E-Mail-Zertifikat beantragen: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
 
(140 dazwischenliegende Versionen von 8 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:
 
|type=Anleitung
 
|type=Anleitung
 
|os=Any
 
|os=Any
|service=Service:Mail,Service:CA,Service:Exchange
+
|service=Service:CA, Service:Exchange, Service:Mail
 
|targetgroup=Angestellte
 
|targetgroup=Angestellte
 
|hasdisambig=Ja
 
|hasdisambig=Ja
|disambiguation=E-Mail-SSL-Zertifikate (S-MIME)
+
|disambiguation=E-Mail-Zertifikate
 
}}
 
}}
 
{{Search engine parameters‏‎
 
{{Search engine parameters‏‎
 
|keywords=ssl, zertifikat, ca, zertifizierungsstelle, verschlüsselt, mail, email, Informationssicherheit
 
|keywords=ssl, zertifikat, ca, zertifizierungsstelle, verschlüsselt, mail, email, Informationssicherheit
 +
}}
 +
{{ambox
 +
|type=speedy
 +
|text='''ACHTUNG (Windows / VPN):''' Wenn Sie das neue E-Mail-Zertifkat nutzen, müssen Sie ebenfalls die aktuelle VPN-Konfiguration nutzen, andernfalls kann es zu Problemen mit der VPN-Verbindung kommen.
 +
* [[VPN unter Windows]]
 +
}}
 +
{{ambox
 +
|type=content
 +
|text='''Haben Sie eine E-Mail-Adresse mit der Endung ''@zv.uni-paderborn.de'' ?''' <br>
 +
Dann können Sie keine E-Mail-Zertifikate nach dieser Anleitung beantragen. Melden Sie sich stattdessen bei der [mailto:it-service@zv.uni-paderborn.de Verwaltungs-IT].
 
}}
 
}}
 
{{ambox
 
{{ambox
 
|type=notice
 
|type=notice
|text=Dieser Text entspricht nicht mehr zu 100% der Vorgehensweise, da das Verfahren der DFN-PKI leicht geändert wurde. Wir überarbeiten unsere Doku gerade...
+
|text='''Benötigen Sie ein "Gruppenzertifikat", welches von mehreren Personen verwendet werden soll?''' <br>
 +
Bitte die funktionelle E-Mailadresse, die zertifiziert werden soll, und die dafür verantwortliche betreuende Person an das ZIM unter [mailto:ca@uni-paderborn.de ca@uni-paderborn.de] melden.<br>
 +
Dabei muss die betreuende Person entweder
 +
*  die Adresse als eigenen Alias im persönlichen Uni-Account haben
 +
*  oder der/die Gastbetreuer/in eines Gastaccounts sein, der die Adresse als Alias eingetragen hat.
 +
Das Gruppenzertifikat wird der betreuenden Person überantwortet.
 
}}
 
}}
Wenn Sie Ihre E-Mails mit einem E-Mail-Zertifikat der Universität Paderborn signieren möchten, können Sie ein solches bei der Zertifizierungsinstanz der Universität beantragen.
+
 
 +
== Info==
 +
Wir gehen aktuell davon aus, dass wir vom 7. Januar 2025 bis März 2025 keine neuen E-Mail-Zertifikate ausstellen können. Vorhandene Zertifikate sollen bis zum Ablaufdatum gültig bleiben.
 +
 
 +
== Persönliches E-Mail-Zertifikat beantragen ==
 +
Wenn Sie Ihre E-Mails mit einem E-Mail-Zertifikat der Universität Paderborn signieren möchten, können Sie ein solches bei der Zertifizierungsinstanz der Universität beantragen. Dabei handelt es sich um S/MIME-Zertifikate, die ausschließlich zum Signieren von E-Mails genutzt werden können.
 +
<br clear=all>
  
 
== Was ist zu tun? ==
 
== Was ist zu tun? ==
  
* Formular für das Beantragen ausfüllen
+
* Im Serviceportal anmelden und das neue Zertifikat beantragen.
* Persönlich mit Lichtbildausweis/Pass authentifizieren
+
* Auf die E-Mail von Sectigo warten und E-Mail-Adresse verifizieren.
* Zertifikatnachricht per E-Mail abwarten und Zertifikat herunterladen
+
* Den Zertifikatsantrag vervollständigen
* Einbinden des Zertifikats in Ihr bevorzugtes Mailprogramm -->: [[E-Mail-SSL-Zertifikate (S-MIME)]]
+
* Das E-Mail Zertifikat herunterladen
 +
* Einbinden des Zertifikats in Ihr bevorzugtes E-Mail-Programm [[E-Mail-Zertifikate]].
  
 
== Schritt-für-Schritt-Anleitung ==
 
== Schritt-für-Schritt-Anleitung ==
 
<ol>
 
<ol>
<li> Öffnen Sie die Antragsseite vom Deutschen Forschungsnetzwerk
+
<li>Melden Sie sich beim Serviceportal an<br>
 +
: [https://serviceportal.uni-paderborn.de https://serviceportal.uni-paderborn.de]
 +
<br clear=all>
 +
 
 +
<li> Wählen Sie '''"Benutzerverwaltung"''' und anschließend '''"E-Mail Einstellungen"'''.
 +
<br>
 +
<br>
 +
 
 +
<li> '''Beantragen'''
 +
<br>
 +
Beantragen Sie das erste Mal ein E-Mail-Zertifikat bei Sectigo, oder möchten Sie Ihr vorhandenes E-Mail-Zertifikat nur erneuern?
 +
<bootstrap_accordion>
 +
<bootstrap_panel heading="Zertifikat erstmalig beantragen">
 +
Falls Sie das erste Mal ein Zertifikat bei Sectigo beantragen, müssen erst Personendaten angelegt werden.
 
<br>
 
<br>
https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4740
+
[[Datei: E-Mail SSL-Zertifikat beantragen 01.png|links|mini|ohne|400px]]
 
<br>
 
<br>
 +
* Klicken Sie auf ''''"Anlegen"''', falls noch keine Personendaten in Sectigo angelegt wurden.
 +
<br clear=all>
  
<li>
+
'''E-Mail-Adresse auswählen'''
<br cler=all>
+
<br>
[[Datei:Ca-upb-01.png|links|mini|ohne|350px|Wählen Sie '''"Nutzerzertifikat beantragen"''']]
+
[[Datei: E-Mail SSL-Zertifikat beantragen 02.png|links|mini|ohne|350px]]
 +
<br>
 +
* Sie müssen sich für das Zertifikat für eine Schreibweise Ihrer E-Mail-Adresse entscheiden.
 +
* Wählen Sie Ihre bevorzugte E-Mail-Adresse aus.
 +
* Klicken Sie anschließend auf '''"Speichern"'''.
 
<br clear=all>
 
<br clear=all>
  
<li>  
+
'''Einladung senden'''
Füllen Sie den Zertifikatsantrag vollständig aus.
+
<br>
[[Datei:Ca-upb-02.png|links|mini|ohne|350px]]
+
[[Datei: E-Mail SSL-Zertifikat beantragen 03.png|links|mini|ohne|400px]]
* '''Name:''' Tragen Sie Ihren vollständigen Namen ein, wie er auf Ihrem Ausweis vermerkt ist.
+
<br>
* '''E-Mail:''' Ihre bevorzugt E-Mail-Adresse von der Sie E-Mails versenden möchten. Verwenden Sie die Endung uni-paderborn.de. Weitere Aliase können später hinzugefügt werden.
+
* Klicken Sie nun auf '''"Zertifikatseinladung senden"'''.
* '''"Abteilung:"''' Wir empfehlen dieses Feld leer zu lassen. Mehr Infos dazu hier.
+
* Sie erhalten nun eine E-Mail vom Zertifikatsanbieter SECTIGO.
* '''"Namensraum:"''' Lassen Sie dieses Feld unverändert.
 
 
<br clear=all>
 
<br clear=all>
 +
</bootstrap_panel>
  
[[Datei:Ca-upb-03.png|links|mini|ohne|350px]]
+
<bootstrap_panel heading="Zertifikat erneuern">
 +
Falls Sie bereits zuvor ein Zertifikat bei Sectigo beantragt haben, liegen die nötigen Daten bereits vor.
 +
[[Datei:E-mail-zertifikat-01.png|links|mini|ohne|400px]]
 
<br>
 
<br>
* '''Sperr-PIN:''' Tragen Sie eine PIN ein und merken Sie sich diese gut. Sie brauchen Diese, wenn Sie das Zertifikat zu einem spätern Zeitpunkt sperren wollen.
+
* Klicken Sie auf '''"Zertifikatseinladung senden"''', um ein neues Zertifikat für Ihre E-Mail-Adresse zu beantragen.
* Aktzeptieren Sie Verpflichtung und die Informationen zur Datenverarbeitung.
 
* Die Veröffentlichung des Zertifikates ist optional.
 
 
<br clear=all>
 
<br clear=all>
 +
</bootstrap_panel>
 +
</bootstrap_accordion>
  
  
 +
<li> '''E-Mail-Adresse verifizieren'''
 +
<br>
 +
[[Datei: E-Mail SSL-Zertifikat beantragen 04.png|links|mini|ohne|400px]]
 +
<br>
 +
* Öffnen Sie Ihr E-Mail-Programm.
 +
* Klicken Sie auf '''"Verify Email Address"'''.
 +
* Alternativ können Sie auch den Link am Ende der E-Mail in Ihren Browser kopieren.
 +
<br clear=all>
 +
 +
<li> '''Website SECTIGO'''
 +
<br>
 +
[[Datei: E-Mail SSL-Zertifikat beantragen 05.png|links|mini|ohne|350px]]
 +
<br>
 +
* Sie gelangen über den Link in der E-Mail auf die Webseite von SECTIGO.
 +
* Ihr Zertifikatsantrag ist bereits mit den Daten aus dem Serviceportal vorausgefüllt.
 +
* Nehmen Sie hier keine Änderungen vor, sonst müssen Sie den Prozess erneut über das Serviceportal starten!
 +
* Setzen Sie den Haken, um die Lizenzbedingungen zu öffnen. Details dazu im folgenden Punkt 8.
 +
* Klicken Sie anschließend auf '''"Submit"'''.
 +
<br clear=all>
  
<ol>
+
<li> '''Lizenzvertrag akzeptieren'''
<li> Gehen Sie auf das [https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4740 Webinterface der CA der Universität Paderborn G2 für Nutzerzertifikate].
+
<br>
 +
[[Datei: E-Mail SSL-Zertifikat beantragen 07.png|links|mini|ohne|350px]]
 
<br>
 
<br>
<li> Wählen Sie dort den Punkt "Zertifikate" um zum Formular zur Beantragen von E-Mail-Zertifikaten zu gelangen:[[Datei:Ca-upb-01.png|zentriert|miniatur|700x700px]]
+
* Lesen Sie den Endnutzer-Lizenzvertrag.
 +
* Klicken Sie auf '''"Accept"'''.
 
<br clear=all>
 
<br clear=all>
  
<li> Da während der Beantragung zertifikatsrelevante Daten im Browser-Speicher erzeugt werden, muss dieser mittels Passwort vor unberechtigtem Zugriff geschützt werden. Vergeben Sie deshalb bitte ein Passwort für den Browser-Speicher und merken sich dieses für später:[[Datei:Ca-upb-02.png|zentriert|miniatur|700x700px]]
+
{| width="70%" style="background-color:yellow; border-style:dashed; border-width:3px; border-color:red; padding: 4px; "
 +
|  Der nächste Punkt kann einige Zeit in Anspruch nehmen. Dies ist kein Fehler. Warten Sie unbedingt ab und lesen Sie die folgenden Hinweise!
 +
|}
 
<br>
 
<br>
<li> Wählen Sie im nächsten Schritt "Neues Zertifikat beantragen" und füllen die Antragsfelder sorgfältig aus. <br>
+
 
Beachten Sie bitte die Hinweise im nächsten Punkt[[Datei:Ca-upb-03.png|zentriert|miniatur|700x700px]]
+
<li> '''Warten'''
 
<br>
 
<br>
<li> Hinweise zu den Formularfeldern:
+
[[Datei: E-Mail SSL-Zertifikat beantragen 06.png|links|mini|ohne|350px]]
<ul>
 
<li> '''Name:''' Der Name muss dem Eintrag Ihres Lichtbildausweises entsprechen.
 
<li> '''E-Mail:''' Sie können nur eine der vom IMT verwalteten E-Mail-Adressen der Universität Paderborn zertifizieren lassen. Welche offiziellen E-Mail-Adressen Sie besitzen, erfahren Sie im [http://sp.uni-paderborn.de Serviceportal des IMT] unter dem Menüpunkt "E-Mail Einstellungen".
 
[[Datei:Screenshot Serviceportal - E-Mail Übersicht 01.png|center|mini|ohne|300px]]
 
[[Datei:Screenshot Serviceportal - E-Mail SSL-Zertifikat beantragen 02.png|center|mini|ohne|700px]]
 
Typischerweise sollte die im Antragsfomular gewählte Adresse Ihrer bevorzugten E-Mail-Adresse entsprechen. Wählen Sie auf jeden Fall die Langschreibweise "'''''uni-paderborn.de'''"''<br>'''Hinweis:''' Falls Sie auch die Kurzschreibweise "'''''upb.de'''''" zertifizieren möchten, sprechen Sie später den Mitarbeiter der Registrierungsstelle vor Ort an. Er kann dann die Kurzschreibweise als einen zusätzlichen Mailalias im Zertifikat vermerken.
 
<li>'''Abteilung:''' Dieses Feld lassen Sie bitte leer. Das Zertifikat weist Sie als Mitglied der Uni-Paderborn aus.<br>
 
'''Hinweis:''' Hat Ihre Abteilung einen gültigen Eintrag mit dem IMT abgestimmt und können Sie dem Mitarbeiter der Registrierungsstelle Ihre Zugehörigkeit zu dieser Abteilung hinreichend nachweisen, können Sie das Feld "''Abteilung''" mit dem abgestimmten Eintrag füllen. Ob Ihre Abteilung einen Eintrag mit dem IMT abgestimmt hat und welcher Wert im Antrag anzugeben ist, finden Sie auf der Hilfe-Seite:  [[Gültige_Organisationseinheiten_für_E-Mail-SSL-Zertifikate|Gültige Organisationseinheiten für E-Mail-SSL-Zertifikate]]<br>
 
Bevor Sie das Feld "Abteilung" verwenden, bedenken Sie bitte: Sollten Sie zu einem späteren Zeitpunkt die Abteilung verlassen/wechseln, sind Sie verpflichtet, das ausgestellte Zertifikat zurückzuziehen und ggf. ein neues Zertifikat mit der geänderten Abteilung (oder ohne Abteilung) zu beantragen! Siehe dazu das Dokument [https://info.pca.dfn.de/doc/Info_Zertifikatinhaber.pdf "DFN-PKI: Info für Zertifikatinhaber.pdf"]
 
<li> Wählen Sie aus dem Listenfeld "Namensraum" den Wert "O=Universitaet Paderborn,C=DE"
 
<li> Wählen Sie eine Sperr-PIN, mit der Sie bei Verlust des Zertifikats dieses über die DFN-PKI-Seite sperren lassen können.
 
<li> Bestätigen Sie die Einhaltung der für Zertifikatsinhaber geltenden Regelungen (siehe oberes Dokument "DFN-PKI: Info für Zertifikatsinhaber")
 
<li> Wählen Sie, ob Ihr Name und Ihre E-Mailadresse im öffentlichen Verzeichnis der DFN-PKI aufgenommen werden soll.
 
<li> Klicken Sie auf "Weiter"<br>
 
</ul>
 
 
<br>
 
<br>
<li> Nach korrektem Ausfüllen des Online-Formulars werden Ihre persönlichen, zertifikatsrelevanten Daten im Profil Ihres verwendeten Webbrowsers gespeichert. Sie können später nur mit demselben Browserprofil (derselbe Browser auf demselben Rechner) das Zertifikat herunterladen, nachdem die folgenden Registrierungsvorgänge abgeschlossen wurden:[[Datei:Ca-upb-04.png|zentriert|miniatur|700x700px]]
+
* Ihr Zertifikat wird nun erstellt.
<li> Prüfen Sie die Antragsdaten auf Richtigkeit und wählen "Zertifikatantrag anzeigen".
+
* <span style="color:orange">Dieser Prozess kann mehr als 10 Minuten dauern.</span>
 +
* <span style="color:red">Laden Sie das Fenster nicht neu - Schließen Sie dieses Fenster nicht!</span>
 +
<br clear=all>
 
<br>
 
<br>
Laden Sie das Antragsformular (PDF) herunter und drucken es aus. (Da das Formular i.d.R. zweiseitig ist, drucken Sie es am Besten duplex aus, falls Ihr Drucker dies unterstützt)[[Datei:Ca-upb-05.png|zentriert|miniatur|1000x1000px]]Unterschreiben Sie den ausgedruckten Antrag handschriftlich (X) (Ort,Datum) + (X) (Unterschrift)
+
 
 +
<li> '''Zertifikat herunterladen'''
 
<br>
 
<br>
<li> Vereinbaren Sie telefonisch oder per E-Mail einen Termin mit einer der CA-Registrierungsstellen der Universität Paderborn.
+
Führen Sie folgende Einstellungen durch:
Sie benötigen den unterzeichneten Antrag und einen gültigen Lichtbildausweis (Personalausweis / Reisepass / Aufenthaltstitel etc.)<br>
+
{| width="70%" style="background-color:yellow; border-style:dashed; border-width:3px; border-color:red; padding: 4px; "
* Am Campus: IMT ServicePoint N5.344, Mo-Fr 8.30h - 15.30h, Tel. 5544, E-Mail [mailto:imt@uni-paderborn.de imt@uni-paderborn.de]
+
|  Stellen Sie unbedingt den "Key Protection Algorithmus" auf "Compatible TripleDES-SHA1"
* Fürstenallee: Michael Utermöhle  (Raum F0.116, Tel. 6666) oder Tobias Schultz-Friese (Mo/Mi/Fr: Raum F2.215, Tel. 6664)
+
|}
 +
<br>
 +
[[Datei: E-Mail SSL-Zertifikat beantragen 08.png|links|mini|ohne|350px]]
 +
<br>
 +
* '''Choose key protection algorithm:''' Compatible TripleDES-SHA1
 +
* '''PKCS#12 Password:''' Wählen Sie ein Passwort und merken Sie es sich gut.
 +
* '''Confirm PKCS#12 Password:''' Wiederholen Sie das Passwort.
 +
* Klicken Sie auf '''"Download"'''.
 +
* Die Zertifikatsdatei wird nun heruntergeladen.
 +
* Speichern Sie die Zertifikatsdatei an einem sicheren Ort, wo Sie sie auch wiederfinden.
 +
<br clear=all>
  
