Nutzerzertifikate

Am 10. Januar 2025 wird der Dienstleister Sectigo voraussichtlich die Ausstellung von Zertifikaten für alle GÉANT TCS-Kunden einstellen. Dies betrifft eine Vielzahl von (Forschungs-) Einrichtungen in Europa, darunter zahlreiche in Deutschland, sowie auch die Universität Hohenheim. Hintergrund der Situation sind Differenzen zwischen Sectigo und GÉANT in Bezug auf zentrale Vertragsfragen. Nach aktuellem Stand ist davon auszugehen, dass Sectigo seine Leistungen ab dem genannten Datum nicht mehr erbringen wird. GÉANT arbeitet bereits intensiv an der Suche nach einem neuen Anbieter, jedoch wird bis zur Aufnahme des Regelbetriebs durch diesen eine mehrmonatige Unterbrechung der Dienstleistung erwartet.

Wir empfehlen daher dringend, Zertifikate, die innerhalb des 2. Quartals 2025 ablaufen, noch vor Ende des Jahres zu erneuern. Dies ermöglicht eine ausreichende Überbrückung der Übergangszeit, bis der neue Dienstleister vollständig integriert ist und die Arbeitsprozesse an den neuen Regelbetrieb angepasst wurden.

Welche Zertifikatstypen sind betroffen?

  • Serverzertifikate (SSL) – für die Absicherung von Web- und Serverdiensten
  • Persönliche Zertifikate (S/MIME) – für die Signatur und Verschlüsselung von E-Mails

Welche Optionen gibt es, nach dem 10.01.2025 ein neues Zertifikat für Server zu beziehen?

  • Frühzeitige Beantragung eines neuen Zertifikats:
    Falls Sie bereits wissen, dass ein Zertifikat nach diesem Datum benötigt wird, sollten Sie noch vor Ende 2024 ein neues Zertifikat beantragen. So können Sie die Übergangszeit bis zur Einführung eines neuen Dienstleisters überbrücken.
  • Automatisierung über ACME (Automatic Certificate Management Environment) für Webserver:
    Für selbst administrierte Webserver bietet sich die Implementierung einer Automatisierungslösung über das ACME-Protokoll an. Als Interimslösung, ab dem 10. Januar 2025, bis zur vollständigen Integration des neuen Zertifikatsdienstleisters besteht die Möglichkeit, Zertifikate über den Anbieter 'Let’s Encrypt' zu beziehen.

Welche Optionen gibt es, nach dem 10.01.2025 ein neues, persönliches (S/MIME)-Zertifikat zu beziehen?
Persönliche (S/MIME)-Zertifikate haben (ab Ausstellungsdatum) eine Gültigkeit von zwei Jahren. Falls Ihr persönliches (S/MIME)-Zertifikat ein Ablaufdatum vor Ende des zweiten Quartals 2025 besitzt, besteht Ihre einzige Option darin, noch vor Ende des Jahres 2024 Ihr (S/MIME)-Zertifikat zu erneuern.

Wofür werden Nutzerzertifikate verwendet?

E-Mails werden standardmäßig von den E-Mail-Programmen wie MS Outlook, Thunderbird oder auch Webmail im Klartext versendet. Auf dem Weg des Absenders zum Empfänger könnte die E-Mail verändert und gelesen werden. Daher werden hierfür E-Mail-Zertifikate (hier Nutzerzertifikat) verwendet. Diese bieten einen Schutz, um die Authentifizierung des Absenders zu gewährleisten und E-Mails optional zu verschlüsseln.

Außerdem können mit einem Nutzerzertifikat PDF-Dateien signiert werden. Dies dient dazu, zu garantieren, dass es sich bei dem Dokument um eine unveränderte Fassung des bzw. der Signierenden handelt. Wie Sie dies vorbereiten können finden Sie in der Anleitung rechts.

Voraussetzungen und Vorgehensweise

Campus

Campus

Voraussetzungen / Vorbereitung

Vorgehensweise

Bitte unbedingt beachten:
Sie können die folgenden Schritte nur ausführen, wenn Sie die oben genannten „Voraussetzungen / Vorbereitungen“ erfüllen bzw. durchgeführt haben! Ansonsten läuft dies auf eine Fehlermeldung hinaus!

