Zertifikate der LUH-CA

Die Leibniz Universität Hannover stellt im Rahmen einer DFN-weiten Public Key Infrastruktur (PKI) allen Mitgliedern und Angehörigen der LUH Zertifikate zur Verfügung.

Who can use this service

Students yes
Individual Employees yes
Central Facilities yes
Administrators yes

SERVICEBESCHREIBUNG

Im Rahmen von DFN-PKI-G2, einer DFN-weiten Public Key Infrastruktur (PKI), können über das LUIS von allen Angehörigen und Mitgliedern der Leibniz Universität Hannover Zertifikate im X.509-Format für folgende Anwendungszwecke beantragt und bezogen werden:

Die Zertifizierungstelle (Certification Authority, CA) wird durch den DFN betrieben, die Bearbeitung der Zertifikatsanträge erfolgt durch die im LUIS angesiedelte Registration Authority (RA). Für alle Fragen im Zusammenhang mit Zertifizierung steht die RA der LUH-CA für Sie als Ansprechpartner zur Verfügung.

ANLEITUNGEN

Mail-Programme: Einbinden und Verwenden von Nutzerzertifikaten

  • AppleMail

    Voraussetuzng für das Signieren und Verschlüsseln von Mails in AppleMail ist das Importieren der Zertifikatsdatei in die Schlüsselbundverwaltung von macOS. Dazu wird die Schlüsselbundverwaltung geöffnet und über "Ablage" > "Objekte importieren" die Zertifikatsdatei ausgewählt. Das Zertifikat sollte nun in der Kategorie "Meine Zertifikate" angezeigt werden.

    Mail verfassen

    Nach dem erfolgreichen Importieren in die Schlüsselbundverwaltung können E-Mails nun signiert und verschlüsselt werden. Beim Verfassen einer E-Mail können die beiden Optionen über die jeweiligen Icons rechts von der Betreffzeile an/abgewählt werden. Wir empfehlen generell alle E-Mails kryptographisch zu signieren.

    Erhalt einer signierten / verschlüsselten E-Mail

    Empfänger können beim Empfang einer von Ihnen signierten E-Mail nun über das Signatur-Symbol erkennen, dass die Nachricht von Ihnen digital unterschrieben wurde. Der Absender einer E-Mail kann so verifiziert werden. Ebenso ist ersichtlich, ob die E-Mail verschlüsselt ist.

    Prüfen einer Signatur einer empfangenen E-Mail

    Beim Klicken auf das Signatur-Symbol erhält man Informationen über die digitale Unterschrift inkl. Zertifikatskette.
  • Mozilla Thunderbird

    Die Anleitung wurde mit Mozilla Thunderbird 78.11.0 erstellt.

