finden sich auf der Seite Sichere E-Mail.
Was ist ein Zertifikat?

Ein digitales Zertifikat ist ein Datensatz, dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Es entspricht einem digitalen Ausweisdokument, welches ein Schlüsselpaar bestehend aus einen öffentlichen und einem privaten Schlüssel eindeutig einer Person oder einem Server zuordnet. Eine Zertifizierungsstelle beglaubigt diese Zuordnung. Zertifikate werden eingesetzt um die Sicherheit von Daten zu gewährleisten (Verschlüsselung) oder die Identität des Kommunikationspartners (Server-Authentifizierung, Mail-Signatur) eindeutig bestätigen zu können.

Eine Person oder ein Server identifiziert sich durch den Besitz des privaten Schlüssels, der zu dem im Zertifikat beglaubigten öffentlichen Schlüssel passt.Der private Schlüssel eines Zertifikates verbleibt beim Besitzer des Zertifikates, er muss gut geschützt werden und darf nicht öffentlich werden. Geht der private Schlüssel verloren oder wird kompromittiert, muss das Zertifikat gesperrt werden.

Der öffentliche Schlüssel eines Zertifikates muss den Kommunikationspartnern bekannt gemacht werden, damit diese anhand des Schlüssels überprüfen können, ob das Gegenüber tatsächlich im Besitz des geheimen Schlüssels ist. Der öffentliche Schlüssel von A wird vom Kommunikationspartner B genutzt, um die Authentizität der Signatur von A zu prüfen oder um Daten für B zu verschlüsseln.

Ein Zertifikat enthält neben der Zuordnung des Schlüsselpaares zum Besitzer noch weitere Informationen wie z.B. Gültigkeitsdaten, die ausstellende Zertifizierungsstelle, Einsatz-Zweck des Zertifikates (Mailverschlüsselung, Signatur, Authentifizierung, ...)

Nutzerzertifikate sind personenbezogene Zertifikate. Diese Zertifikate können in Mailprogrammen zum Signieren und Verschlüsseln von E-Mails eingesetzt werden. Durch die digitale Signatur einer E-Mail können die Empfänger sicher sein, dass die absendende Person auch tatsächlich diejenige ist, als die sie sich ausgibt.

Serverzertifikate dienen der Identifizierung des Servers. Durch sie lässt sich für die Klienten sicherstellen, wirklich mit dem Server verbunden zu sein dessen Adresse angewählt wurde. Nur nur der "echte" Server kann das korrekte Zertifikat präsentieren.
Was ist ein Wurzelzertifikat?

Jedes Zertifikat enthält die Signatur der Zertifizierungsstelle, die dieses Zertifikat ausgestellt hat. Dadurch kann die Kette aller beteiligten Zertifikaten verfolgt werden, bis hin zu einem Wurzelzertifikat, dem vertraut wird.

Wurzelzertifikate werden von sicheren Trust-Centern ausgestellt, die sich durch sehr hohe Sicherheitsstandards auszeichnen und die regelmäßigen Qualitätskontrollen unterzogen werden. Die meisten Browser, Mailprogramme und viele andere Anwendungsprogramme bringen schon bei Installation eine Vielzahl integrierter vertrauenswürdiger Wurzelzertifikate mit. Auch die Zertifikate der DFN-PKi im Sicherheitsniveau global sind über das bereits vorintegrierte Wurzelzertifikat der T-Systems Business-Services in dieser vertrauenswürdigen Zertifikatskette mit einbezogen.
Wo erhalte ich mehr Informationen über verwendete Zertifikate?

In Browsern (Firefox, Chrome, …) wird in der URL-Leiste eine gesicherte verschlüsselte Verbindung i.d.R. mit einem Schloss-Symbol angezeigt. Durch Klicken auf das Schloss-Symbol können weitere Informationen zum Zertifikat angezeigt werden.

In Mailprogrammen wird z.B. beim Erhalt einer signierten und/oder verschlüsselten Nachricht ein (Brief-)Siegel-Symbol angezeigt. Durch Klicken auf das (Brief-)Siegel-Symbol können weitere Informationen zum Zertifikat angezeigt werden.
Was mache ich bei Zertifikatswarnungen im Browser?
Zertifikatswarnungen Ihres Browsers sollten Sie ernst nehmen und die Webseite vor der gewarnt wird gegebenenfalls lieber nicht besuchen. Bei Fragen und Unsicherheiten zu diesem Thema wenden Sie sich gerne an die RA im LUIS.

Typische Warnmeldungen könnten sein:
Das Zertifikat ist abgelaufen
Das Zertifikat wurde widerrufen
Das Zertifikat wurde für einen ganz anderen Server ausgestellt
Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche selbst-signierten Zertifikate sollten nur für Testzwecke, aber nicht für öffentliche Server eingesetzt werden.
Der Browser oder das Mailprogramm kennen die Zertifizierungsinstanz (Certification Authority, CA) nicht, die das Zertifikat ausgestellt hat. Das kann daran liegen, dass das Wurzelzertifikat oder eines der Zwischenzertifikate fehlen. Die Zertifikatskette muss vollständig sein und bei einem Wurzelzertifikat enden, dem vertraut wird. Fehlt in der Kette ein Zertifikat, kann keine vollständige Verifizierung stattfinden.
Was ist eine CA? Was sind ihre Aufgaben?

Die Zertifizierungsstelle (CA) arbeitet als vertrauenswürdige Instanz, die eine eindeutige, zweifelsfreie Zuordnung zwischen einem Schlüsselpaar (öffentlicher und privater Schlüssel) und einer Person oder einem Rechner herstellt.
Was ist ein Fingerprint?

Der Fingerprint ist eine eindeutige Zahl, die einem Zertifikat zugeordnet ist. Die Zahl selbst ist nicht Teil des Zertifikates, sondern lässt sich aus dem Inhalt berechnen (Hash-Verfahren). Selbst, wenn sich der Inhalt des Zertifikates nur um ein Zeichen ändert, erhält man eine andere Zahl. Daher benutzt man den Fingerabdruck zur Überprüfung von Zertifikaten. So können Sie z.B. die auf den Webseiten der DFN-PKI veröffentlichten Fingerprints mit denen des in Ihrem Browser geladenen DFN-Root-Zertifikates vergleichen. Halten Sie den ganzen Internet-Verkehr für unsicher, dann können Sie sich natürlich auch telefonisch den Fingerprint durchgeben lassen.