  • Nach erfolgreicher Prüfung erhalten Sie eine E-Mail vom „Sectigo Certificate Manager“ in Ihrem E-Mail-Postfach.
  • Klicken Sie nun in der empfangenen E-Mail den Button „Verify Email Address“.
  • Füllen Sie nun alle erforderlichen Felder im sich öffnenden Browserfenster aus:
  1. Certificate Profile ist nicht änderbar!
  2. Certificate Term ist nicht änderbar! Die Laufzeit/Gültigkeit des Zertifikates beträgt 730 Tage.
  3. Key Type ist nicht änderbar! RSA – 4096 ist standardmäßig voreingestellt.
  4. Ändern Sie unter keinen Umständen das Feld „First Name“, „Middle Name“ und „Last Name“ ab! Ansonsten wird dies zur Sperrung Ihres Zertifikates führen!
  5. Bestätigen Sie nun noch die Lizenzvereinbarung mit dem Setzen des Hakens und wählen Sie „Accept“. Hierdurch wird der Haken letztendlich gesetzt.
  6. Durch den Klick auf „Submit“ wird das Zertifikat vorbereitet. Schließen Sie unter keinen Umständen das Browserfenster! Die Vorbereitung des Zertifikates kann durchaus bis zu 4 Minuten andauern!
  7. UNBEDINGT BEACHTEN: Unter dem Dropdown-Menü „Choose key protection algorithm“ wählen Sie „Secure AES256-SHA256" aus.
  8. Setzen Sie nun ein Passwort für den Schutz des privaten Schlüssels. Notieren Sie sich dieses Passwort unbedingt! Bei Verlust des Passworts wird das Zertifikat unbrauchbar!
    Das Passwort wird im späteren Verlauf, bei der Einbindung des Zertifikates im E-Mail-Programm wieder benötigt!
  9. Durch den Klick auf „Download“ wird das Zertifikat sofort erstellt und heruntergeladen. In den meisten Fällen finden Sie das Zertifikat nun in den „Downloads“ und können das Zertifikat nun verwenden. Die Datei wird als .p12-Datei (Beispiel: smime_eyJpZCI6Mjg1NDIyMCwidsfsdfsdSI6IlNNSU1FIn0_.p12) gespeichert.
  10. Der Tab im Browser kann nun nach einem Logout einfach geschlossen werden.
  11. Rechts oben finden Sie die Anleitung zur Einbindung des Zertifikats in ihr E-Mail-Programm.

 

 

Universitätsverwaltung

Universitätsverwaltung

Voraussetzungen / Vorbereitung

 Vorgehensweise

Bitte unbedingt beachten:
Sie können die folgenden Schritte nur ausführen, wenn Sie die oben genannten „Voraussetzungen / Vorbereitungen“ erfüllen bzw. durchgeführt haben! Ansonsten läuft dies auf eine Fehlermeldung hinaus!