    Die Einstellungen von Thunderbird erreicht man über das Burger-Menu.
    Unter "Datenschutz & Sicherheit" findet sich die Zertifikatsverwaltung (ganz nach unten scrollen).
    Importieren des Zertifikats.
    Auswahl der PKCS12-Datei.
    Eingabe des Passworts der PKCS12-Datei.
    Das Zertifikat wurde erfolgreich importiert.
    Das importierte Zertifikat für das E-Mail-Konto auswählen. Den Unterpunkt Konten-Einstellungen erreicht man wie die Einstellungen von Thunderbird zuvor über das Burgermenu.
    Im Unterpunkt "Ende-zu-Ende-Verschlüsselung" für das E-Mail-Konto das Zertifikat auswählen, um Nachrichten digital unterschreiben zu können.
    Das zuvor importierte Zertifikat auswählen.
    Das gleiche Zertifikat kann auch verwendet werden, um verschlüsselte Nachrichten zu senden und zu empfangen. Die Nachfrage mit "Ja" beantworten.
    Nun das Häkchen bei "Eigene digitale Unterschrift standardmäßig hinzufügen" setzen, damit Nachrichten standardmäßig digital unterschrieben werden.
    Wenn nun eine E-Mail verfasst wird, kann man über das Drop-Down-Menü des Punktes "Sicherheit" angeben, ob die Nachricht unterschrieben und / oder verschlüsselt werden soll. Das Häkchen für die digitale Unterschrift wird durch die vorherigen Einstellungen standardmäßig gesetzt (empfohlen).
    Empfänger können beim Empfang einer von Ihnen signierten E-Mail nun über das Siegel-Symbol erkennen, dass die Nachricht von Ihnen digital unterschrieben wurde. Der Absender einer E-Mail kann so verifiziert werden. Beim Klicken auf das Siegel-Symbol erhält man Informationen über die digitale Unterschrift, das Unterschriftszertifikat inkl. Zertifikatskette kann ebenso über das Untermenü "Unterschriftszertifikat ansehen" eingesehen werden.
  • Outlook
    Die Outlook-Optionen werden über Datei-Optionen geöffnet.
    Das Trust Center öffnen.
    Im Bereich E-Mail-Sicherheit das Zertifikat importieren.
    Bestehende digitale ID aus einer Datei importieren.
    Nach dem Importieren das Kennwort der Importdatei eingeben.
    Bevorzugte Sicherheitseinstellungen anpassen. Bei der Verwendung mehrerer Zertifikate am Arbeitsplatz (z.B. SAP-Zertifikate o.ä.) sollten Sie überprüfen, ob an dieser Stelle für die Felder "Signaturzertifikat" und "Verschlüsselungszertifikat" das richtige Zertifikat ausgewählt ist. Durch Klicken auf "Auswählen" können Sie das jeweilige Zertifikat laden.
    Im Trust Center standardmäßig ausgehenden Nachrichten die digitale Signatur hinzufügen und signierte Nachrichten als Klartext senden.
    Mails werden nun standardmäßig kryptographisch signiert. Beim Erhalt solch einer Mail kann die Signatur durch das im Bild gezeigte Symbol erkannt und verifiziert werden. Durch Klicken auf das Symbol bekommt man mehr Informationen zum verwendeten Zertifikat angezeigt.
  • Web-Mailer (Sogo, …)

    Nutzerinnen und Nutzer dürfen den geheimen Schlüssel oder ein digitales Zertifikat, das den geheimen Schlüssel enthält, nicht auf Webmail-Angebote hochladen.

    In Sogo-Webmail lässt sich diese Funktionalität leider nicht abstellen, eine Nutzung ist jedoch nicht zulässig.

    Siehe auch §5 Sicherheit der E-Mail-Richtlinie.

Zertifikate der DFN-PKI

  • Zertifikat-Signierungsanfrage (CSR) erstellen

    Wir verwenden die luh-ca.conf.

    Für zusätzliche Namen (Subject Alternate Names) im Zertifikat die luh-ca.cnf anpassen:

    cp luh-ca.cnf luh-ca.my
    

    Anschließend die Änderungen einbringen:

    $ diff luh-ca.cnf luh-ca.my
    74c74
    < # subjectAltName = @alt_names
    ---
    >  subjectAltName = @alt_names
    82,83c82,83
    < DNS.1 = example1.example.uni-hannover.de
    < DNS.2 = example2.example.uni-hannover.de
    ---
    > DNS.1 = cluster2020.ifzb.uni-hannover.de
    > DNS.2 = cluster2022.ifzb.uni-hannover.de
    

    Erstellen des CSR:

    $ openssl req -config luh-ca.cnf -new -keyout server-key.pem -out server-req.pem
    Generating a RSA private key
    ..........................................................................................................................+++++
    ........................+++++
    writing new private key to 'server-key.pem'
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (=DE) [DE]:
    State or Province Name (=Niedersachsen) [Niedersachsen]:
    Locality Name (=Hannover) [Hannover]:
    Organization Name (=Leibniz Universitaet Hannover) [Leibniz Universitaet Hannover]:
    Organizational Unit Name (Einrichtungskuerzel) []:LUIS
    Common Name (Servername FQDN) []:cluster2021.ifzb.uni-hannover.de
    Email Address []:
    

    Überprüfen eines CSR:

    $ openssl req -text -noout -verify -in server-req.pem -inform PEM
    verify OK
    Certificate Request:
        Data:
            Version: 1 (0x0)
            Subject: C = DE, ST = Niedersachsen, L = Hannover, O = Leibniz Universitaet Hannover, OU = LUIS, CN = cluster2021.ifzb.uni-hannover.de
            Subject Public Key Info:
                Public Key Algorithm: rsaEncryption
                    RSA Public-Key: (2048 bit)
                    Modulus:
                        00:c9:71:f7:b5:7b:ac:33:5b:ad:96:71:d7:2a:21:
    […]
                        97:9f
                    Exponent: 65537 (0x10001)
            Attributes:
            Requested Extensions:
                X509v3 Basic Constraints: 
                    CA:FALSE
                X509v3 Key Usage: 
                    Digital Signature, Non Repudiation, Key Encipherment
        Signature Algorithm: sha256WithRSAEncryption
             76:a6:ca:1e:76:35:f9:3d:5b:e0:7f:a6:66:bc:41:ce:85:99:
    […]
             79:10:de:37
    
