S/MIME Zertifikate

Mit einem S/MIME lässt sich nachweisen, wer der Absender einer E-Mail ist oder von welchem Autor eine Textdatei stammt. Diese sogenannten Nutzerzertifikate können weiterhin eingesetzt werden, um E-Mails zu verschlüsseln, eine Identität im Internet nachzuweisen oder aber sich an Webseiten oder Diensten anzumelden. 
An der TU-Braunschweig bieten wir über die Public Key Infrastructure (PKI) des Deutschen Forschungsnetzes (DFN) und den Zertifikatsaussteller HARICA S/MIME Zertifikate an. Diese Zertifikate decken die meisten der oben genannten Anwendungsgebiete ab, eignen sich aber nicht zum Signieren von Dokumenten.

Übersicht der vorhanden S/MIME Zertifikate

Um in die Zertifikatsverwaltung für S/MIME Zertifikate zu gelangen, navigieren Sie bitte zu folgender URL: https://netbridge.rz.tu-bs.de/ und loggen sich per SSO ein.

Sie gelangen auf eine Startseite, auf der Sie im linken Menü den Unterpunkt "S/MIME Certificates" auswählen. 

Je nach Anzahl der vorhandenen Zertifikate kann es einige Zeit dauern, bis die Übersichtsseite geladen ist. Hier sehen Sie eine Auflistung der aktuellen und gültigen Zertifikate des aktuellen (HARICA) und des vorherigen Zertifikatsanbieters (Sectigo). Zurückgerufene oder abgelaufene Zertifikate werden nicht aufgelistet. Beide Listen sind unterschiedlich aufgebaut und an die jeweiligen Informationen angepasst. Ein Zertifikat von HARICA wird mit einer ID, der Seriennummer, dem sogenannten Common Name, dem Status, dem Ablaufdatum und dem Typ angegeben. Der Typ unterscheidet sich, je nachdem, ob Sie das Zertifikat mit Passwort (PKCS12) oder mit CSR (PKSC7) beantragt haben. Weiterhin können Sie HARICA Zertifikate herunterladen oder zurückrufen.

(Das rote "Entfernen-Symbol" bei den Sectigo-Zertifikaten wird noch entfernt.)
Mit einem Klick auf "+ Request certificate" gelangen Sie auf die Beantragungseite, wo sie zwischen Beantragung per Passwort und per CSR wählen können.

Beantragen eines S/MIME Zertifikates

Für die Beantragung von Nutzerzertifikaten stehen zwei Arten zur Verfügung, die Beantragung per Passwort und die Beantragung per CSR. Entscheidet man sich für die Beantragung mit Passworteingabe, so werden serverseitig ein CSR (Zertifikatsantrag) und ein privater Schlüssel erstellt. Der erstellte CSR wird dann bei dem Zertifikatsaussteller (HARICA) eingereicht. Der Zertifikatsaussteller erzeugt eine Datei, in der das digitale Zertifikat und die Zwischenzertifikate enthalten sind (P7B-Format). Mit dieser Datei, dem zuvor erzeugten privaten Schlüssel und dem eingegebenen Passwort wird dann ein P12-Zertifikat erstellt. Der private Key und alle Zwischendateien werden serverseitig nicht gespeichert. Lediglich das P12-Zertifikat wird gespeichert, um es dem Antragsteller jederzeit zum Download anzubieten. Der Antragsteller ist für die sichere Verwahrung des Passworts zuständig. Bei Passwortverlust kann das Zertifikat nicht neu eingebunden werden und verschlüsselte Daten gehen verloren. 

Wird die Beantragung per CSR gewählt, so werden der private Schlüssel und der Zertifikatsantrag auf dem Nutzersystem erstellt. Auch das Zusammenfügen des privaten Schlüssels und des P7B-Zertifikates erfolgt auf dem Nutzersystem. Lediglich das P7B-Zertifikat wird serverseitig gespeichert. Der Antragsteller ist für eine sichere Verwahrung des privaten Schlüssels verantwortlich. Bei Verlust des privaten Schlüssels kann das P12-Zertifikat nicht neu erstellt werden. Eventuell verschlüsselte Daten gehen verloren. 

Beantragung per Passwort

Um ein Zertifikat mit Eingabe eines Passwortes zu beantragen, wählen Sie bitte eine Email-Adresse aus. Nur personenbezogene Email-Adressen sind berechtigt und werden hier aufgelistet. Fehlt eine Ihrer Email-Adressen, wenden Sie sich bitte per Email an noc@tu-braunschweig.de. Im Folgenden vergeben Sie bitte ein Passwort und geben es ein zweites Mal ein. Bitte verwahren Sie dieses Passwort sicher. Sie benötigen es, um das Zertifikat später in den Zertifikatsspeicher ihres Betriebssystems zu importieren.

Nach erfolgreicher Beantragung, die einen Moment dauern kann, gelangen Sie wieder auf die Übersichtsseite. Dort können Sie ihr P12-Zertifikat herunterladen und sofort nutzen.