  • Nach erfolgreicher Prüfung erhalten Sie eine E-Mail vom „Sectigo Certificate Manager“ in Ihrem Verwaltungspostfach.
  • Klicken Sie nun in der empfangenen E-Mail den Button „Verify Email Address“.
  • Füllen Sie nun alle erforderlichen Felder im sich öffnenden Browserfenster aus:
    1. Certificate Profile ist nicht änderbar!
    2. Certificate Term ist nicht änderbar! Die Laufzeit/Gültigkeit des Zertifikates beträgt 730 Tage.
    3. Key Type ist nicht änderbar! RSA – 4096 ist standardmäßig voreingestellt.
    4. Ändern Sie unter keinen Umständen das Feld „First Name“, „Middle Name“ und „Last Name“ ab! Ansonsten wird dies zur Sperrung Ihres Zertifikates führen!
    5. Bestätigen Sie nun noch die Lizenzvereinbarung mit dem Setzen des Hakens und wählen Sie „Accept“. Hierdurch wird der Haken letztendlich gesetzt.
    6. Durch den Klick auf „Submit“ wird das Zertifikat vorbereitet. Schließen Sie unter keinen Umständen das Browserfenster! Die Vorbereitung des Zertifikates kann durchaus bis zu 4 Minuten andauern!
    7. UNBEDINGT BEACHTEN: Unter dem Dropdown-Menü „Choose key protection algorithm“ wählen Sie „Secure AES256-SHA256" aus.
    8. Setzen Sie nun ein Passwort für den Schutz des privaten Schlüssels. Notieren Sie sich dieses Passwort unbedingt! Bei Verlust des Passworts wird das Zertifikat unbrauchbar!
      Das Passwort wird im späteren Verlauf, bei der Einbindung des Zertifikates im E-Mail-Programm wieder benötigt!
    9. Durch den Klick auf „Download“ wird das Zertifikat sofort erstellt und heruntergeladen. In den meisten Fällen finden Sie das Zertifikat nun in den „Downloads“ und können das Zertifikat nun verwenden. Die Datei wird als .p12-Datei (Beispiel: smime_eyJpZCI6Mjg1NDIyMCwidsfsdfsdSI6IlNNSU1FIn0_.p12) gespeichert.
    10. Der Tab im Browser kann nun nach einem Logout einfach geschlossen werden.
    11. Rechts oben finden Sie die Anleitung zur Einbindung des Zertifikats in ihr E-Mail-Programm.

 

 

FAQ

Allgemein

Die Vor-Ort-Identifikation hat eine Gültigkeit von 825 Tagen ab dem Zeitpunkt der Identifikation durch den IT-Service-Desk.

Das Nutzerzertifikat hat eine Laufzeit/Gültigkeit von 730 Tagen (2 Jahre).


Vermutlich hat noch keine Vor-Ort-Identifizierung Ihrer Person stattgefunden oder diese ist nicht mehr gültig (Gültigkeitsdauer 825 Tage). Daher sind Sie nicht (mehr) berechtigt ein Zertifikat zu beantragen. Bitte füllen Sie das Formular aus und kommen Sie zur (erneuten) Identifikation in unseren IT-Service-Desk (Biogebäude 1, Garbenstraße 30, 1.UG).

Outlook

No FAQ's found.

Thunderbird

Fehlermeldung in Thunderbird: „Zertifikateverwaltung kann kein gültiges Zertifikat finden, das verwendet werden kann, um Ihre Nachrichten mit der Adresse <vorname.nachname@uni-hohenheim.de> digital zu unterschreiben.“

  • Navigieren Sie in die „Konten-Einstellungen“ unter dem Menü „Extras“.
  • Wählen Sie links die „Ende-zu-Ende-Verschlüsselung“.
  • Klicken Sie auf den Button „Auswählen“ unter „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“ und wählen das neue gültige Zertifikat aus.

 

 

Fehlermeldung in Thunderbird: „Senden der Nachricht ist fehlgeschlagen: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber die Anwendung konnte das Unterschiffszertifikat nicht finden, das sie in ihren Kontoeinstellungen angegeben haben, oder das Zertifikat ist abgelaufen.“

  • Navigieren Sie in die „Konten-Einstellungen“ unter dem Menü „Extras“.
  • Wählen Sie links die „Ende-zu-Ende-Verschlüsselung“.
  • Klicken Sie auf den Button „S/MIME-Zertifikate verwalten“.
  • Klicken Sie auf „Importieren“ und wählen Sie das neue Zertifikat aus.
  • Klicken Sie auf „Leeren“ bei „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“.
  • Klicken Sie auf den Button „Auswählen“ unter „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“ und wählen das neue gültige Zertifikat aus.

 

 

Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular

Anleitungen Campus

Einbindung und Nutzung eines Nutzerzertifikates in

Anleitungen Universitätsverwaltung

Einbindung und Nutzung eines Nutzerzertifikates in

Anleitung PDF-Signierung

Einbindung und Konfiguration eines Nutzerzertifikates zur PDF-Signierung in

Haben Sie noch Fragen?

Schreiben Sie uns eine E-Mail an

kim-pki@uni-hohenheim.de