  • Verzeichnisdienst DFN-PKI (LDAP)

    Die DFN-PKI bietet einen öffentlichen Verzeichnisdienst (LDAP-Server) an, in der die vom Inhaber zur Veröffentlichung freigegebenen Nutzerzertifikate im Sicherheitsniveau Global zu finden sind (siehe auch DFN-PKI-FAQ).

    • Hostname: ldap.pca.dfn.de
    • Port: 636 mit TLS/SSL
    • Basis-DN: o=DFN-Verein, c=DE

    Das LDAP-Verzeichnis kann in E-Mail-Clients eingebunden werden.

  • Mozilla Thunderbird: Einbinden LDAP-Verzeichnis

    Die Anleitung wurde mit Mozilla Thunderbird 78.11.0 erstellt.

    Öffnen des Adressbuchs über das Burgermenü: Extras - Adressbuch.
    Über Datei - Neu - LDAP-Verzeichnis das Verzeichnis hinzufügen.
    Daten für den öffentlichen LDAP-Server vom DFN eingeben.
    Im Adressbuch kann nun im Bereich "DFN PKI LDAP" im Verzeichnisdienst nach Kontakten gesucht werden.
    Öffnen der globalen Einstellungen.
    In den globalen Einstellungen im Bereich "Verfassen" beim Unterpunkt "Adressieren" den LDAP-Verzeichnisserver auswählen, damit beim Verfassen einer E-Mail die jeweilige Adresse autovervollständigt werden kann. Hinweis: Die globale Einstellung kann ggf. in den Konten-Einstellungen überschrieben werden.
    Beim Verfassen einer neuen E-Mail ist das gewünschte Verhalten nun erkennbar.

Zertifikatskonvertierungen

  • Datei-Endungen

    Dateiendungen bei Zertifikaten sind nicht vorgegeben und spezifizieren nur die Kodierung. Ob es sich dabei um ein Zertifikat, eine Zertifikatsanfrage, oder ein Schlüssel handelt, muss man über den Dateinamen zu erkennen geben.

  • DER / CRT

    Zertifikate:

    $ openssl x509 -in server-cert.der -inform DER -out server-cert.pem -outform PEM
    

    RSA-Schlüssel:

    $ openssl rsa -in server-key.der -inform DER -out server-key.pem -outform PEM
    
  • PEM

    Zertifikate:

    $ openssl x509 -in server-cert.der -inform PEM -out server-cert.pem -outform DER
    

    RSA-Schlüssel:

    $ openssl rsa -in server-key.der -inform PEM -out server-key.pem -outform DER
    
  • PKCS12

    PKCS12 ist ein Containerformat welches Zertifikate und Schlüssel beinhalten kann. Zum Trennen in die Bestandteile:

    Client-Zertifikat extrahieren:

    $ openssl pkcs12 -clcerts -nokeys -in test-client1-ca-2019.p12 -out test-client1-ca-2019-cert.pem
    Enter Import Password:
    $ head -n 8 tests/conf/test-client1-ca-2019-cert.pem
    Bag Attributes
    localKeyID: 55 84 55 EC 44 16 9E B8 05 AE 9B EB C7 BB 55 D5 B2 AC A6 C1
    subject=C = DE, O = Testinstallation Eins CA, CN = PN: Teilnehmerservice Test RAID 60
    issuer=C = DE, O = Test, CN = Test Client 1 Issuing CA
    -----BEGIN CERTIFICATE-----
    MIIFJjCCBA6gAwIBAgIMIX3zIme/leh2t+pTMA0GCSqGSIb3DQEBCwUAMD8xCzAJ
    

    Zertifikatskette extrahieren:

    $ openssl pkcs12 -cacerts -nokeys -in test-client1-ca-2019.p12 -out test-client1-ca-2019-chain.pem
    Enter Import Password:
    $ grep "subject" tests/conf/test-client1-ca-2019-chain.pem
    subject=C = DE, O = Test, CN = Test Client 1 Issuing CA
    subject=C = DE, O = Test, CN = Test Intermediate CA
    subject=C = DE, O = Test, CN = Test Root CA
    

