Nutzerzertifikate

Wofür werden Nutzerzertifikate verwendet?

E-Mails werden standardmäßig von den E-Mail-Programmen wie MS Outlook, Thunderbird oder auch Webmail im Klartext versendet. Auf dem Weg des Absenders zum Empfänger könnte die E-Mail verändert und gelesen werden. Daher werden hierfür E-Mail-Zertifikate (hier Nutzerzertifikat) verwendet. Diese bieten einen Schutz, um die Authentifizierung des Absenders zu gewährleisten und E-Mails optional zu verschlüsseln.

Außerdem können mit einem Nutzerzertifikat PDF-Dateien signiert werden. Dies dient dazu, zu garantieren, dass es sich bei dem Dokument um eine unveränderte Fassung des bzw. der Signierenden handelt. Wie Sie dies vorbereiten können finden Sie in der Anleitung rechts.

Welche Typen von Nutzerzertifikaten gibt es und welches passt am Besten zu mir?

Typ 1: Nutzerzertifikat vom Typ IV+OV (Identity Validated + Organization Validated)

Dieses Zertifikat enthält Ihren vollständigen Vor- und Nachnamen, die Universität Hohenheim als bestätigte Organisation sowie Ihre dienstliche E-Mail-Adresse. Vor der Ausstellung wird sowohl Ihre persönliche Identität geprüft (Identity Validation) als auch Ihre Zugehörigkeit zur Universität bestätigt (Organization Validation).

Wenn Sie eine E-Mail mit diesem Zertifikat signieren, sieht der Empfänger Ihren vollständigen Namen, die Universität Hohenheim als zugehörige Organisation sowie Ihre verifizierte E-Mail-Adresse. Damit erhält der Empfänger die größtmögliche Sicherheit darüber, dass die E-Mail tatsächlich von Ihnen als Angehörige oder Angehöriger der Universität Hohenheim stammt und auf dem Übertragungsweg nicht verändert wurde. Dieser Zertifikatstyp ist daher die empfohlene Wahl für die dienstliche Korrespondenz.

Typ 2: Nutzerzertifikat vom Typ emailonly (Mailbox Validated)

Bei diesem Typ wird ausschließlich der Besitz der E-Mail-Adresse nachgewiesen und in das Zertifikat aufgenommen. Es findet keine Identitätsprüfung der Person statt, und es werden auch keine Angaben zur Organisation eingebunden. Entsprechend sieht der Empfänger Ihrer signierten E-Mail nur die bestätigte E-Mail-Adresse – ein Bezug zu Ihrer Person oder zur Universität Hohenheim wird nicht hergestellt. Dieser Zertifikatstyp eignet sich vor allem dann, wenn bewusst keine personenbezogene Bestätigung erfolgen soll, etwa für bestimmte Funktions- oder Gruppenpostfächer.

Gemeinsamkeiten beider Typen

Beide Zertifikatstypen sind vollwertige S/MIME-Zertifikate und ermöglichen sowohl das digitale Signieren als auch das Ende-zu-Ende-Verschlüsseln von E-Mails. Der Unterschied liegt allein im Umfang der Informationen, die im Zertifikat enthalten und durch die Zertifizierungsstelle (HARICA) bestätigt sind – die kryptographische Stärke ist identisch. Wer das Zertifikat des Absenders näher betrachtet – etwa durch einen Klick auf das Signatur-Symbol im E-Mail-Client – kann diesen Unterschied jedoch erkennen: Während ein IV+OV-Zertifikat Namen und Organisation des Inhabers ausweist, enthält ein emailOnly-Zertifikat ausschließlich die E-Mail-Adresse.

FAQ

Allgemein

Wie kann ich prüfen, ob mein Gegenüber ein S/MIME-Zertifikat verwendet?

Wenn jemand eine E-Mail digital signiert versendet, können Sie in Ihrem E-Mail-Programm erkennen, ob und welches Zertifikat verwendet wurde. Das ist auch die Voraussetzung dafür, dass Sie verschlüsselte E-Mails an diese Person senden können – denn dafür benötigen Sie den öffentlichen Schlüssel aus dem Zertifikat des Empfängers.

