Ein Sicherheitszertifikat beantragen Verlust und Ungültigkeit Zertifikate in E-Mail-Programmen Zertifikate und Internet Explorer Zertifikate/öffentliche Schlüssel suchen Ausstellung von Grid-Zertifikaten Serverzertifikate zurück zu "Ratgeber" Intern

» Universitätsreche... » Ratgeber » Zertifikate

Zertifikate

Wenn jemand Ihren Ausweis überprüft, um sich zu vergewissern, dass Sie die Person sind, für die Sie sich ausgeben, muss dabei das Foto mit dem Gesicht verglichen werden. Mit einer digitalen Signatur können Sie mit einem Mailprogramm digital signierte Nachrichten versenden. Eine digitale Signatur, auch als digitales Zertifikat bezeichnet, trägt dazu bei, Ihre Identität zu beweisen. Sie verhindert auch, dass die Ihre Nachricht manipuliert wird, sodass die Authentizität einer E-Mail-Nachricht gewahrt bleibt. Für noch mehr Datenschutz können Sie Nachrichten auch verschlüsseln. Hinweis! Eine digitale Signatur ist nicht das gleiche wie eine Nachrichtensignatur. Eine Nachrichtensignatur ist eine anpassbare Grußformel. Mit einer digitalen Signatur wird Ihrer Nachricht hingegen ein eindeutiger Code hinzugefügt, der nur aus der digitalen Signatur im Besitz des wahren Absenders stammen kann. (Quelle: Mircosoft.com)

Zertifikate

Ausstellung persönlicher Zertifikate

Privater und öffentlicher Schlüssel

Zertifizierungsstelle

Zusammenfassung

Beantragung eines Zertifikates

Einbinden in Ihr E-Mail-Programm

Zertifikate und Internet Explorer

Öffentliche Schlüssel von Mitarbeitern/Studenten der Universität Jena suchen

Ausstellung von GRID-Zertifikaten

Ausstellung von Serverzertifikaten

Ausstellung persönlicher Zertifikate

Über das Rechenzentrum können persönliche Zertifikate beantragt werden. Diese finden Anwendung für den persönlichen Emailverkehr.

Ein Zertifikat ist ein amtlich bestätigter öffentlicher Schlüssel und beinhaltet zwei Aspekte - die Authentifizierung der Person und die Verschlüsselung der Nachricht.

Der Datenschutz

• bezieht sich ausschließlich auf Schutz personenbezogener Daten
• nach dem Prinzip der informatiellen Selbstbestimmung
• wahrt die Privatsphäre: Persönlichkeitsdaten müssen gewahrt bleiben
• sichert die Einhaltung von Gesetzen (Bundesdatenschutzgesetz)

Ein Schlüssel besteht aus zwei Teilen mit unterschiedlicher Funktionalität.

1. Privater Schlüssel: ist bestimmt zum Unterschreiben (Signieren) und zum Entschlüsseln von mit dem zugehörigen öffentlichen Schlüssel verschlüsselten Daten. Der private Schlüssel muss sehr gut gesichert aufbewahrt werden; der Verlust des Schlüssels (z.B. durch Löschen) bedeutet praktisch den Verlust von verschlüsselt vorliegenden Daten; der Verlust durch Anfertigung einer unberechtigten Kopie bedeutet Verlust der Vertraulichkeit der verschlüsselten Daten.

2. Öffentlicher Schlüssel: ist bestimmt zur Signaturkontrolle (Unterschriftskontrolle) sowie zum Verschlüsseln von Daten, die dann mit dem zugehörigen privaten Schlüssel (und nur mit diesem) wieder entschlüsselt werden können. Der öffentliche Schlüssel kann und muss an die Kommunikationspartner verteilt werden; üblicherweise wird er auch auf Servern (in der Regel als Bestandteil des Zertikates) öffentlich vorgehalten, so daß er ggf. wieder heruntergeladen werden kann. Ein möglicher Verlust dieses Schlüssels ist somit unproblematisch und ist praktisch auszuschließen. Dem öffentlichen Vorhalten des Zertifikates kann bei dessen Antragstellung jedoch widersprochen werden, der Nutzer muss dann selbst sein zertifiziertes digitales Leben organisieren.

Diese  Art der Verschlüsselung ist ein sog. asymmetrisches Verschlüsselungsverfahren.

