Zertifizierung an der Hochschule Magdeburg-Stendal

Im Rahmen einer DFN-weiten Public Key Infrastruktur (PKI) betreibt die Hochschule Magdeburg-Stendal eine Registrierungsstelle. Die zugehörige Zertifizierungsstelle wird vom DFN betrieben.

Das ermöglicht uns, X.509-Zertifikate für die folgenden Verwendungszwecke auszustellen:

  • Signieren und Verschlüsseln von E-Mail und Dokumenten (Nutzer-Zertifikate)
  • Server-Authentifizierung (Server-Zertifikate)

Nutzer-Zertifikate können von allen Angehörigen der Hochschule Magdeburg-Stendal  beantragt werden. Hierfür gilt die jeweils aktuelle

Zertifizierungsrichtlinie der DFN-PKI

Nutzer-Zertifikat

Mit einem Nutzerzertifikat weist sich ein E-Mail-Nutzer gegenüber dem Empfänger aus. Eine signierte E-Mail enthält eine Signatur, anhand derer der Empfänger prüfen kann, ob der Absender wirklich die Person ist, die durch die E-Mail-Adresse repräsentiert wird und, ob die Nachricht unverfälscht vom Absender zu ihm gelangt ist. Nutzerzertifikate werden mit dem Web-Browser erzeugt. Um sie zu nutzen, müssen sie aber in die jeweiligen Programme, die diese Nutzung unterstützen, übertragen werden.

Nutzer-Zertifikat beantragen und in den Browser importieren

Unter https://pki.pca.dfn.de/hs-magdeburg-stendal-ca-g2/pub können Sie ein Nutzer-Zertifikat beantragen.

Geben Sie unter Zertifikate / Nutzerzertifikat die erforderlichen Daten ein.
Beachten Sie bitte den folgenden Hinweis:

  • Schreiben Sie Ihren Namen bitte nicht nur in kleinen Buchstaben, sondern mit Großbuchstaben beginnend.
  • Professoren-Titel sind keine Namenszusätze und sollten somit auch nicht im Zertifikatsnamen (SubjectDN/CN) genannt werden.
  • Doktoren-Titel etc, die als Namenszusatz im Ausweisdokument geführt werden, dürfen hingegen aufgenommen werden.
  • Nicht im Ausweisdokument geführte Titel tauchen niemals im Namen von Nutzer-Zertifikaten auf.

Merken Sie sich unbedingt Ihre PIN, sie benötigen sie, um bei Verlust oder Kompromittierung Ihres Zertifikates dieses zurückziehen zu können. Es ist zu empfehlen, dass Sie der Veröffentlichung Ihres Schlüssels innerhalb des Netzes des DFN zustimmen.

Lassen Sie sich dann auf der nächsten Seite einen Schlüssel generieren. Danach Lassen Sie sich den Zertifikatantrag anzeigen und ausdrucken.

Diesen Antrag füllen Sie aus und lassen sich mit Ihm in Ihrer Registrierungsstelle identifizieren. Bringen Sie dazu den im Antrag angegebenen Lichtbildausweis mit! Für Stendal nimmt Frau Seela (Haus 2, Raum 2.11) und für Magdeburg nimmt Herr Salchow (Haus 5, Raum 1.08) die Identifizierung vor.

Wenn das Zertifikat im Anschluss daran erfolgreich erzeugt wurde, erhalten Sie eine E-Mail. Darin wird auch der Import des Zertifikates in den Browsers erläutert.