Outlook (Microsoft 365)

Öffnen Sie die E-Mail des Absenders. Bei einer digital signierten Nachricht erscheint im Nachrichtenkopf ein rotes Siegel-Symbol (rotes Band mit Schleife).

Klicken Sie auf das Symbol. Es öffnet sich ein kleines Fenster mit dem Hinweis „Digitale Signatur: Gültig" Klicken Sie dort auf Details, auf den "Signierer:", dann auf "Details anzeigen..." und schließlich auf "Zertifikat anzeigen..." um weitere Informationen zum Zertifikat zu erhalten, etwa den Namen des Inhabers und die ausstellende Stelle.

Outlook übernimmt das Zertifikat des Absenders automatisch in Ihre Kontakte, sodass Sie anschließend verschlüsselte E-Mails an diese Person senden können.

Thunderbird

Öffnen Sie die E-Mail des Absenders. Bei einer digital signierten Nachricht erscheint rechts oben im Nachrichtenkopf ein Siegel-Symbol.
Klicken Sie auf das Symbol. Es öffnet sich ein Bereich, der anzeigt ob die Signatur gültig ist. Über den Button Signaturzertifikat anzeigen gelangen Sie zu den vollständigen Zertifikatsdetails, u. a. Name, E-Mail-Adresse und Gültigkeitszeitraum.

Thunderbird speichert das Zertifikat des Absenders automatisch. Sobald Sie das Zertifikat einmal erhalten haben, können Sie dieser Person auch verschlüsselte E-Mails senden.

Horde Webmail
Öffnen Sie die E-Mail des Absenders. Wenn die Nachricht digital signiert wurde, erscheint im Nachrichtenkopf ein Symbol mit einem Schloss sowie ein Hinweistext zur Signatur.

Klicken Sie auf den Hinweistext "Klicken Sie HIER, um die Daten zu überprüfen" und dann hinter "Absender:" auf den Namen des Absenders um Details zum verwendeten Zertifikat anzuzeigen – darunter den Namen des Inhabers, die E-Mail-Adresse sowie die ausstellende Zertifizierungsstelle.

Kann ich auch E-Mails in Gruppenpostfächern signieren?

Ja, auch hierfür gibt es im rechten Bereich auf der Website eine Anleitung für den Bezug.

Wie lange ist mein Nutzerzertifikat gültig?

Das Nutzerzertifikat hat eine Laufzeit/Gültigkeit von 730 Tagen (2 Jahre).

Outlook

No FAQ's found.

Thunderbird

Ich erhalte die Fehlermeldung „Zertifikateverwaltung kann kein gültiges Zertifikat finden, ..."

Fehlermeldung in Thunderbird: „Zertifikateverwaltung kann kein gültiges Zertifikat finden, das verwendet werden kann, um Ihre Nachrichten mit der Adresse <vorname.nachname@uni-hohenheim.de> digital zu unterschreiben.“

Navigieren Sie in die „Konten-Einstellungen“ unter dem Menü „Extras“.
Wählen Sie links die „Ende-zu-Ende-Verschlüsselung“.
Klicken Sie auf den Button „Auswählen“ unter „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“ und wählen das neue gültige Zertifikat aus.

Ich erhalte die Fehlermeldung „Senden der Nachricht ist fehlgeschlagen: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber..."

Fehlermeldung in Thunderbird: „Senden der Nachricht ist fehlgeschlagen: Sie haben ausgewählt, diese Nachricht digital zu unterschreiben, aber die Anwendung konnte das Unterschiffszertifikat nicht finden, das sie in ihren Kontoeinstellungen angegeben haben, oder das Zertifikat ist abgelaufen.“

Navigieren Sie in die „Konten-Einstellungen“ unter dem Menü „Extras“.
Wählen Sie links die „Ende-zu-Ende-Verschlüsselung“.
Klicken Sie auf den Button „S/MIME-Zertifikate verwalten“.
Klicken Sie auf „Importieren“ und wählen Sie das neue Zertifikat aus.
Klicken Sie auf „Leeren“ bei „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“.
Klicken Sie auf den Button „Auswählen“ unter „Persönliches Zertifikat für digitale Unterschrift“ und bei „Persönliches Zertifikat für Verschlüsselung“ und wählen das neue gültige Zertifikat aus.