    Der Schlüssel ist mit einem Kennwort geschützt, welches in einem zusätzlichen Schritt entfernt werden kann:

    $ openssl pkcs12 -nocerts -in test-client1-ca-2019.p12 -out test-client1-ca-2019-key.pem
    Enter Import Password:
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    $ head -n 5 test-client1-ca-2019-key.peme
    Bag Attributes
        localKeyID: 55 84 55 EC 44 16 9E B8 05 AE 9B EB C7 BB 55 D5 B2 AC A6 C1
    Key Attributes: <No Attributes>
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    MIIFHDBOBgkqhkiG9w0BBQ0wQTApBgkqhkiG9w0BBQwwHAQIFa7SsLOW2rMCAggA
    
  • RSA

    Schlüssel-Kennwortschutz entfernen:

    $ openssl rsa -in test-client1-ca-2019-key.peme -out test-client1-ca-2019-key.pem
    Enter pass phrase for test-client1-ca-2019-key.peme:
    writing RSA key
    $ head -n 2 tests/conf/test-client1-ca-2019-key.pem
    -----BEGIN RSA PRIVATE KEY-----
    MIIEowIBAAKCAQEAzchh+cIkhmx9cQHg+CcqKPo6/8OYi7wmL+japhJQ6CKtZCcO
    
  • X.509

    Zertifikatsinformationen anzeigen:

    $ openssl x509 -in server-cert.pem -inform PEM -text
    Certificate:
        Data:
            Version: 3 (0x2)
            Serial Number:
                23:3e:03:59:e4:c7:55:e7:28:59:42:2b
            Signature Algorithm: sha256WithRSAEncryption
            Issuer: C = DE, O = Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., OU = DFN-PKI, CN =
    DFN-Verein Global Issuing CA
            Validity
                Not Before: Jul 27 07:44:11 2020 GMT
                Not After : Oct 29 07:44:11 2022 GMT
            Subject: C = DE, ST = Niedersachsen, L = Hannover, O = Leibniz Universitaet Hannover, OU = Leibniz
    Universitaet Hannover IT Services, CN = www.luis.uni-hannover.de
            Subject Public Key Info:
                Public Key Algorithm: rsaEncryption
                    RSA Public-Key: (2048 bit)
                    Modulus:
                        00:ce:e3:a1:c4:f1:e5:71:02:6a:3e:15:5b:2b:c3:
    ...
                        24:23
                    Exponent: 65537 (0x10001)
            X509v3 extensions:
                X509v3 Certificate Policies:
                    Policy: 2.23.140.1.2.2
                    Policy: 1.3.6.1.4.1.22177.300.30
                    Policy: 1.3.6.1.4.1.22177.300.1.1.4
                    Policy: 1.3.6.1.4.1.22177.300.1.1.4.7
                    Policy: 1.3.6.1.4.1.22177.300.2.1.4.7
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Subject Key Identifier:
                AF:7E:23:0B:1B:8F:BC:95:B9:15:50:7F:23:78:9F:F0:00:6C:9B:7F
            X509v3 Authority Key Identifier:
                keyid:6B:3A:98:8B:F9:F2:53:89:DA:E0:AD:B2:32:1E:09:1F:E8:AA:3B:74
            X509v3 Subject Alternative Name:
                DNS:www.luis.uni-hannover.de, DNS:luis.uni-hannover.de, DNS:www.rrzn.uni-hannover.de,
    DNS:rrzn.uni-hannover.de, DNS:www.rrzn-handbuecher.de, DNS:rrzn-handbuecher.de
            X509v3 CRL Distribution Points:
                Full Name:
                    <link http: cdp1.pca.dfn.de dfn-ca-global-g2 pub crl cacrl.crl>URI:http://cdp1.pca.dfn.de/dfn-ca-global-g2/pub/crl/cacrl.crl
                Full Name:
                    <link http: cdp2.pca.dfn.de dfn-ca-global-g2 pub crl cacrl.crl>URI:http://cdp2.pca.dfn.de/dfn-ca-global-g2/pub/crl/cacrl.crl
            Authority Information Access:
                OCSP - URI:http://ocsp.pca.dfn.de/OCSP-Server/OCSP
                CA Issuers - URI:http://cdp1.pca.dfn.de/dfn-ca-global-g2/pub/cacert/cacert.crt
                CA Issuers - URI:http://cdp2.pca.dfn.de/dfn-ca-global-g2/pub/cacert/cacert.crt
            
