Humboldt-Universität zu Berlin - Computer- und Medienservice

Eine Zertifikatsdatei (certxxxxxxxx.p12) ist ein Container (pkcs#12) bestehend aus Ihrem privatem Schlüssel und einem, durch eine Zertifizierungsinstanz signierten öffentlichen Schlüssel, Ihrem Zertifikat. Dieses Zertifikat bestätigt mind. eine E-Mailadresse der Humboldt-Universität zu Berlin und die Zugehörigkeit zur HU-Berlin, sowie i.d.R. Ihren Namen.

Das Zertifikat wird benutzt um durch Sie erstellte digitale Signaturen zu prüfen und ist erforderlich um für Sie verschlüsselte Nachrichten zu erstellen.

Der private Schlüssel wird nur durch Sie verwendet, um digitale Signaturen zu erstellen und für Sie verschlüsselte Nachrichten zu entschlüsseln. Deshalb ist es wichtig Ihren privaten Schlüssel durch ein Passwort zu schützen.

Nach der Installation Ihrer Zertifikatsdatei in Ihrem E-Mailclient können Sie mit dem enthaltenen Zertifikat und Ihrem privatem Schlüssel digitale Signaturen erstellen und für Sie verschlüsselte E-Mails entschlüsseln und lesen.

Sie sind für die sichere Aufbewahrung Ihrer Zertifikatsdatei und des Passwortes selbst verantwortlich, verwenden Sie einen sicheren Speicherort.

Sie können sich im Self-Service nach Anmeldung mit Ihrem HU-Account und Passwort ein Nutzer*innenzertifikat (Zertifikatsdatei) erstellen.

Nach dem anmelden am Antragsformular, können Sie optional weitere Aliase ihrer E-Mailadresse eingeben indem Sie über den Plusbutton weitere Eingabefelder erzeugen. Beachten Sie die Hinweise auf dem Antragsformular und die dortige Anleitung zum Download und zur Installation Ihrer Zertifikatsdatei.
Ein weiterer Identifizierungsprozess ist nicht erforderlich.

Zum Self-Service:

https://hu.berlin/nutzerzertifikat -> Antragsformular

Hauptsächlich verwenden Sie Ihr Zertifikat zum digitalen Signieren und Ver-/Entschlüsseln im E-Mailclient.
Hier gibt es Anleitungen für:

Thunderbird

Outlook

AppleMail

Sie müssen Ihr Zertifikat in allen E-Mailclients installieren die Sie nutzen möchten.

Die Verwendung des Zertifikates zum Signieren z.B. in PDF-Dokumenten ist technisch möglich, erfordert aber einen hohen Konfigurationsaufwand beim Signierer und beim Signaturprüfer. Verwenden Sie dies möglichst nur für interne überschaubare Prozesse.

Adobe Acrobat

Dringende Empfehlung: Signieren Sie alle ausgehenden E-Mails.
Das lässt sich leicht als Standard einstellen und ist ein bedeutender Beitrag zur IT-Sicherheit mit geringem Aufwand. Digitale Signaturen in E-Mails schaffen Vertrauen in der elektronischen Kommunikation, Änderungen und Verfälschungen in E-Mails werden dadurch erkannt. Durch sie wird der Absender/Absenderadresse einer E-Mail zweifelsfrei identifizierbar. Empfänger können die Signatur prüfen und so entscheiden, ob sie den eingehenden E-Mails vertrauen.
Phishing-Angriffe und Erpressungsversuche haben deutlich weniger Erfolgschancen, diese kommen i.d.R. ohne gültiger Signatur. Wenn sich digital signierte E-Mails als Standard etablieren, fallen unsignierte E-Mails leichter auf und ihnen kann eine erhöhte Aufmerksamkeit gegeben werden.

Informationen zum Signieren und wie Sie vorgehen ist hier beschrieben.

Verschlüsseln Sie E-Mails nur bei wirklichen Anforderungen
(Datenschutz, IT-Sicherheitsbedarf, Informationschutz).
Die E-Mailverschlüsselung nur bei der Übermittlung von schützenswerten Informationen einsetzen. Unnötig verschlüsselte E-Mail können zu erhöhtem Aufwand führen, wenn z.B. das Nutzerzertifikat auf einem mobilen Gerät nicht installiert ist und man diese nicht lesen kann, oder wenn mit geteilten Mailboxen/Mailordnern gearbeitet wird.
Wenn E-Mailverschlüsselung eingesetzt wird, dann nur in Verbindung mit digitaler Signatur! Verschlüsselte E-Mails werden von Virenscannern nicht behandelt und könnten u.a. Schadsoftware enthalten. Verschlüsselte E-Mails erwecken den Eindruck „verschlüsselt - alles sicher“, wenn sie aber von unbekannter Herkunft sind kann das gefährlich sein.
Verschlüsselte E-Mails belegen etwa den dreifachen Speicherplatz in Mailboxen.