PDF-Signatur

Ist es möglich mit Nutzerzertifikaten PDF-Signaturen durchzuführen?

Technisch ja – HARICA-S/MIME-Nutzerzertifikate lassen sich in Adobe Acrobat bzw. Reader zum Signieren von PDF-Dokumenten verwenden. Für extern validierbare Signaturen sind sie jedoch nicht geeignet: Beim Empfänger wird die Signatur ohne vorherigen manuellen Import des HARICA-Root-Zertifikats nicht automatisch als vertrauenswürdig angezeigt.

Warum wird meine PDF-Signatur beim Empfänger mit einer Warnung angezeigt?

Adobe Acrobat prüft bei PDF-Signaturen zwei Kriterien, die HARICA-S/MIME-Zertifikate nicht erfüllen:

Extended Key Usage (EKU): Nutzerzertifikate enthalten ausschließlich emailProtection und clientAuth, nicht jedoch den für Dokumentensignaturen vorgesehenen OID id-kp-documentSigning.
Vertrauenskette: Die Zertifikate werden über das Root „HARICA Client RSA Root CA 2021" ausgestellt. Dieses ist nicht in der Adobe Approved Trust List (AATL) als Document-Signing-Root hinterlegt – im Gegensatz zu den dedizierten Roots „HARICA Document Signing RSA 1" und „HARICA Document Signing ECC 1".

Funktioniert die PDF-Signatur wenigstens innerhalb der Universität Hohenheim?

Ja, sofern der interne Empfänger das HARICA-Root-Zertifikat manuell in Adobe Acrobat als vertrauenswürdig importiert hat. Eine Signatur wird dann ohne Warnung angezeigt. Für eine standardmäßig automatische Validierung – insbesondere bei externer Kommunikation – sind jedoch dedizierte Dokumentensignaturzertifikate erforderlich.

Welche Alternativen gibt es für extern validierbare PDF-Signaturen?

Für PDF-Signaturen, die ohne Vorkonfiguration auf Empfängerseite als vertrauenswürdig anerkannt werden, sind dedizierte Dokumentensignaturzertifikate erforderlich – z. B. HARICA Advanced eSignature. Diese werden über die AATL-gelisteten Roots „HARICA Document Signing RSA 1" bzw. „HARICA Document Signing ECC 1" ausgestellt und enthalten den korrekten EKU id-kp-documentSigning, sind allerdings kostenpflichtig. Wenden Sie sich bei Bedarf an kim-pki@uni-hohenheim.de.

Welche Arten elektronischer Signaturen gibt es?

Die eIDAS-Verordnung unterscheidet drei Stufen:

EES – Einfache elektronische Signatur: Jede Form digitaler Willenserklärung, z. B. ein getippter Name unter einer E-Mail oder ein eingescannter Unterschriftenstempel. Bietet keine technische Sicherheit gegen Manipulation oder Identitätsmissbrauch.
FES – Fortgeschrittene elektronische Signatur: Kryptographisch erzeugte Signatur, die den Unterzeichner eindeutig identifiziert, ausschließlich unter dessen Kontrolle steht und nachträgliche Änderungen am Dokument erkennbar macht. Entspricht dem technischen Standard, der mit HARICA-Zertifikaten erreicht wird.
QES – Qualifizierte elektronische Signatur: Eine FES, die zusätzlich mit einem qualifizierten Zertifikat eines zugelassenen Vertrauensdiensteanbieters und einer sicheren Signaturerstellungseinheit (z. B. Signaturkarte) erstellt wird. Nur die QES ist nach § 126a BGB der handschriftlichen Unterschrift rechtlich gleichgestellt.

Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular