Diese Seite befindet sich aktuell noch im Aufbau
Um die Herkunft von Mails zu verifizieren oder die Integrität von Dokumenten sicherzustellen, werden elektronische Signaturen bzw. Zertifikate verwendet. Darüber hinaus kommen Zertifikate auch bei der verschlüsselten Übertragung von E-Mails und Website-Inhalten zum Einsatz. Nur auf diese Weise können bösartige Veränderungen durch Dritte ausgeschlossen werden. Wie Sie ein solches Zertifikat beantragen, erfahren Sie auf den folgenden Seiten.
Inhalt
Abkürzungen
Abk | steht für | Infos |
---|---|---|
DFN | Deutsches Forschungsnetz | Verein zur Förderung eines Deutschen Forschungsnetzes e. V. - eine selbstverwaltete Organisation |
PKI | Public Key Infrastruktur | ein hierarchisches System zur Ausstellung, Verteilung und Prüfung von digitalen Zertifikaten |
TCS | Trusted Certificate Service | TCS wird das bisherige DFN-PKI Sicherheitsniveau „Global“ ablösen. |
CSR | Certificate Signing Request | digitaler Antrag, um mittels einer digitalen Signatur aus einem öffentlichen Schlüssel ein digitales Zertifikat zu erstellen |
CA | Certification Authority | Eine Zertifizierungsinstanz (engl. Certification Authority, CA) stellt Zertifikate aus, indem sie die Zertifikatsinhalte mit einer digitalen Signatur versieht |
Die HHU ist Teilnehmerin der DFN-PKI, die vom DFN-Verein betrieben wird und stellt über den TCS (Trusted Certificate Service), den der DFN-Verein über GÉANT bezieht, unter anderem persönliche Zertifikate aus. GÉANT realisiert den Dienst mithilfe von externen Anbietern. Der aktuelle Anbieter ist Sectigo.
Der Dienst steht allen Mitarbeiterinnen und Mitarbeitern der HHU für dienstliche Zwecke zur Verfügung.
Nutzerzertifikat beantragen
Zum Signieren/Verschlüsseln von E-Mails oder zum Signieren/Unterschreiben von PDFs:
Serverzertifikat beantragen
Zur verschlüsselten Verbindung zwischen Server und Client. Hier beantragen Sie Zertifikate für *.hhu.de-Domains:
CSR erstellen
Voraussetzung, um ein Serverzertifikat zu beantragen. Kann auch für Nutzerzertifikate erstellt werden.
Rechtliche Grundlagen elektronischer Signaturen
Bei elektronischen Signaturen wird zwischen drei Varianten unterschieden:
- Einfache elektronische Signatur
- Fortgeschrittene elektronische Signatur
- Qualifizierte elektronische Signatur
Die Erklärungen dazu können Sie auf den Seiten des DFN nachlesen: https://doku.tid.dfn.de/de:dfnpki:pkifaq:sigsie_faq
Wichtig zum Umgang mit den Zertifikaten ist das persönliche Zertifikate bzw. private Schlüssel (erkennbar an der Endung .p12) an Niemanden weitergegeben werden dürfen und mit einem guten Passwort geschützt werden sollten, da sonst Gefahr zum Missbrauch des Zertifikats besteht. Öffentliche Schlüssel hingegen (erkennbar an der Endung .pem) werden mit jeder unterschriebenen Mail automatisch mitgeschickt und im Mail-System des Empfängers gespeichert. Über diesen Öffentlichen Schlüssel können Ihre Empfänger Ihre Unterschrift Überprüfen und verschlüsselte Mails an Sie senden, demnach müssen sie Jemanden der eine verschlüsselte Mail an sie senden soll zuerst eine signierte Mail schicken oder den öffentlichen Schlüssel anders überreichen. Verschlüsselte Mails können nur mit dem zugehörigen privaten Schlüssel wieder entschlüsselt werden.
ECC oder RSA?
Bei Serverzertifikaten ist der Algorithmus entsprechend den Fähigkeiten der Server-Software zu wählen. In den meisten Fällen wird heutzutage ECC genutzt werden können.
Bei Nutzerzertifikaten ist zu beachten, dass Zertifikate mit den ECC-Schlüsseltypen P-384 und P-256 nur für Signatur und Authentisierung, aber nicht für Verschlüsselung verwendet werden können.