Nutzer-Zertifikat exportieren

Nachdem Sie wie in der E-Mail beschrieben Ihr Zertifikat im Browser importiert haben, können Sie es von dort exportieren, um es in anderen Anwendungen, z.B. in Ihrem Mailprogramm zu nutzen.
Unter "Extras / Einstellungen ..." finden Sie die Firefox-Einstellungen und im Tab "Erweitert / Zertifikate" schließlich die Zertifikatsverwaltung. Mit "Zertifikate anzeigen" können Sie sich davon überzeugen, ob Ihr importiertes Zertifikat richtig erkannt und mit dem privaten Schlüssel zusammengefügt wurde. Um es zu exportieren:

  • Markieren Sie Ihr Zertifikat und klicken auf "Sichern".
  • Geben Sie einen Dateinamen an
  • Wenn Sie im Browser ein Masterpasswort verwenden, müssen Sie es dann eingeben
  • Geben Sie (zweimal) ein Zertifikats-Backup-Passwort ein. Sie brauchen dieses Passwort, um es in anderen Anwendungen zu importieren.
  • Als Ergebnis erhalten Sie eine Datei mit der Endung .p12, die Ihr exportiertes Zertifikat enthält.

Integration in Anwenderprogramme

Das Nutzer-Zertifikat wird hauptsächlich zum unterschreiben und verschlüsseln von E-Mails verwendet. Dazu muss es in das verwendete Mail-Programm importiert werden.

Anleitung Nutzung S/Mime in Thunderbird (pdf-Datei)

Sie können auch in anderen Programmen digitale Signaturen verwenden, um die Echtheit von Dokumenten sicherzustellen, bzw. zu überprüfen.

Für OpenOffice unter Windows werden die Zertifikate über  Systemsteuerung "Internetoptionen"  verwaltet und über Datei/Digitale Signaturen.. der Datei zugewiesen. Damit ist die Datei in dem Zustand signiert. Soll die Datei in einem anderen Zustand (z.B. nach einer Änderung) wieder gespeichert werden, werden automatisch alle digitalen Signaturen entfernt.

Für das Signieren von pdf-Dateien in Acrobat Reader müssen für diese Dokumente die Reader-Verwendungsrechte aktiviert sein. Dann kann unter "Signieren" - "Arbeiten mit Zertifikaten" und "Unterschreiben mit Zertifikat" ein Unterschriftsfeld gezeichnet werden, in dem die Unterschrift eingefügt wird.

Server-Zertifikat

Mit dem Server-Zertifikat weist sich der Server (bzw. ein von ihm angebotener Dienst) gegenüber dem Nutzer aus. Der Nutzer kann aufgrund dieses Zertifikates überprüfen, ob er eine Verbindung wirklich mit dem Server aufbaut, mit dem er sie aufbauen will.

Serverzertifikate verwalten

Tritt der Web-Browser mit einem Server in Verbindung, der ein Serverzertifikat verwendet, wird dieses überprüft. Wurde es von einer Zertifizierungsinstanz ausgestellt, der der Browser vertraut, wird das durch ein Symbol in der Statusleiste oder der Adresszeile des Browsers angezeigt, meist ein geschlossenes Vorhängeschloss. Ist die Zertifizierungsinstanz nicht bekannt, oder kann die Vertrauenswürdigkeit dieser Instanz nicht geklärt werden (evt. durch Zertifizierungsinstanz der Zertifizierungsinstanz der .. bis hin zum Stammzertifikat), werden Sie gewarnt und müssen sich entscheiden, ob Sie diesem Server für diese Sitzung, für immer oder überhaupt nicht trauen.

Die Zertifizierungsstelle der HS Magdeburg-Stendal (kurz CA) stellt jetzt auch Serverzertifiate aus. Das Stammzertifikat (oberstes Zertifikat der Zertifizierungskette, die zu unserer Zertifizierungsstelle führt) ist in allen aktuellen Browsern auf allen aktuellen Betriebssystemen bereits als vertrauenswürdiges Stammzertifikat integriert.

Sie können aber auch wie gewohnt dieses selbst in Ihren Browser / Betriebssystem aufnehmen.

