FAQ - Public-Key-Zertifikate

Digitale Signaturen werden nach zwei Kriterien geprüft:

• ob die rechnerisch (kryptographisch) korrekt sind
• ob das Nutzerzertifikat (des Unterzeichners) in ein vertrauenswürdiges Stammzertifikat (Root-Zertifikat) mündet, d.h.
  • die Zertifikatskette der Form "Nutzerzertifikat : Intermediate-Zertifikate : Root-Zertifikat" ist
  • und das Root-Zertifikat in der Anwendung vorinstalliert ist (d.h. von der Anwendung vertraut wird)

Welche Root-Zertifikate in einer Anwendung vorinstalliert sind, entscheidet die Anwendung selbst. Bei der Software-Installation von Adobe Acrobat sind andere Root-Zertifikate vorinstalliert als z.B. bei Firefox, Outlook, Chrome, Edge, usw. In der Adobe Stammzertifikatsliste ist

• weder das Stammzertifikat der DFN-PKI Global (T-Telesec GlobalRoot Class 2)
• noch das Stammzertifikat der GÉANT/TCS (AAA Certificate Services)

vorinstalliert. D.h. wenn man möchte, dass Adobe die digitale Signaturen der RWTH Angehörigen automatisch vertraut (grün anzeigt), dann muss man Adobe entsprechend konfigurieren. Während diese Konfiguration, importiert man die zwei an der RWTH benutzte Root-Zertifikate und erklärt diese als vertrauenswürdig. 

Um E-Mails oder Dokumente digital signieren zu können benötigen Sie kryptographische Schlüssel. Vereinfacht ausgedrückt, benötigen Sie ein Nutzerzertifikat (Public-Key- oder S/MIME- oder X.509-Zertifikat) und eine Anwendung, die konfiguriert ist, das Zertifikat zu verwenden.

Wer kann ein Nutzerzertifikat an der RWTH erhalten?

• Studierende und Mitarbeiter*innen können über das RA-Portal ein GÉANT/TCS Nutzerzertifikat erhalten. Anleitung benötigt?
• Wenn Sie keinen Zugang zum RWTH-Intranet haben, können Sie das RA-Portal nicht erreichen und haben somit keine Möglichkeit ein Nutzerzertifikat zu erhalten.
• Sollten Sie bereits ein DFN-PKI Nutzerzertifikat haben, verwenden Sie es weiterhin bis es abläuft.

Falls Sie eine Windows-Nutzer*in sind, hier ein Überblick Ihrer nächsten Schritte:

• Nutzerzertifikat beantragen und herunterladen: Nutzerzertifikate RA-Portal
• Nutzerzertifikat (und die dazugehörigen kryptographischen Schlüssel) in Windows-Rechner importieren: Eigene .p12-Datei in den Windows-Zertifikatsspeicher importieren
• Ihre Anwendungen konfigurieren:
  • Outlook
  • Adobe Acrobat

Nachdem Sie diese Schritte abgeschlossen haben, können Sie mit Outlook Ihre E-Mails signieren und mit Adobe Acrobat PDF-Dateien signieren.

Im Abschnitt "Verwendungsmöglichkeiten für Public-Key-Zertifikate" finden Sie Anleitungen für weitere Programme.

Bei der Installation eines eigenen Nutzerzertifikats im Windows-Zertifikatsspeicher (Import der eigenen .p12-Datei) muss eine Sicherheitsstufe ausgewählt werden. Man kann die Sicherheitsstufe "Hoch" einstellen oder nicht. Wenn man "Hoch" wählt, dann wird bei jeder Nutzung des privaten kryptographischen Schlüssel (d.h. bei jeder erzeugten digitalen Signatur) die Eingabe des "Windows CryptoAPI" Passworts verlangt. 

Grundsätzlich ist diese Einstellung als Sicherheitsmaßnahme sinnvoll um zu verhindern, dass Dritte von Ihrem Rechner und aus Ihrer Anwendung digital signieren können, sollte z.B. die Bildschirmsperre vergessen werden. Wenn Sie aber Ihren Rechner konsequent von fremden Zugriff schützen, dann können Sie diese Einstellung ändern, in dem Sie Ihr Nutzerzertifikat entweder über den Windows Zertifikatsimport-Assistent oder über Ihren Edge-Browser erneut importieren.

Wenn Sie den Weg über den Windows Zertifikatsimport-Assistent wählen, suchen Sie Ihre .p12-Datei aus und importieren Sie diese.

Wenn Sie den Weg über Ihren Edge Browser bevorzugen:

1. Wählen Sie im Edge-Browser „Einstellungen“ und wechseln Sie links auf „Datenschutz, Suche und Dienste“
2. Scrollen Sie nach unten und klicken im Abschnitt „Sicherheit“ den Button „Zertifikate verwalten“
3. Sie können das Zertifikat (Ihre .p12-Datei) jetzt im Dialogfenster auswählen und erneuet importieren
4. Aktivieren Sie beim Import die "höchste Sicherheitsstufe" NICHT

Nachdem das Zertifikat erneuet importiert wurde, sollten die Pop-ups nicht mehr angezeigt werden.

Wenn im Outlook der Absender*in der SHA1 Signatur-Algorithmus benutzt wird, dann wird die digitale Signatur bei Thunderbird Empfänger*in als ungültig angezeigt.
Dies passiert, da der Signatur-Algorithmus SHA-1 veraltet (deprecated) ist und Thunderbird diesen als unsicher behandelt.
Das Problem muss an der Absender*in-Seite gelöst werden, indem die Absender*in den Outlook Signatur-Algorithmus auf SHA256 umkonfiguriert.

Sie können Ihr Nutzerzertifikat auch auf dem Handy verwenden:

Android

• Im Dateimanager des Smartphones lokalisieren Sie die Zertifikat-Datei und öffnen Sie diese.
• Falls das Zertifikat durch ein Passwort geschützt ist, geben Sie dieses vor dem Extrahieren des Sicherheitsschlüssels ein.
• Android zeigt Ihnen daraufhin den Zertifikatsnamen und die enthaltenen Daten an. Klicken Sie auf "OK", um das Zertifikat zu importieren. Anschließend können Sie es unter Android nutzen.

Das importierte Zertifikat finden Sie unter Einstellungen - Biometrische Daten und Sicherheit - Andere Sicherheitseinstellungen - Benutzerzertifikate

Apple:

• Benutzerzertifikate müssen auf iOS-Geräten in den Zertifikatsspeicher importiert werden.
• Hierzu senden Sie die p12-Datei als Anhang und öffnen sie über die OWA im Browser.
• Nach dem Import sollte das Zertifikat unter "Einstellungen → VPN und Geräteverwaltung" angezeigt werden.

Bitte beachten Sie, dass ein Import über die Outlook App in der Regel NICHT möglich ist.