Informationen wie Sie die Verschlüsselung verwenden

Je nach verwendetem E-Mailprogramm, wird eine gültige Signatur an der E-Mail auf unterschiedliche Weise dargestellt. Manchmal wird Ihnen dabei auch der Herausgeber des Zertifikats angezeigt. Je nach Ausstellungsdatum des Zertifikats treten zurzeit als Herausgebernamen "DFN-Verein Global Issuing CA" oder auch "GEANT Personal CA4" auf.

Thunderbird

Thunderbird zeigt bei korrekt signierten Mails je nach Version einen versiegelten Briefumschlag oder nur ein Siegelsymbol mit dem Vermerk S/MIME an.
Durch Klicken auf dieses Siegel können Sie weitere Informationen zum verwendeten Zertifikat, wie den Aussteller des Zertifikates, der bestätigten/zertifizierten E-Mailadresse und den Namens des Zertifikatnutzers erhalten:

Outlook

Outlook stellt die gültige Signatur durch ein kleines rotes Siegelsymbol neben der Mail dar. Wenn Sie auf Details klicken können Sie sich zusätzliche Informationen anzeigen lassen, z.B. wann die Signatur erstellt wurde u.a.

Signatur nicht gültig

Wenn eine digitale Signatur als nicht gültig markiert ist, kann dies viele Ursachen haben. Auch hier können Sie sich über Details mögliche Gründe für die Ungültigkeit anzeigen lassen.
Beispielsweise kann der Gültigkeitszeitraum des Zertifikats abgelaufen sein, oder es wurde von der ausgebenden Zertifizierungsstelle (CA) widerrufen.

Einen speziellen Fall der bei der Verwendung von Outlook auftritt finden Sie hier beschrieben.

Ebenso kann es sein das der Inhalt des Nachrichtentextes in der E-Mail verfälscht wurde.

Es kann aber auch sein, dass die E-Mailadresse unberechtigter Weise genutzt wird. D.h. das verwendete Zertifikat wurde nicht für die E-Mailadresse ausgestellt, welche als Absenderadresse verwendet wurde.

Hier ist berechtigtes Misstrauen angesagt.

Was ist zu tun:

• E-Mail nicht vertrauen und Inhalt ignorieren
• nichts öffnen, anklicken bzw. ausführen
• falls es eine erwartete E-Mail sein könnte, beim Absender über anderen Kanal nachfragen
• Bei bekanntem Absender, diesen darüber informieren

Sollten Sie einen weiteren E-Mail-Client verwenden, z.B. Laptop/Home-Office, müssen Sie ihre Nutzerzertifikate auch in diesem installieren. Am besten Sie nehmen Ihre erzeugte Zertifikatsdatei mit, oder Sie erstellen sich in Ihrem bisherigen E-Mail-Client eine Sicherungskopie aller Ihrer persönlichen Nutzerzertifikate und installieren diese Sicherungskopie in Ihrem neuen E-Mail-Client.

Anleitung: https://hu.berlin/nutzerzertifikat-backup

Zertifikate anderer Personen, ob gültig oder ungültig, können Sie im Zertifikatsspeicher Ihres E-Mailclients problemlos löschen. Diese bezieht Ihr E-Mailclient bei Bedarf wieder aus dem HU-Adressbuch (ldap.hu-berlin.de), oder aus einer digital signierten E-Mail des Kommunikationspartners. Vorteil: Sie haben immer das aktuellste Zertifikat Ihres Kommunikationspartners in Ihrem Zertifikatsspeicher.
Achtung: Löschen Sie keine eigenen Zertifikate

Anleitung für Thunderbird

Anleitung für Outlook

Zum versenden verschlüsselter E-Mails bedarf es folgender Voraussetzungen:

1. Sie selbst haben ein eigenes Nutzer*innenzertifikat und haben dies im Zertifikatspeicher in Ihrem E-Mailclient installiert und für die Verwendung ausgewählt. Können Sie selbst prüfen.
   
   
   
   
2. Der Empfänger der verschlüsselten E-Mail besitz auch ein eigenes Nutzer*innenzertifikat.
   
   
3. Sie haben in Ihrem E-Mailclient den öffentlichen Teil (publik Key) des Empfängerzertifikates vorliegen, da dieser für die Verschlüsselung an den Empfänger verwendet wird. Können Sie selbst prüfen.
   