            CT Precertificate SCTs:
                Signed Certificate Timestamp:
                    Version    : v1 (0x0)
                    Log ID     : 46:A5:55:EB:75:FA:91:20:30:B5:A2:89:69:F4:F3:7D:
                                 11:2C:41:74:BE:FD:49:B8:85:AB:F2:FC:70:FE:6D:47
                    Timestamp  : Jul 27 07:44:14.364 2020 GMT
                    Extensions : none
                    Signature  : ecdsa-with-SHA256
                                 30:46:02:21:00:8E:8B:B7:1B:06:72:82:92:5E:6E:8C:
                                 98:18:3E:F2:28:6D:9F:84:68:95:2E:AF:BD:EB:AE:1E:
                                 A1:07:28:20:C1:02:21:00:AB:88:B3:F4:3A:84:F5:45:
                                 AA:23:A4:20:D4:9A:3C:13:BE:13:A7:AC:39:13:46:E5:
                                 65:BA:E0:31:88:03:6C:E4
    ...
        Signature Algorithm: sha256WithRSAEncryption
            74:f5:68:24:28:a6:67:86:b6:52:b1:4d:f4:15:ca:8f:33:e7:
    ...
            24:ab:8a:ab
    -----BEGIN CERTIFICATE-----
    

Dienste-Konfiguration

Smartcards

  • Smartcards unter Windows mit OpenSC

    Die Installation der notwendigen Treiber und Registry Schlüssel ist hier dokumentiert.

  • Smardcards unter Linux mit OpenSC

    Generell wird die verwendete Smartcard-HSM von OpenSC seit 0.14 unterstützt.

    Pfade

    • /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
    • /usr/lib/i386-linux-gnu/opensc-pkcs11.so

     

    /etc/opensc/opensc.conf

    Zur Vermeidung von Problemen bei Class-2 & Class-3 Kartenlesegeräten kann es notwendig sein das PinPad abzuschalten (Änderung an der /etc/opensc/opensc.conf):

    enable_pinpad = false;
    
  • Anbindung an Mozilla Firefox
    Über Einstellungen wird nach "Kryptographie-Module" gesucht.
    Den Pfad /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so an die Umgebung anpassen.  
    Nach der erfolgreichen Einrichtung zeigt einem Firefox hier den erkannten Kartenleser und Details der gesteckten Karte an.
  • Anbindung an Chrome / Chromium

    Können wir nicht supporten, dokumentiert sind die folgenden Schritte:

    sudo apt-get install libnss3-tools
    modutil -dbdir ~/.pki/nssdb/ -add "OpenSC" -libfile /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
    
  • Anbindung an Edge / Internet Explorer

    Der Internet-Explorer verwendet für die Behandlung von Zertifikaten den in Windows eingebauten Zertifikats-Speicher. Mit den für die Smartcard installierten Windows-Treibern ist die Karte daher im Internet-Explorer sofort verwendbar.

  • Fehlersuche / Debugging

    Windows

    certutil -scinfo

    Linux

    $ pkcs11-tool -L
    Available slots:
    Slot 0 (0x0): Dell Dell Smart Card Reader Keyboard 00 00
      token label        : Test Client1 CA (User PIN)
      token manufacturer : EnterSafe
      token model        : PKCS#15
      token flags        : login required, PIN pad present, rng, token initialized, PIN initialized
      hardware version   : 0.0
      firmware version   : 0.0
      serial num         : 1318492715250219
      pin min/max        : 4/16
    
    pkcs11-tool --list-objects --login
    Using slot 0 with a present token (0x0)
    ****
    Private Key Object; RSA
      label:      PN: Teilnehmerservice Test RAID 60
      ID:         2649a19d5d6a216913c5a0c8bb9f97229dec99ab
      Usage:      sign, non-repudiation, unwrap
      Access:     sensitive, always sensitive, never extractable
    Certificate Object; type = X.509 cert
      label:      PN: Teilnehmerservice Test RAID 60
      subject:    DN: C=DE, O=Testinstallation Eins CA, CN=PN: Teilnehmerservice Test RAID 60
    
      ID:         2649a19d5d6a216913c5a0c8bb9f97229dec99ab
      Public Key Object; RSA 2048 bits
      label:      PN: Teilnehmerservice Test RAID 60
      ID:         2649a19d5d6a216913c5a0c8bb9f97229dec99ab
      Usage:      encrypt, verify
      Access:     local
    

FAQ

  • Wie signiere ich meine Mails? Was bedeutet das überhaupt?

