Nutzerzertifikate

Wofür werden Nutzerzertifikate verwendet?

E-Mails werden standardmäßig von den E-Mail-Programmen wie MS Outlook, Thunderbird oder auch Webmail im Klartext versendet. Auf dem Weg des Absenders zum Empfänger könnte die E-Mail verändert und gelesen werden. Daher werden hierfür E-Mail-Zertifikate (hier Nutzerzertifikat) verwendet. Diese bieten einen Schutz, um die Authentifizierung des Absenders zu gewährleisten und E-Mails optional zu verschlüsseln.

Außerdem können mit einem Nutzerzertifikat PDF-Dateien signiert werden. Dies dient dazu, zu garantieren, dass es sich bei dem Dokument um eine unveränderte Fassung des bzw. der Signierenden handelt. Wie Sie dies vorbereiten können finden Sie in der Anleitung rechts.

Welche Typen von Nutzerzertifikaten gibt es und welches passt am Besten zu mir?

Typ 1: Nutzerzertifikat vom Typ IV+OV (Identity Validated + Organization Validated)

Dieses Zertifikat enthält Ihren vollständigen Vor- und Nachnamen, die Universität Hohenheim als bestätigte Organisation sowie Ihre dienstliche E-Mail-Adresse. Vor der Ausstellung wird sowohl Ihre persönliche Identität geprüft (Identity Validation) als auch Ihre Zugehörigkeit zur Universität bestätigt (Organization Validation).

Wenn Sie eine E-Mail mit diesem Zertifikat signieren, sieht der Empfänger Ihren vollständigen Namen, die Universität Hohenheim als zugehörige Organisation sowie Ihre verifizierte E-Mail-Adresse. Damit erhält der Empfänger die größtmögliche Sicherheit darüber, dass die E-Mail tatsächlich von Ihnen als Angehörige oder Angehöriger der Universität Hohenheim stammt und auf dem Übertragungsweg nicht verändert wurde. Dieser Zertifikatstyp ist daher die empfohlene Wahl für die dienstliche Korrespondenz.

Typ 2: Nutzerzertifikat vom Typ emailonly (Mailbox Validated)

Bei diesem Typ wird ausschließlich der Besitz der E-Mail-Adresse nachgewiesen und in das Zertifikat aufgenommen. Es findet keine Identitätsprüfung der Person statt, und es werden auch keine Angaben zur Organisation eingebunden. Entsprechend sieht der Empfänger Ihrer signierten E-Mail nur die bestätigte E-Mail-Adresse – ein Bezug zu Ihrer Person oder zur Universität Hohenheim wird nicht hergestellt. Dieser Zertifikatstyp eignet sich vor allem dann, wenn bewusst keine personenbezogene Bestätigung erfolgen soll, etwa für bestimmte Funktions- oder Gruppenpostfächer.

Gemeinsamkeiten beider Typen

Beide Zertifikatstypen sind vollwertige S/MIME-Zertifikate und ermöglichen sowohl das digitale Signieren als auch das Ende-zu-Ende-Verschlüsseln von E-Mails. Der Unterschied liegt allein im Umfang der Informationen, die im Zertifikat enthalten und durch die Zertifizierungsstelle (HARICA) bestätigt sind – die kryptographische Stärke ist identisch. Wer das Zertifikat des Absenders näher betrachtet – etwa durch einen Klick auf das Signatur-Symbol im E-Mail-Client – kann diesen Unterschied jedoch erkennen: Während ein IV+OV-Zertifikat Namen und Organisation des Inhabers ausweist, enthält ein emailOnly-Zertifikat ausschließlich die E-Mail-Adresse.

FAQ

Allgemein

Wenn jemand eine E-Mail digital signiert versendet, können Sie in Ihrem E-Mail-Programm erkennen, ob und welches Zertifikat verwendet wurde. Das ist auch die Voraussetzung dafür, dass Sie verschlüsselte E-Mails an diese Person senden können – denn dafür benötigen Sie den öffentlichen Schlüssel aus dem Zertifikat des Empfängers.

  • Outlook (Microsoft 365)

    Öffnen Sie die E-Mail des Absenders. Bei einer digital signierten Nachricht erscheint im Nachrichtenkopf ein rotes Siegel-Symbol (rotes Band mit Schleife).

    Klicken Sie auf das Symbol. Es öffnet sich ein kleines Fenster mit dem Hinweis „Digitale Signatur: Gültig" Klicken Sie dort auf Details, auf den "Signierer:", dann auf "Details anzeigen..." und schließlich auf "Zertifikat anzeigen..." um weitere Informationen zum Zertifikat zu erhalten, etwa den Namen des Inhabers und die ausstellende Stelle.