 +
<bootstrap_accordion>
 +
<bootstrap_panel heading="Warum Compatible TripleDES-SHA1 als Verschlüsselung?" color="info">
 +
Diese Einstellung ist nötig, damit Windows und macOS das Zertifikat ohne Probleme entschlüsseln und verwenden können. Diese Verschlüsselung ist nur beim Installieren des Zertifikats relevant. Das Signieren und Verschlüsseln mit dem Zertifikat wird dadurch nicht beeinträchtigt.
 +
</bootstrap_panel>
 +
</bootstrap_accordion>
 +
<br>
  
<li> Nach erfolgreicher Registrierung werden Sie per E-Mail informiert.
+
<span style="color:orange">Empfehlung:</span> Speichern Sie die Datei an einem sicheren, externen Speicherort ab (z.B. in Ihrem privaten Netzwerkspeicher des ZIM).
 +
 
 +
<li> '''Zertifikat installieren'''
 +
<br>
 +
Sie haben nun eine Zertifikatsdatei im PKCS#12 Format. Die Datei enthält sowohl Ihren privaten als auch den öffentlichen Schlüssel sowie die vollständige Zertifikatskette. Sie können das Zertifikat nun mit dem oben gewählten Passwort installieren und anschließend E-Mails signieren oder verschlüsseln.
 +
<br>
 
<br>
 
<br>
<li> Rufen Sie im selben Browser (siehe Punkt 6) erneut die DFN-PKI-Webseite auf: [https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4740 Webinterface der CA der Universität Paderborn G2 für Nutzerzertifikate]
+
Anleitungen zur Installation finden Sie unter [[E-Mail-Zertifikate]].
 +
<br>
 +
 
 +
[[Datei: E-Mail SSL-Zertifikat beantragen 09.png|links|mini|ohne|350px|Beispiel für eine Zertifikatsdatei unter Windows 10]]
 +
<div class="tleft" style="clear:none">[[Datei: E-Mail SSL-Zertifikat beantragen 10.png|links|mini|ohne|400px|Ansicht in SECTIGO - Zertifikat wurde erfolgreich erstellt]] </div>
 +
<br clear=all>
 +
 
 +
==Zertifikat zurückziehen==
 +
Ziehen Sie Ihr E-Mail-Zertifikat zurück, wenn es in fremde Hände gelangt ist.
 +
[[Datei:E-mail-zertifikat-02.png|links|mini|ohne|400px|Ansicht im Serviceportal]]
 
<br>
 
<br>
Wählen Sie dort erneut "Zertifikate" (wie unter Punkt 2) und geben das gespeicherte Kennwort für den Browserspeicher ein (wie unter Punkt 3)[[Datei:Ca-upb-06.png|zentriert|miniatur|700x700px]]
+
# Klappen Sie den entsprechenden Eintrag im Serviceportal auf.
 +
# Klicken Sie auf '''"Zertifikat zurückziehen"'''.
 +
<br clear=all>
 +
 
 +
==E-Mail-Adresse wechseln==
 +
Falls sich Ihre E-Mail-Adresse geändert hat, können Sie diese vor dem Beantragen eines neuen Zertifikates ändern. Noch gültige Zertifikate müssen Sie jedoch vorher zurückziehen. Diese verlieren dadurch ihre Gültigkeit.
 +
 
 +
[[Datei:E-mail-zertifikat-03.png|links|mini|ohne|400px|Ansicht im Serviceportal]]
 
<br>
 
<br>
<li> Wählen Sie den Antrag durch Klick auf Ihren Namen aus:[[Datei:Ca-upb-07.png|zentriert|miniatur|700x700px]]
+
# Klicken Sie auf '''"Zertifikat zurückziehen"'''.
 +
# Klicken Sie auf '''"E-Mail-Adresse wechseln"'''.
 +
<br clear=all>
 +
 
 +
== Zertifkat aufbewahren ==
 +
Verwahren Sie die Zertifikatsdatei und das Passwort gut. Geben Sie die Datei nie an andere Personen weiter.
 