   
   
   Sollte dies nicht der Fall sein, lassen Sie sich vom Empfänger zuvor eine digital signierte E-Mail schicken. Ihr E-Mailclient extrahiert daraus das Zertifikat, speichert es im Zertifikatspeicher und verwendet es für die Verschlüsselung.
   
   Sie können das Empfängerzertifikat auch aus dem HU-Adressbuch (ldap.hu-berlin.de) durch den E-Mailclient automatisch beziehen. HU-Adressbuch einrichten.

Sie können sich über den Self-Service jederzeit ein neues Nutzer*innenzertifikat besorgen und verwenden. Bedenken Sie aber das verschlüsselte E-Mails die mit einem bereits zuvor ausgestelltem Zertifikat verschlüsselt wurden damit nicht gelesen werden können.
Dazu benötigen Sie zwingend die Zertifikatsdatei, inkl. des privaten Schlüssel, welche zu dem Zertifikat gehören mit dem die E-Mail verschlüsselt wurde.

Beachten Sie bitte, dass das neu ausgestellte Zertifikat auch im HU-Adressbuch (ldap.hu-berlin.de) veröffentlicht wird und durch andere für die Verschlüsselung an Sie verwendet werden kann.

Beim erstellen Ihrer Zertifikatsdatei müssen Sie zum Schutz Ihres privaten Schlüssels ein Kennwort vergeben. Sie haben auf dem entsprechenden Formular die Möglichkeit unterschiedliche Algorithmen auszuwählen (Choose key protection algorithm).
Secure AES256-SHA256 ist das modernste und sicherste Verfahren, kann aber bei einigen Systemen und Anwendungen wie MacOSX, Adobe Acrobat, MS Outlook zu Problem führen. Wenn Sie Ihre Zertifikatsdatei in einem der genannten Anwendungen installieren möchten, verwenden Sie dann lieber das Verfahren Compatible TripleDES-SHA1.

Typische Fehlermeldungen sind:

• Das eingegebene Kennwort ist falsch.“
• Fehler im zugrunde liegenden Sicherheitssystem. Ungültigen Anbietertyp angegeben4
• Aufforderung zum Einstecken einer Smartcard
• Die digitale Datei-ID konnte mit dem Passwort nicht geöffnet werden.....

Lösung:
Erstellen Sie sich in diesem Fall eine neue Zertifikatsdatei und wählen das Verfahren Compatible TripleDES-SHA1, verwenden Sie dann ausschließlich diese neue Zertifikatsdatei in allen Anwendungen.

Alternative:
Wenn Sie die Zertifikatsdatei bereits in Thunderbird installiert haben können Sie sich davon eine Sicherungskopie erstellen und diese dann in den anderen Anwendungen verwenden.

Beim Abschicken des Antragsformulars erscheint die Fehlermeldung "malformed JSON string, neither tag, array, object, number, string or atom, at character offset 0 (before "(end of string)") at /usr/local/www/app/huca/register/register.cgi line .....".

Schließen Sie Ihren Browser komplett, starten diesen neu und melden sich bitte erneut am Antragsformular an. Manchmal genügt auch ein Reload des Browsers.

Bei Outlook kann es vorkommen das beim digitalen signieren von E-Mails ein veralteter Hashalgorithmus (SHA1) verwendet wird. Dies erzeugt möglicherweise bei Empfängern die Thunderbird verwenden einen Fehler bei der Signaturprüfung. "Diese Nachricht enthält eine digitale Signatur, die aber ungültig ist...."

Lösung: Ändern Sie in den Einstellungen zum digitalen Signieren in Outlook den Hashalgorithmus auf SHA 256. Outlook - Datei - Optionen - Trust Center - Einstellungen für das Trust Center - E-Mailsicherheit - Einstellungen.

Subject: Please provide a new certificate

Sie haben eine E-Mail mit diesem Betreff erhalten?

Das sind automatisierte Antworten von sog. S/MIME-Secure-Gateways. Diese ver-/entschlüsseln für hinter diesem Gateway sitzende Empfänger ausgehende und eingehende E-Mails nach bestimmten Kriterien.
Sie haben wahrscheinlich jemandem hinter einem solchen Gateway eine signierte E-Mail geschickt. Das S/MIME Secure-Gateway speichert das Zertifikat aus Ihrer Signatur um es bei o.g. Bedarf für die Verschlüsselung automatisiert zu verwenden.
Das S/MIME-Secure-Gateway hält auch eine Liste mit den Daten der Gültigkeit von allen gespeicherten Zertifikaten und generiert dann eben solche Info.-E-Mail's vor erreichen des Gültigkeitszeitraumes.
Sie müssen nicht unbedingt darauf reagieren, oder Sie schicken dem Empfänger einfach wieder eine signierte E-Mail.