    Outlook übernimmt das Zertifikat des Absenders automatisch in Ihre Kontakte, sodass Sie anschließend verschlüsselte E-Mails an diese Person senden können.

  • Thunderbird

    Öffnen Sie die E-Mail des Absenders. Bei einer digital signierten Nachricht erscheint rechts oben im Nachrichtenkopf ein Siegel-Symbol.

    Klicken Sie auf das Symbol. Es öffnet sich ein Bereich, der anzeigt ob die Signatur gültig ist. Über den Button Signaturzertifikat anzeigen gelangen Sie zu den vollständigen Zertifikatsdetails, u. a. Name, E-Mail-Adresse und Gültigkeitszeitraum.

    Thunderbird speichert das Zertifikat des Absenders automatisch. Sobald Sie das Zertifikat einmal erhalten haben, können Sie dieser Person auch verschlüsselte E-Mails senden.

    • Horde Webmail

      Öffnen Sie die E-Mail des Absenders. Wenn die Nachricht digital signiert wurde, erscheint im Nachrichtenkopf ein Symbol mit einem Schloss sowie ein Hinweistext zur Signatur.

      Klicken Sie auf den Hinweistext "Klicken Sie HIER, um die Daten zu überprüfen" und dann hinter "Absender:" auf den Namen des Absenders um Details zum verwendeten Zertifikat anzuzeigen – darunter den Namen des Inhabers, die E-Mail-Adresse sowie die ausstellende Zertifizierungsstelle.

    Ja, auch hierfür gibt es im rechten Bereich auf der Website eine Anleitung für den Bezug.

    Das Nutzerzertifikat hat eine Laufzeit/Gültigkeit von 730 Tagen (2 Jahre).

    Outlook

    No FAQ's found.

    Thunderbird

    Fehlermeldung in Thunderbird: „Zertifikateverwaltung kann kein gültiges Zertifikat finden, das verwendet werden kann, um Ihre Nachrichten mit der Adresse <vorname.nachname@uni-hohenheim.de> digital zu unterschreiben.“

    • Navigieren Sie in die „Konten-Einstellungen“ unter dem Menü „Extras“.
    • Wählen Sie links die „Ende-zu-Ende-Verschlüsselung“.
    • Klicken Sie auf den Button „Auswählen“ unter „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“ und wählen das neue gültige Zertifikat aus.

     

     

    Fehlermeldung in Thunderbird: „Senden der Nachricht ist fehlgeschlagen: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber die Anwendung konnte das Unterschiffszertifikat nicht finden, das sie in ihren Kontoeinstellungen angegeben haben, oder das Zertifikat ist abgelaufen.“

    • Navigieren Sie in die „Konten-Einstellungen“ unter dem Menü „Extras“.
    • Wählen Sie links die „Ende-zu-Ende-Verschlüsselung“.
    • Klicken Sie auf den Button „S/MIME-Zertifikate verwalten“.
    • Klicken Sie auf „Importieren“ und wählen Sie das neue Zertifikat aus.
    • Klicken Sie auf „Leeren“ bei „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“.
    • Klicken Sie auf den Button „Auswählen“ unter „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“ und wählen das neue gültige Zertifikat aus.

     

     

    PDF-Signatur

    Die eIDAS-Verordnung unterscheidet drei Stufen:

    • EES – Einfache elektronische Signatur: Jede Form digitaler Willenserklärung, z. B. ein getippter Name unter einer E-Mail oder ein eingescannter Unterschriftenstempel. Bietet keine technische Sicherheit gegen Manipulation oder Identitätsmissbrauch.
    • FES – Fortgeschrittene elektronische Signatur: Kryptographisch erzeugte Signatur, die den Unterzeichner eindeutig identifiziert, ausschließlich unter dessen Kontrolle steht und nachträgliche Änderungen am Dokument erkennbar macht. Entspricht dem technischen Standard, der mit HARICA-Zertifikaten erreicht wird.
    • QES – Qualifizierte elektronische Signatur: Eine FES, die zusätzlich mit einem qualifizierten Zertifikat eines zugelassenen Vertrauensdiensteanbieters und einer sicheren Signaturerstellungseinheit (z. B. Signaturkarte) erstellt wird. Nur die QES ist nach § 126a BGB der handschriftlichen Unterschrift rechtlich gleichgestellt.

