Funktionsumfang
Beschäftigte der Universität Stuttgart können nach einer erfolgten Identifizierung ein persönliches Nutzerzertifikat beantragen.
Nutzerzertifikate (S/MIME) ermöglichen es E-Mails zu signieren oder per E-Mail verschlüsselt zu kommunizieren.
- Signieren von E-Mails: Mit einer elektronischen Signatur wird in der E-Mail-Korrespondenz sichergestellt, dass eine E-Mail vom angegebenen Absender stammt (Nachweis der Authentizität), und dass die E-Mail nicht nachträglich verändert wurde (Nachweis der Integrität). Dies erhöht für Kommunikationspartner das Vertrauen, dass es sich bei einer E-Mail nicht um eine Fälschung handelt.
- Verschlüsseln von E-Mails: Die Verschlüsselung kann eine vertrauliche Kommunikation zwischen zwei Partnern verbessern, sollte aber nur bei erhöhtem Geheimhaltungsbedarf eingesetzt werden und wenn sich sowohl Sender als auch Empfänger der Risiken bewusst sind.
Einschränkungen und Risiken
- Bei Verlust der Zerifikatsinformationen können verschlüsselte E-Mails nicht mehr entschlüsselt und gelesen werden, dies ist insbesondere bei der Archivierung von E-Mails zu beachten.
- Bei der Weitergabe (Weiterleitung, Verschiebung in ein anderes Postfach) von verschlüsselten E-Mails an eine Urlaubsvertretung oder einen Stellennachfolger können diese möglicherweise von dieser Person nicht entschlüsselt werden.
- Eine digitale Signatur erhöht das Vertrauen, dass eine E-Mail vom Nutzungskonto des angegebenen Absenders verschickt wurde. Damit ist aber nicht sichergestellt, dass die E-Mail von der angegebenen Person stammt, wenn beispielsweise der Computer von einem Virus befallen ist oder andere Personen Zugriff auf das Mailkonto haben.
- Dementsprechend schützt Verschlüsselung eine E-Mail auf dem Transportweg vom Rechner des Absenders zum Rechner des Empfängers vor "Abhören" durch Dritte. Falls einer dieser beiden Rechner von einem Virus befallen ist oder die Passwörter anderen Personen bekannt sind, können dennoch unbefugte Dritte Kenntnis der Nachricht erlangen.
- Verschlüsselte E-Mails können vom IZUS/TIK nicht auf Spam und Viren untersucht werden.
Umgang mit Zertifikaten
- Sichere Verwahrung: Grundsätzlich müssen die Zertifikatsinformationen (.p12-Datei und Passwort) sicher gespeichert werden und vor einem unberechtigten Gebrauch geschützt werden. Wenn eine Kompromittierung festgestellt wurde, ist das Zertifikat auf jeden Fall zu sperren.
- Keine Weitergabe: Zertifikatsinformationen dürfen nur vom Zerifikatsinhaber persönlich genutzt werden, eine Weitergabe, z.B. an eine Urlaubsvertretung ist nicht zulässig.
- Externe Speicherung: Die Zertifikatsinformationen sollten Passwort-geschützt an einem Ort gespeichert werden, auf den Sie auch Zugriff haben, wenn der von Ihnen verwendete Rechner beschädigt, verloren oder ersetzt wird, z.B. auf einem USB-Speicher.
- Dauerhafte Speicherung: Nutzerzertifikate haben aktuell eine Gültigkeit von 2 Jahren. Nach dieser Zeit muss ein neues Zertifikat erstellt werden, das abgelaufene Zertifikat verliert seine Gültigkeit. Um weiterhin auf verschlüsselte E-Mails zugreifen zu können, die mit dem abgelaufenen Zertifikat verschlüsselt wurden, muss das abgelaufene Zertifikat vorhanden sein und verwendet werden. Berücksichtigen Sie auch bei einem Rechnerwechsel, dass Sie auf dem neuen Rechner das abgelaufene Zertifikat wieder installieren müssen.
- Nutzung auf verschiedenen Clients: Wenn Sie mehrere Clients nutzen (PC, Notebook, Tablet), muss das Zertifikat auf allen Clients installiert werden, wenn Sie dort verschlüsselte E-Mails erstellen oder lesen möchten.
Ablauf der Zertifikatserstellung
- Die Antragstellung / der Bezug von Nutzerzertifikaten erfolgt über ein Onlineformular.
Auf den Anleitungsseiten wird der Vorgang beschrieben. - Vor Ausstellung des Nutzerzertifikates ist eine Identifizierung Ihrer Person erforderlich. Diese erfolgt am IZUS/TIK. Bitte vereinbaren Sie hierfür einen Termin per E-Mail (pki-support@tik.uni-stuttgart.de). Bringen Sie ein gültiges Ausweisdokument mit.
Anleitungen
Häufig gestellte Fragen
Aktuell ist ein Nutzerzertifikat 2 Jahre gültig.
Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats zustimmen, wird dieses zum Verzeichnisdienst der DFN-PKI hinzugefügt, der im Internet frei zugänglich ist. Der Vorteil einer Veröffentlichung besteht darin, dass jeder, der Ihnen eine verschlüsselte E-Mail senden möchte, dies leicht tun kann, da das entsprechende Zertifikat frei verfügbar ist. Da Nutzerzertifikate den Namen und die E-Mail Adresse des Zertifikatnehmers enthalten, sind diese Daten bei einer Zustimmung zur Veröffentlichung frei verfügbar.
Die Veröffentlichung eines Nutzerzertifikats ist vergleichbar mit einer Telefonnummer, die Sie in ein öffentliches Telefonverzeichnis eintragen lassen können. Stimmen Sie der Eintragung zu, so kann jeder (ob gewünscht oder ungewünscht) Sie ohne vorherige Kontaktaufnahme telefonisch erreichen.
Bitte beachten Sie:
- Sie können Ihre Zustimmung zur Veröffentlichung Ihres Zertifikats jederzeit mit Wirkung für die Zukunft durch eine E-Mail an dfnpca@dfn-cert.de widerrufen. Nennen Sie uns in der E-Mail bitte die Seriennummer des Zertifikats und die ausstellende Zertifizierungsstelle. Diese Informationen sind aus den Zertifikatdetails ersichtlich.
- Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats nicht zustimmen, kann dies nachträglich nicht geändert werden. Sie müssen dann ein neues Zertifikat beantragen und dafür der Veröffentlichung zustimmen.
Überprüfen Sie die zu übermittelnden Attribute. Nur wenn das Entitlement
eduPersonEntitlement urn:mace:terena.org:tcs:personal-user
übergeben wird, kann ein Zertifikat ausgestellt werden.
Falls eine Fehlermeldung angezeigt wird, wurde die Identifizierung nicht durchgeführt oder noch nicht bei Ihrem Account hinterlegt.
Teilweise gibt es bei Windows 10 und auch bei Apple Geräten Probleme beim Import des Zertifikates.
Wählen Sie bei der Zertifikatsausstellung im Onlineformular als Key Protection Algorithm Compatible TripleDes-SHA1 anstatt AES256-SHA256.
Wird eine Signatur in einer E-Mail beim Empfänger in Thunderbird als ungültig angezeigt, obwohl das Zertifikat nicht abgelaufen ist, kann dies an dem Hashalgorithmus liegen, den der Versender im Outlook eingestellt hat.
Verwenden Sie statt SHA1 einen alternativen Hashalgorithmus. Die Anleitung zur Konfiguration finden Sie hier:
Einbindung von Nutzerzertifikaten in Outlook