<br>
 
<br>
<li> Vergeben Sie nun für Ihre Zertifikatsdatei im PKCS#12-Format ein sicheres Kennwort. Die Datei enthält sowohl Ihren privaten, als auch den öffentlichen Schlüssel sowie die vollständige Zertifikatskette. Das Kennwort benötigen Sie zukünftig immer dann, wenn Sie Ihr E-Mail-SSL-Zertifikat an einem neuen Endgerät erstmalig installieren wollen. Merken Sie sich dieses Kennwort gut, es kann nicht wiederhergestellt werden![[Datei:Ca-upb-08.png|zentriert|miniatur|700x700px]]
+
 
 +
Sobald Sie E-Mails signieren, können Empfänger Ihnen verschlüsselte E-Mails senden. Diese können Sie nur lesen, solange das dazugehörige Zertifikat installiert ist. Das bedeutet, es ist ratsam auch alte Zertifikate (Ablauf nach 2 Jahren) zu installieren.
 +
Das ist nur relevant, falls Sie verschlüsselte E-Mails erhalten. '''Wir raten hier zur Vorsorge.'''
 
<br>
 
<br>
<li> Speichern Sie die zum Download angebotene Datei und verwahren Sie sie an einem sicheren, externen Speicherort (z.B. in Ihrem privaten Netzwerkspeicher des IMT)[[Datei:Ca-upb-09.png|zentriert|miniatur|434x434px]]
+
 
 +
Sie können alte Zertifikate zum Beispiel in Ihrem home-Verzeichnis im Netzwerkspeicher der Universität speichern. Passwörter können Sie in einem Passwortmanager oder hanschriftlich in einem Notizbuch aufbewahren.
 +
 
 +
== Bekannte Probleme ==
 +
[[Datei:E-Mail SSL-Zertifikat beantragen 12.png|rechts|mini|ohne|350px|Windows Zertifikatimport-Assistent]]
 
<br>
 
<br>
<li> Haben Sie Ihre Zertifikatsdatei erfolgreich heruntergeladen und an mindestens einem Endgerät erfolgreich installieren können, entfernen Sie alle zertifikatsrelevanten Daten aus Ihrem Browserspeicher.
+
'''Problem:''' Fehlermeldung '''"Smartcard auswählen"''' beim Importieren des Zertifikats unter Windows.
 
<br>
 
<br>
Rufen Sie dafür erneut das [https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4740 Webinterface der CA der Universität Paderborn G2 für Nutzerzertifikate] auf und wählen erneut den Punkt "Zertifikate"
+
'''Ursache:''' Sie haben beim Herunterladen des Zertifikates die Option '''"AES256"''' anstatt '''"SHA1"''' gewählt.
 
<br>
 
<br>
Wählen Sie diesmal den etwas irreführenden Punkt "PASSWORT VERGESSEN", was als Handlungsaufforderung und nicht als Frage gemeint ist:[[Datei:Ca-upb-10.png|zentriert|miniatur|700x700px]]Klicken Sie auf "Passwort und Daten löschen":[[Datei:Ca-upb-11.png|zentriert|miniatur|700x700px]]
+
'''Lösung:''' Erstellen Sie ein neues Zertifikat und achten Sie darauf, dass Sie '''"SHA1"''' auswählen (Siehe Punkt 10 in dieser Anleitung).
</ol>
+
<br clear=all>
 +
 
 +
== Weiteres ==
 +
* Die S/MIME Zertifikate sind '''nicht''' dafür vorgesehen, PDF-Dokumente in Adobe Acrobat zu signieren.
 +
 
 +
== Siehe auch ==
 +
* [[E-Mail-Zertifikate]]
 +
* [[Signierte E-Mails]]

Aktuelle Version vom 16. Dezember 2024, 09:48 Uhr

Allgemeine Informationen
Anleitung
Informationen
BetriebssystemAlle
ServiceExchange, Mail und Zertifizierungsinstanz
Interessant fürAngestellte
HilfeWiki des ZIM der Uni Paderborn

no displaytitle found: E-Mail-Zertifikat beantragen

For other articles about this topic, see E-Mail-Zertifikate

Info[Bearbeiten | Quelltext bearbeiten]

Wir gehen aktuell davon aus, dass wir vom 7. Januar 2025 bis März 2025 keine neuen E-Mail-Zertifikate ausstellen können. Vorhandene Zertifikate sollen bis zum Ablaufdatum gültig bleiben.