Jeder Partner besitzt ein Schlüsselpaar, bestehend aus dem privaten Schlüssel und dem öffentlichen Schlüssel. Beide gehören eindeutig zusammen. Der Verlust des privaten Schlüssels (durch Datendiebstahl oder Löschen) macht das Schlüsselpaar für die künftige Nutzung zum Verschlüsseln oder Signieren  unbrauchbar. Zum Entschlüsseln (privater Schlüssel) oder Signaturkontrolle (öffentlicher Schlüssel) weiterhin gültig.
Das Verfahren beruht auf einem (digitalen) Schlüsselaustausch.

privat: unterschreiben / entschlüsseln
öffentlich: Unterschrift verifizieren / verschlüsseln

Schlüssel und Zertifikate werden in Files mit typischen Endungen abgespeichert. Die wichtigsten davon sind:

• .csr (Zertifikatsrequest)
• .pem, *.b64, *.crt, *.cer, *.der (verschiedene Zertifikatsformate)
• .p12, *.pfx (Zertifikatsspeicher).

Für den Inhaber eines persönlichen (User-) Zertifikates ist nur das Format *.p12 bzw. *.pfx von Bedeutung. Sie erhalten Files mit solchen Dateinamenerweiterungen, wenn Sie Ihr persönliches Zertifikat mit dem zugehörigen privaten Schlüssel aus der Zertifikatsverwaltung heraus in eine Datei abspeichern, um es gegen Verlust (z.B. bei Neuinstallation des Systems) zu sichern. Nach einer Neuinstallation können Sie diese Datei wieder einlesen; damit stehen Schlüssel und Zertifikat wieder wie gewohnt zur Verfügung. Ebenso können Sie auf diese Weise Ihren Schlüssel mit Zertifikat in eine andere Software (z.B. aus Explorer in Mozilla) auf dem gleichen oder einen anderen Rechner installieren.

Die Schlüssel werden aus dem Browser exportiert und in das Mailprogramm importiert.

Damit Sie eine Nachricht verschlüsseln und der Empfänger sie entschlüsseln kann, müssen Sie bereits das öffentliche Sicherheitszertifikat des Empfängers erhalten haben.

Für die Beantragung von Zertifikaten  und die Herstellung des Kryptopaares privater Schlüssel+Zertifikat ist in jedem Fall ein Browser erforderlich.

CA (ZERTIFIZIERUNGSSTELLE)

Eine Zertifizierungsstelle (englisch Certificate Authority, kurz CA) ist eine Organisation, die digitale Zertifikate herausgibt. Für Software ist das digitale Zertifikat wie ein Personalausweis. Es dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt.

Zusammenfassung

1. Der private Schlüssel muss unbedingt aufgehoben werden!
2. Geht der private Schlüssel verloren, können die E-Mails nicht mehr entschlüsselt werden, denn die Verschlüsselung bleibt für immer bestehen, sie kann auch noch nach vielen Jahren nachgeprüft werden.
3. Alle Schlüssel bleiben bis zum Widerruf gültig.
4. Ein Zertifikat immer mit demselben Browser beantragen und abholen, zwischen Beantragung und Abholung darf nie der PC gewechselt oder eine neue Installation vorgenommen werden.
5. Der Link von der CA sollte aus der E-Mail kopiert und im Browser, mit dem die Beantragung erfolgt ist, in die Adresszeile/ URL eingefügt werden.
6. Keine Umlaute und/oder Leerzeichen verwenden.
7. Das Zertifikat muss auf die E-Mailadresse passen, beides gehört unbedingt zusammen.
8. Eine E-Mail-Verschlüsselung betrifft immer die  komplette E-Mail einschl. der Anhänge; Anhänge sind Interpretationen des Mailprogrammes.Mit dem öffentlichen Schlüssel (das Partners) können Mails (für den Partner) verschlüsselt werden sowie dessen Unterschrift geprüft werden;
   Mit dem privaten Schlüssel (des Besitzers) können E- Mails entschlüsselt werden, die mit (des Besitzers) öffentlichen Schlüssel verschlüsselt wurden, und der Besitzer kann seine Nachrichten damit unterschreiben.
   Kurz gesagt:
   öffentlicher Schlüssel: verschlüsseln, Unterschrift prüfen
   privater Schlüssel: entschlüsseln, unterschreiben.
9. Kennt ein Angreifer nur den öffentlichen Schlüssel, so kann er daraus weder auf den zugehörigen privaten Schlüssel schließen, noch die damit verschlüsselten Nachrichten entschlüsseln oder eine gültige Signatur erstellen.