    Mit der kryptographischen Signatur stellt der Absender einer Mail Informationen zur Verfügung, die Empfängern die Verifikation seiner Identität ermöglichen. Es reicht aus, dass der Versender ein Nutzerzertifikat hat.

    Weitere Informationen und Anleitungen zur Verwendung finden sich auf der Seite Sichere E-Mail.

  • Was ist der Unterschied zwischen signierter und verschlüsselter E-Mail?

    Mit der kryptographischen Signatur stellt der Absender einer Mail Informationen zur Verfügung, die Empfängern die Verifikation seiner Identität ermöglichen. Es reicht aus, dass der Versender ein Nutzerzertifikat hat.

    Mit der Verschlüsselung stellt der Absender einer Mail sicher, dass diese nur vom Empfänger gelesen werden kann. Sender und Empfänger müssen ein Nutzerzertifikat haben

    Weitere Informationen finden sich auf der Seite Sichere E-Mail.

  • Was ist ein Zertifikat?

    Ein digitales Zertifikat ist ein Datensatz, dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Es entspricht einem digitalen Ausweisdokument, welches ein Schlüsselpaar bestehend aus einen öffentlichen und einem privaten Schlüssel eindeutig einer Person oder einem Server zuordnet. Eine Zertifizierungsstelle beglaubigt diese Zuordnung. Zertifikate werden eingesetzt um die Sicherheit von Daten zu gewährleisten (Verschlüsselung) oder die Identität des Kommunikationspartners (Server-Authentifizierung, Mail-Signatur) eindeutig bestätigen zu können.

    Eine Person oder ein Server identifiziert sich durch den Besitz des privaten Schlüssels, der zu dem im Zertifikat beglaubigten öffentlichen Schlüssel passt.Der private Schlüssel eines Zertifikates verbleibt beim Besitzer des Zertifikates, er muss gut geschützt werden und darf nicht öffentlich werden. Geht der private Schlüssel verloren oder wird kompromittiert, muss das Zertifikat gesperrt werden.

    Der öffentliche Schlüssel eines Zertifikates muss den Kommunikationspartnern bekannt gemacht werden, damit diese anhand des Schlüssels überprüfen können, ob das Gegenüber tatsächlich im Besitz des geheimen Schlüssels ist. Der öffentliche Schlüssel von A wird vom Kommunikationspartner B genutzt, um die Authentizität der Signatur von A zu prüfen oder um Daten für B zu verschlüsseln.

    Ein Zertifikat enthält neben der Zuordnung des Schlüsselpaares zum Besitzer noch weitere Informationen wie z.B. Gültigkeitsdaten, die ausstellende Zertifizierungsstelle, Einsatz-Zweck des Zertifikates (Mailverschlüsselung, Signatur, Authentifizierung, ...)

    Nutzerzertifikate sind personenbezogene Zertifikate. Diese Zertifikate können in Mailprogrammen zum Signieren und Verschlüsseln von E-Mails eingesetzt werden. Durch die digitale Signatur einer E-Mail können die Empfänger sicher sein, dass die absendende Person auch tatsächlich diejenige ist, als die sie sich ausgibt.

    Serverzertifikate dienen der Identifizierung des Servers. Durch sie lässt sich für die Klienten sicherstellen, wirklich mit dem Server verbunden zu sein dessen Adresse angewählt wurde. Nur nur der "echte" Server kann das korrekte Zertifikat präsentieren.

  • Was ist ein Wurzelzertifikat?

    Jedes Zertifikat enthält die Signatur der Zertifizierungsstelle, die dieses Zertifikat ausgestellt hat. Dadurch kann die Kette aller beteiligten Zertifikaten verfolgt werden, bis hin zu einem Wurzelzertifikat, dem vertraut wird.