Persönliches E-Mail-Zertifikat beantragen[Bearbeiten | Quelltext bearbeiten]

Wenn Sie Ihre E-Mails mit einem E-Mail-Zertifikat der Universität Paderborn signieren möchten, können Sie ein solches bei der Zertifizierungsinstanz der Universität beantragen. Dabei handelt es sich um S/MIME-Zertifikate, die ausschließlich zum Signieren von E-Mails genutzt werden können.

Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]

  • Im Serviceportal anmelden und das neue Zertifikat beantragen.
  • Auf die E-Mail von Sectigo warten und E-Mail-Adresse verifizieren.
  • Den Zertifikatsantrag vervollständigen
  • Das E-Mail Zertifikat herunterladen
  • Einbinden des Zertifikats in Ihr bevorzugtes E-Mail-Programm E-Mail-Zertifikate.

Schritt-für-Schritt-Anleitung[Bearbeiten | Quelltext bearbeiten]

  1. Melden Sie sich beim Serviceportal an
    https://serviceportal.uni-paderborn.de

  2. Wählen Sie "Benutzerverwaltung" und anschließend "E-Mail Einstellungen".

  3. Beantragen
    Beantragen Sie das erste Mal ein E-Mail-Zertifikat bei Sectigo, oder möchten Sie Ihr vorhandenes E-Mail-Zertifikat nur erneuern?

    Falls Sie das erste Mal ein Zertifikat bei Sectigo beantragen, müssen erst Personendaten angelegt werden.

    E-Mail SSL-Zertifikat beantragen 01.png


    • Klicken Sie auf '"Anlegen", falls noch keine Personendaten in Sectigo angelegt wurden.


    E-Mail-Adresse auswählen

    E-Mail SSL-Zertifikat beantragen 02.png


    • Sie müssen sich für das Zertifikat für eine Schreibweise Ihrer E-Mail-Adresse entscheiden.
    • Wählen Sie Ihre bevorzugte E-Mail-Adresse aus.
    • Klicken Sie anschließend auf "Speichern".


    Einladung senden

    E-Mail SSL-Zertifikat beantragen 03.png


    • Klicken Sie nun auf "Zertifikatseinladung senden".
    • Sie erhalten nun eine E-Mail vom Zertifikatsanbieter SECTIGO.


    Falls Sie bereits zuvor ein Zertifikat bei Sectigo beantragt haben, liegen die nötigen Daten bereits vor.

    E-mail-zertifikat-01.png


    • Klicken Sie auf "Zertifikatseinladung senden", um ein neues Zertifikat für Ihre E-Mail-Adresse zu beantragen.



  4. E-Mail-Adresse verifizieren
    E-Mail SSL-Zertifikat beantragen 04.png


    • Öffnen Sie Ihr E-Mail-Programm.
    • Klicken Sie auf "Verify Email Address".
    • Alternativ können Sie auch den Link am Ende der E-Mail in Ihren Browser kopieren.


  5. Website SECTIGO
    E-Mail SSL-Zertifikat beantragen 05.png


    • Sie gelangen über den Link in der E-Mail auf die Webseite von SECTIGO.
    • Ihr Zertifikatsantrag ist bereits mit den Daten aus dem Serviceportal vorausgefüllt.
    • Nehmen Sie hier keine Änderungen vor, sonst müssen Sie den Prozess erneut über das Serviceportal starten!
    • Setzen Sie den Haken, um die Lizenzbedingungen zu öffnen. Details dazu im folgenden Punkt 8.
    • Klicken Sie anschließend auf "Submit".


  6. Lizenzvertrag akzeptieren
    E-Mail SSL-Zertifikat beantragen 07.png


    • Lesen Sie den Endnutzer-Lizenzvertrag.
    • Klicken Sie auf "Accept".


    Der nächste Punkt kann einige Zeit in Anspruch nehmen. Dies ist kein Fehler. Warten Sie unbedingt ab und lesen Sie die folgenden Hinweise!


  7. Warten
    E-Mail SSL-Zertifikat beantragen 06.png


    • Ihr Zertifikat wird nun erstellt.
    • Dieser Prozess kann mehr als 10 Minuten dauern.
    • Laden Sie das Fenster nicht neu - Schließen Sie dieses Fenster nicht!



  8. Zertifikat herunterladen
    Führen Sie folgende Einstellungen durch:
    Stellen Sie unbedingt den "Key Protection Algorithmus" auf "Compatible TripleDES-SHA1"


    E-Mail SSL-Zertifikat beantragen 08.png


    • Choose key protection algorithm: Compatible TripleDES-SHA1
    • PKCS#12 Password: Wählen Sie ein Passwort und merken Sie es sich gut.
    • Confirm PKCS#12 Password: Wiederholen Sie das Passwort.
    • Klicken Sie auf "Download".
    • Die Zertifikatsdatei wird nun heruntergeladen.
    • Speichern Sie die Zertifikatsdatei an einem sicheren Ort, wo Sie sie auch wiederfinden.


    Diese Einstellung ist nötig, damit Windows und macOS das Zertifikat ohne Probleme entschlüsseln und verwenden können. Diese Verschlüsselung ist nur beim Installieren des Zertifikats relevant. Das Signieren und Verschlüsseln mit dem Zertifikat wird dadurch nicht beeinträchtigt.


    Empfehlung: Speichern Sie die Datei an einem sicheren, externen Speicherort ab (z.B. in Ihrem privaten Netzwerkspeicher des ZIM).

  9. Zertifikat installieren
    Sie haben nun eine Zertifikatsdatei im PKCS#12 Format. Die Datei enthält sowohl Ihren privaten als auch den öffentlichen Schlüssel sowie die vollständige Zertifikatskette. Sie können das Zertifikat nun mit dem oben gewählten Passwort installieren und anschließend E-Mails signieren oder verschlüsseln.

    Anleitungen zur Installation finden Sie unter E-Mail-Zertifikate.
    Beispiel für eine Zertifikatsdatei unter Windows 10
    Ansicht in SECTIGO - Zertifikat wurde erfolgreich erstellt


    Zertifikat zurückziehen[Bearbeiten | Quelltext bearbeiten]

    Ziehen Sie Ihr E-Mail-Zertifikat zurück, wenn es in fremde Hände gelangt ist.

    Ansicht im Serviceportal


    1. Klappen Sie den entsprechenden Eintrag im Serviceportal auf.
    2. Klicken Sie auf "Zertifikat zurückziehen".


    E-Mail-Adresse wechseln[Bearbeiten | Quelltext bearbeiten]

    Falls sich Ihre E-Mail-Adresse geändert hat, können Sie diese vor dem Beantragen eines neuen Zertifikates ändern. Noch gültige Zertifikate müssen Sie jedoch vorher zurückziehen. Diese verlieren dadurch ihre Gültigkeit.

    Ansicht im Serviceportal


    1. Klicken Sie auf "Zertifikat zurückziehen".
    2. Klicken Sie auf "E-Mail-Adresse wechseln".


    Zertifkat aufbewahren[Bearbeiten | Quelltext bearbeiten]

    Verwahren Sie die Zertifikatsdatei und das Passwort gut. Geben Sie die Datei nie an andere Personen weiter.

    Sobald Sie E-Mails signieren, können Empfänger Ihnen verschlüsselte E-Mails senden. Diese können Sie nur lesen, solange das dazugehörige Zertifikat installiert ist. Das bedeutet, es ist ratsam auch alte Zertifikate (Ablauf nach 2 Jahren) zu installieren. Das ist nur relevant, falls Sie verschlüsselte E-Mails erhalten. Wir raten hier zur Vorsorge.

    Sie können alte Zertifikate zum Beispiel in Ihrem home-Verzeichnis im Netzwerkspeicher der Universität speichern. Passwörter können Sie in einem Passwortmanager oder hanschriftlich in einem Notizbuch aufbewahren.

    Bekannte Probleme[Bearbeiten | Quelltext bearbeiten]

    Windows Zertifikatimport-Assistent


    Problem: Fehlermeldung "Smartcard auswählen" beim Importieren des Zertifikats unter Windows.
    Ursache: Sie haben beim Herunterladen des Zertifikates die Option "AES256" anstatt "SHA1" gewählt.
    Lösung: Erstellen Sie ein neues Zertifikat und achten Sie darauf, dass Sie "SHA1" auswählen (Siehe Punkt 10 in dieser Anleitung).

    Weiteres[Bearbeiten | Quelltext bearbeiten]

    • Die S/MIME Zertifikate sind nicht dafür vorgesehen, PDF-Dokumente in Adobe Acrobat zu signieren.

    Siehe auch[Bearbeiten | Quelltext bearbeiten]


Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des ZIM - Sie finden uns in Raum I0.401

Wir sind zu folgenden Zeiten erreichbar:


Mo Di - Fr
Vor-Ort-Support Geschlossen Über die Feiertage geschlossen
Telefonsupport 08:30 - 13:00 Über die Feiertage geschlossen


Das ZIM:Servicecenter Medien auf H1 hat aktuell zu folgenden Zeiten geöffnet:

Mo Di - Fr
08:00 - 16:00 Über die Feiertage geschlossen


Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.