Beantragung per CSR

Wenn Sie ein Zertifikat per CSR beantragen möchten, erstellen Sie bitte zunächst einen CSR und kopieren ihn in das dafür vorgesehene Fenster. Ein Anleitung zur Erzeugung eines CSR finden sie weiter unten. Ausserdem wählen Sie bitte die entsprechende Email-Adresse aus. 

Nach erfolgreicher Beantragung gelangen Sie auch hier wieder zurück auf die Übersichtsseite und können dort Ihr P7B-Zertifikat herunterladen. Um dieses Zertifikat nutzen zu können, müssen sie zusammen mit dem privaten Schlüssel zuerst ein P12-Zertifikat erstellen. Die Anleitung dazu finden Sie weiter unten. 

Zurückziehen eines Zertifikates

Durch Klicken auf das rote Kreuz am Ende einer Zeile, können Sie ein Zertifikat zurückrufen. Nach erfolgreichem Rückruf gelangen Sie wieder auf die Übersichtsseite. Das Zertifikat ist aus der Auflistung verschwunden. 
Sectigo Zertifikate lassen sich nicht mehr automatisiert zurückziehen. Dazu wenden Sie sich bitte per Email an noc@tu-braunschweig.de.

Erstellen einer CSR-Datei

1. Öffnen Sie das Terminal auf Ihrem Computer.
2. Mit folgendem Befehl erstellen Sie eine CSR- Datei: 
   openssl req -nodes -newkey rsa:4096 -keyout <certificate_key>.key -out <certificate_request>.csr
   Geben Sie bei Aufforderung folgende Daten ein:
   Country Name (2 letter code) [AU]: DE
   State or Province Name (full name) [Some State]: Niedersachsen
   Locality Name (eg, city) []: Braunschweig
   Organization Naem (eg, company) [Internet Widgits Pty Ltd]: Technische Universitaet Braunschweig 
   Organizational Unit Name (eg, section) []: Ihr(e) Institut/ Abteilung
   Common Name (e.g. server FQDN or YOUR name) []: Ihr Name laut Personalausweis
   Email Address []: Ihre EMail-Adresse, für die sie das Zertifikat erstellen wollen
   A challenge password []: Bitte leer lassen *
   

   An optional company name []: Bitte leer lassen

   
   

   * Das Challenge Passwort dient dazu, das Zertifikat selbst direkt bei HARICA zu widerrufen. Ist ein Challenge Passwort gesetzt, können Sie es nicht mehr über die Selbstverwaltungsoberfläche zurückrufen.
   

   
   Die beiden Dateien <certificate_key>.key und <certificate_request>.csr finden Sie nun in dem Verzeichnis, aus dem Sie den Befehl ausgeführt haben.

Konvertieren der erhaltenen P7B-Datei

Nach erfolgreicher Beantragung eines Zertifikats mit eigenem CSR erhalten sie eine Datei mit der Endung ".p7b". Der Dateiname entspricht der ID des erstellten Zertifikates. Hierbei handelt es sich noch nicht um ein vollständiges Zertifikat. Sie müssen aus dieser Datei und dem bei Erstellung des CSRs erzeugten privaten Schlüssel erst noch eine Datei mit der Endung ".p12" erstellen. Dazu gehen Sie wie folgt vor:

1. Konvertieren der P7B-Datei in das PEM Format:
   openssl pkcs7 -print_certs -in <cert_id>.p7b -out <cert_id>.pem -inform der
   
2. Exportieren der PEM Datein in das P12 Format:
   openssl pkcs12 -export -certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac -inkey <certificate_key>.key -in <cert_id>.pem -out <cert_id>.p12
   
   Bei diesem Befehl werden Sie aufgefordert, ein Passwort einzugeben. Dieses Passwort schützt Ihr Zertifikat vor Missbrauch. Es wird gebraucht, um es in den Zertifikatsspeicher Ihres Betriebssystems zu importieren.

Ändern des Zertifikates für das DFN.Security-Portal

1. Bevor das alte Zertifikat ungültig wird, muss ein neues beantragt werden!
2. Einloggen ins DFN.Security Portal mit dem alten Zertifikat! 
3. Oben rechts auf den Pfeil neben dem Nutzernamen und auf Meinen Login ändern klicken.
   
4. Es erscheint ein PopUp-Fenster. Hier bitte auf Zertifikat ändern klicken. Man erhält eine Email an die im Portal eingerichtete Email-Adresse mit weiteren Anweisungen.

Die Email-Adresse im Zertifikat muss mit der Email-Adresse übereinstimmen, mit der man im DFN.Security Portal angemeldet ist.

Verwenden Nutzerzertifikates

Eine Anleitung zum Einbinden des erhaltenen Zertifikates in Outlook finden Sie hier: Zertifikatsimport S/MIME Outlook