    Wurzelzertifikate werden von sicheren Trust-Centern ausgestellt, die sich durch sehr hohe Sicherheitsstandards auszeichnen und die regelmäßigen Qualitätskontrollen unterzogen werden. Die meisten Browser, Mailprogramme und viele andere Anwendungsprogramme bringen schon bei Installation eine Vielzahl integrierter vertrauenswürdiger Wurzelzertifikate mit. Auch die Zertifikate der DFN-PKi im Sicherheitsniveau global sind über das bereits vorintegrierte Wurzelzertifikat der T-Systems Business-Services in dieser vertrauenswürdigen Zertifikatskette mit einbezogen.

  • Wo erhalte ich mehr Informationen über verwendete Zertifikate?

    In Browsern (Firefox, Chrome, …) wird in der URL-Leiste eine gesicherte verschlüsselte Verbindung i.d.R. mit einem Schloss-Symbol angezeigt. Durch Klicken auf das Schloss-Symbol können weitere Informationen zum Zertifikat angezeigt werden.

    In Mailprogrammen wird z.B. beim Erhalt einer signierten und/oder verschlüsselten Nachricht ein (Brief-)Siegel-Symbol angezeigt. Durch Klicken auf das (Brief-)Siegel-Symbol können weitere Informationen zum Zertifikat angezeigt werden.

  • Was mache ich bei Zertifikatswarnungen im Browser?

    Zertifikatswarnungen Ihres Browsers sollten Sie ernst nehmen und die Webseite vor der gewarnt wird gegebenenfalls lieber nicht besuchen. Bei Fragen und Unsicherheiten zu diesem Thema wenden Sie sich gerne an die RA im LUIS.

    Typische Warnmeldungen könnten sein:

    • Das Zertifikat ist abgelaufen

    • Das Zertifikat wurde widerrufen

    • Das Zertifikat wurde für einen ganz anderen Server ausgestellt

    • Das Zertifikat ist selbst-signiert, d.h. der Besitzer des Zertifikats hat dieses selbst unterschrieben. Solche selbst-signierten Zertifikate sollten nur für Testzwecke, aber nicht für öffentliche Server eingesetzt werden.

    • Der Browser oder das Mailprogramm kennen die Zertifizierungsinstanz (Certification Authority, CA) nicht, die das Zertifikat ausgestellt hat. Das kann daran liegen, dass das Wurzelzertifikat oder eines der Zwischenzertifikate fehlen. Die Zertifikatskette muss vollständig sein und bei einem Wurzelzertifikat enden, dem vertraut wird. Fehlt in der Kette ein Zertifikat, kann keine vollständige Verifizierung stattfinden.

  • Was ist eine CA? Was sind ihre Aufgaben?

    Die Zertifizierungsstelle (CA) arbeitet als vertrauenswürdige Instanz, die eine eindeutige, zweifelsfreie Zuordnung zwischen einem Schlüsselpaar (öffentlicher und privater Schlüssel) und einer Person oder einem Rechner herstellt.

  • Was ist ein Fingerprint?

    Der Fingerprint ist eine eindeutige Zahl, die einem Zertifikat zugeordnet ist. Die Zahl selbst ist nicht Teil des Zertifikates, sondern lässt sich aus dem Inhalt berechnen (Hash-Verfahren). Selbst, wenn sich der Inhalt des Zertifikates nur um ein Zeichen ändert, erhält man eine andere Zahl. Daher benutzt man den Fingerabdruck zur Überprüfung von Zertifikaten. So können Sie z.B. die auf den Webseiten der DFN-PKI veröffentlichten Fingerprints mit denen des in Ihrem Browser geladenen DFN-Root-Zertifikates vergleichen. Halten Sie den ganzen Internet-Verkehr für unsicher, dann können Sie sich natürlich auch telefonisch den Fingerprint durchgeben lassen.

KONTAKT

RA der LUH-CA
Address
RA der LUH-CA
LUIS
Leibniz Universität Hannover
Schloßwender Str. 5
D-30159 Hannover
RA der LUH-CA
Address
RA der LUH-CA
LUIS
Leibniz Universität Hannover
Schloßwender Str. 5
D-30159 Hannover
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 17:00 Uhr
Office hours
Der IT-Service-Desk des LUIS ist ab sofort wieder von Mo-Fr in der Zeit von 08-17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 17:00 Uhr
Office hours
Der IT-Service-Desk des LUIS ist ab sofort wieder von Mo-Fr in der Zeit von 08-17 Uhr telefonisch erreichbar.