FAQ - Public-Key-Zertifikate

Manche Android Smartphones können mit der E-Mail-Anwendung Gmail keine sichere Verbindung zu dem Mailserver Ihrer Einrichtung oder der RWTH aufbauen. Dies kann an den fehlenden Intermediate SSL-Zertifikaten auf Ihrem Smartphone liegen. Diese können Sie hier downloaden und manuell auf Ihrem Gerät nachinstallieren.

Bitte stellen Sie sicher, dass die erforderliche Stammzertifikate konfiguriert wurden. Es werden mehrere Stammzertifikate benötigt, weil Nutzerzertifikate von mehreren Zertifikat-Anbietern an der RWTH parallel verwendet werden.

Das von Adobe vorinstallierte "USERTrust RSA Certification Authority" Stammzertifikat führt bei einer Prüfung von Sectigo (GÉANT/TCS) Nutzerzertifikaten zum Ergebnis "UNGÜLTIG" mit Erklärung "Das gewählte Zertifikat ist fehlerhaft: Ungültige Richtlinieneinschränkung". Falls vorhanden, muss dieses Stammzertifikat in den Einstellungen als vertrauenswürdiges Zertifikat entfernt werden. Es wird empfohlen, alle vorinstallierten Stammzertifikate zu entfernen.

Um E-Mails oder Dokumente digital signieren zu können, bitte führen Sie folgende Schritte durch:

1. Beantragen Sie ein Nutzerzertifikat
2. Binden Sie das Nutzerzertifikat in Ihrer E-Mail-Anwendung oder in Adobe Acrobat ein.

Bei der Installation eines eigenen Nutzerzertifikats im Windows-Zertifikatsspeicher muss eine Sicherheitsstufe ausgewählt werden. Wählt man die Sicherheitsstufe Hoch, wird bei jeder Nutzung des privaten kryptographischen Schlüssel (d.h. bei jeder erzeugten digitalen Signatur) die Eingabe des Windows CryptoAPI-Kennworts verlangt. 

Grundsätzlich ist diese Einstellung als Sicherheitsmaßnahme sinnvoll um zu verhindern, dass Dritte von Ihrem Rechner und aus Ihrer Anwendung digital signieren können, sollte z.B. die Bildschirmsperre vergessen werden. Wenn Sie aber Ihren Rechner konsequent von fremden Zugriff schützen, dann können Sie diese Einstellung ändern, in dem Sie Ihr Nutzerzertifikat entweder über den Windows Zertifikatsimport-Assistent oder über Ihren Edge-Browser erneut importieren.

Wenn Sie den Weg über den Windows Zertifikatsimport-Assistent wählen, suchen Sie Ihre .p12-Datei aus und importieren Sie diese.

Wenn Sie den Weg über Ihren Edge Browser bevorzugen:

1. Wählen Sie im Edge-Browser Einstellungen und wechseln Sie links auf Datenschutz, Suche und Dienste
2. Scrollen Sie nach unten und klicken im Abschnitt Sicherheit den Button Zertifikate verwalten
3. Sie können das Zertifikat (Ihre .p12-Datei) jetzt im Dialogfenster auswählen und erneuet importieren
4. Aktivieren Sie beim Import die höchste Sicherheitsstufe NICHT

Nachdem das Zertifikat erneuet importiert wurde, sollten die Pop-ups nicht mehr angezeigt werden.

Wenn im Outlook der Absender*in der SHA1 Signatur-Algorithmus benutzt wird, dann wird die digitale Signatur bei Thunderbird Empfänger*in als ungültig angezeigt.
Dies passiert, da der Signatur-Algorithmus SHA-1 veraltet (deprecated) ist und Thunderbird diesen als unsicher behandelt.
Das Problem muss an der Absender*in-Seite gelöst werden, indem die Absender*in den Outlook Signatur-Algorithmus auf SHA256 umkonfiguriert.

Bitte beachten Sie, dass ein Import über die Outlook App in der Regel NICHT möglich ist.

Sie können Ihr Nutzerzertifikat auch auf dem Handy verwenden:

Android

• Im Dateimanager des Smartphones lokalisieren Sie die Zertifikat-Datei und öffnen Sie diese.
• Falls das Zertifikat durch ein Passwort geschützt ist, geben Sie dieses vor dem Extrahieren des Sicherheitsschlüssels ein.
• Android zeigt Ihnen daraufhin den Zertifikatsnamen und die enthaltenen Daten an. Klicken Sie auf "OK", um das Zertifikat zu importieren. Anschließend können Sie es unter Android nutzen.

Das importierte Zertifikat finden Sie unter Einstellungen - Biometrische Daten und Sicherheit - Andere Sicherheitseinstellungen - Benutzerzertifikate

Um das Nutzerzertifikat unter iOS zu installieren, befolgen Sie bitte diese Anleitung.