    Technisch ja – HARICA-S/MIME-Nutzerzertifikate lassen sich in Adobe Acrobat bzw. Reader zum Signieren von PDF-Dokumenten verwenden. Für extern validierbare Signaturen sind sie jedoch nicht geeignet: Die Signatur wird ohne vorherigen manuellen Import des HARICA-Root-Zertifikats auf keinem Gerät automatisch als vertrauenswürdig angezeigt – weder beim Unterzeichner noch beim Empfänger.

    Die Warnung erscheint auf jedem Gerät, auf dem das Root-Zertifikat nicht importiert wurde – also sowohl beim Unterzeichner als auch beim Empfänger. Dies gilt unabhängig davon, ob ein Nutzerzertifikat vom Typ emailonly oder IV+OV verwendet wird.

    Ja, die Warnung verschwindet, sofern auf dem jeweiligen Gerät das Root-Zertifikat „HARICA Client RSA Root CA 2021" manuell in Adobe Acrobat als vertrauenswürdig importiert wurde. Ein automatischer Rollout des Root-Zertifikats findet derzeit nicht statt.

    Das Root-Zertifikat kann heruntergeladen werden: HARICA-Client-RSA-Root-2021.p7b (SHA-1: 46:C6:90:0A:77:3A:B6:BC:F4:65:AD:AC:FC:E3:F7:07:00:6E:DE:6E)

    Wichtig: HARICA-S/MIME-Zertifikate sind technisch für E-Mail-Signaturen und nicht für Dokumentensignaturen vorgesehen. Der manuelle Import ist daher nur dort sinnvoll, wo Dokumente ausschließlich innerhalb eines kontrollierten Empfängerkreises geprüft werden. Für PDF-Signaturen, die ohne Vorkonfiguration auf Empfängerseite anerkannt werden, sind dedizierte Dokumentensignaturzertifikate erforderlich (siehe FAQ „Welche Alternativen gibt es für extern validierbare PDF-Signaturen?").

     

     

    Adobe Acrobat zeigt bei PDF-Signaturen mit HARICA-S/MIME-Nutzerzertifikaten folgende Meldung an:

    „Gültigkeit der Unterschrift ist UNBEKANNT – Die Identität des Unterzeichners ist unbekannt, weil sie sich nicht in der Liste der vertrauenswürdigen Zertifikate befindet und keines der übergeordneten Zertifikate ein vertrauenswürdiges Zertifikat ist."

    Ursache ist die fehlende Verankerung des ausstellenden Root-Zertifikats „HARICA Client RSA Root CA 2021" in der Adobe Approved Trust List (AATL). Adobe erkennt dieses Root nicht automatisch als vertrauenswürdig an. Die Warnung verschwindet, sobald das Root-Zertifikat auf dem jeweiligen Gerät manuell in Adobe Acrobat als vertrauenswürdig importiert wurde – das Dokument selbst wurde dabei in jedem Fall nach dem Unterzeichnen nicht verändert.

    Getestet am 26.05.2026 mit Adobe Acrobat Pro Version 2026.001.21529 (64-Bit)

    Für PDF-Signaturen, die ohne Vorkonfiguration auf Empfängerseite als vertrauenswürdig anerkannt werden, sind dedizierte Dokumentensignaturzertifikate erforderlich – z. B. HARICA Advanced eSignature. Diese werden über die AATL-gelisteten Roots „HARICA Document Signing RSA 1" bzw. „HARICA Document Signing ECC 1" ausgestellt und enthalten den korrekten EKU id-kp-documentSigning, sind allerdings kostenpflichtig. Wenden Sie sich bei Bedarf an kim-pki@uni-hohenheim.de.

     

     

    Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular

    Anleitungen und Formulare Campus

    Beantragung eines Nutzerzertifikates vom Typ IV+OV

    Beantragung eines Nutzerzertifikates vom Typ emailonly

    Beantragung eines Nutzerzertifikates für ein Gruppenpostfach

      Einbindung und Nutzung eines Nutzerzertifikates in

      Anleitungen Universitätsverwaltung

      Beantragung eines Nutzerzertifikates vom Typ IV+OV

      Schreiben Sie uns eine E-Mail an kim-pki@uni-hohenheim.de

      Beantragung eines Nutzerzertifikates vom Typ emailonly

      Beantragung eines Nutzerzertifikates für ein Gruppenpostfach

      Einbindung und Nutzung eines Nutzerzertifikates in

      Anleitung PDF-Signierung

      Einbindung und Konfiguration eines Nutzerzertifikates zur PDF-Signierung in

      Haben Sie noch Fragen?

      Schreiben Sie uns eine E-Mail an

      kim-pki@uni-hohenheim.de