Klicken Sie dazu nacheinander auf die folgenden Zertifikate und folgen dann den Anweisungen Ihres Browsers bzw. geben diesen Zertifikaten Ihr Vertrauen zum identifizieren von Webseiten und zum Identifizieren von E-Mail-Nutzern:

für Zertifikate, die vor dem 01.02.2017 ausgestellt wurden

für Zertifikate, die nach dem 01.02.2017 ausgestellt wurden

Server-Zertifikat beantragen

Der folgende Abschnitt ist gedacht als Anleitung für Server-Administratoren, die eine abgesicherte Verbindung zu Ihrem Server einrichten wollen. Jeder, der damit nichts zu tun hat, kann dieses Dokument problemlos ignorieren.

Dies wird auch keine Anleitung, wie Sie Ihrem Web-Server https:// ermöglichen. Eine solche Anleitung finden Sie z.B. auf den Seiten des Apache-Projektes. Hier wird lediglich beschrieben (und in einem Beispiel für einen Webserver gezeigt), wie Sie ein Zertifikatantrag erstellen.

Erzeugen Sie einen Zertifizierungs-Request und den dazugehörigen privaten Schlüssel

openssl req -newkey rsa:2048 -out www.pem -keyout www.key

 
Geben Sie, wenn Sie danach gefragt werden, die folgenden Daten ein (kursiv geschriebene Daten ersetzen Sie durch Ihre eigenen!):

Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Sachsen-Anhalt
Locality Name (eg, city) []:Magdeburg bzw. Stendal
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hochschule Magdeburg-Stendal
Organizational Unit Name (eg, section) []:Ihr Fachbereich
Common Name (eg, YOUR name) []:ihr.server.hs-magdeburg.de
Email Address []:ihre.adresse@hs-magdeburg.de

       
Bei Bedarf entfernen Sie die Passphrase des privaten Schlüssels (z.B. wenn der Webserver automatisch starten soll):

openssl rsa -in www.key -out server.key


Unter https://pki.pca.dfn.de/hs-magdeburg-stendal-ca-g2/pub können Sie jetzt ein Server-Zertifikat beantragen.

Geben Sie unter Zertifikate / Serverzertifikat die erforderlichen Daten ein. Der angeforderte PKCS#10-Zertifikatantrag ist die vorher erzeugte Datei (im Beispiel "www.pem"). Merken Sie sich unbedingt Ihre PIN, sie benötigen sie, um bei Verlust oder Kompromittierung Ihres Zertifikates dieses zurückziehen zu können. Es ist zu empfehlen, dass Sie der Veröffentlichung Ihres Schlüssels innerhalb des Netzes des DFN zustimmen. Schließlich wollen Sie, dass mit Ihrem Server kommuniziert wird.

Auf der nächsten Seite bestätigen Sie Ihre Angaben und lassen sich dann den Zertifikatantrag anzeigen und ausdrucken.

Diesen Antrag füllen Sie aus und lassen sich mit Ihm in Ihrer Registrierungsstelle identifizieren. Bringen Sie dazu den im Antrag angegebenen Lichtbildausweis mit! Für Stendal nimmt Frau Seela (Haus 2, Raum 2.11) und für die Magdeburger Kollegen nimmt Herr Salchow (Haus 5, Raum 1.08) die Identifizierung vor.

Wenn das Zertifikat im Anschluss daran erzeugt wurde, werden Sie es in einer E-Mail zugeschickt bekommen. Sie können es dann in das entsprechende Verzeichnis kopieren und nutzen.

Bitte beachten Sie, dass sich für Zertifikate, die nach dem 01.02.2017 ausgestellt werden, die Zertifikatskette ändert. Ändern Sie Ihre Konfiguration so, dass gegebenenfalls die neue Zertifikatskette ausgeliefert wird.

Kontakt

Web-Anwendungen
Olaf Salchow

Tel.: (0391) 886 44 18
E-Mail: web-anwendungen(at)zki.hs-magdeburg.de

Besucheradresse: Haus 5, Raum 1.08

Hintergrund Bild