Nutzerzertifikate zum Signieren und Verschlüsseln von E-Mails

Die Fakultät für Maschinenwesen betreibt nun eine eigene Registrierungsstelle (RA) für Personenzertifikate, die u.a. zum Signieren und Verschlüsseln von E-Mails genutzt werden können, sowie Serverzertifikate für verschlüsselte Verbindungen. Diese Zertifikate werden im Rahmen der DFN-PKI ausgegeben, die wiederum mit dem Wurzelzertifikat der Deutschen Telekom arbeitet. Damit sind die obigen Zertifikate weltweit akzeptiert.

Ablauf: Von der Beantragung bis zur Installation des Zertifikat

  1. Öffnen Sie mit dem Firefox-Browser (zwingend nötig) die für unsere Registrierungsstelle eingerichtete WWW-Seite der DFN-PKI. Sie benötigen dasselbe Browserprofil später wieder, um das generierte Zertifikat zu importieren.
  2. Klicken Sie auf "Nutzerzertifikat"
  3. Füllen Sie das Formular aus Bitte beachten Sie dabei:
    • tragen Sie unter "E-Mail" die E-Mailadresse ein, für die das Zertifikat gelten soll
    • Empfehlung: lassen Sie das Feld "Abteilung" leer; oder tragen Sie dort allenfalls den Namen Ihres Lehrstuhls im Volltext ein (die Fakultät wird automatisch eingetragen)
    • notieren Sie die PIN, die für die Nutzung des Zertifikats später zwingend benötigt wird
    • wir empfehlen, der Veröffentlichung des Zertifikats zuzustimmen (s.u.)
  4. Drucken Sie das Formular aus und vervollständigen Sie die Angaben
  5. Legen Sie das Formular mit ihrem gültigen Personalausweis oder Reisepass bei Registrierungsstelle MW vor. Sie prüft die Angaben und gibt das Zertifikat frei. Ein Link auf das ausgestellte Zertifikat wird dann umgehend per E-Mail zugestellt.
  6. Bitte speichern Sie Ihr Zertifikat an einem sicheren Ort ab

Zertifikat beantragen

Auf der MW-CA-Seite auf "Nutzerzertifikat" klicken und Formular ausfüllen, dabei Abteilung bitte nicht ausfüllen. Sie benötigen denselben Browser (dasselbe Browserprofil), um Ihr Zertifikat später zu importieren.

Nach Klick auf "Weiter" das folgende Fenster mit den Angaben bestätigen.

Das bei Klick auf "Zertifikatantrag anzeigen" erscheinende PDF bitte ausdrucken und zusammen mit dem Personalausweis der Registrierungsstelle MW vorlegen. Dort wird der Antrag geprüft und freigegeben, nach wenigen Minuten erhalten Sie dann per E-Mail die Links zu den Zertifikaten.

Installation in Firefox

Schritt 1:
Zur Installation der Zertifikate im Browser gehen Sie bitte auf die erste URL in der Zertifizierungsmail.

Hier klicken Sie bitte je einmal auf "Wurzelzertifikat", "DFN-PCA Zertifikat" und "TUM CA Zertifikat".

Schritt 2:
In den jeweils nachfolgenden Fenstern bitte alle Optionen aktivieren und bestätigen:

Schritt 3:
Falls Sie Thunderbird als Mailprogramm nutzen, müssen Sie die Zertifikate nun auch auf Ihrer Festplatte speichern, um sie in Thunderbird installieren zu können.

Dazu klicken Sie bitte nochmals auf die drei o.g. Zertifikatlinks, diesmal allerdings mit der rechten Maustaste und wählen "Ziel speichern unter...".

Anschließend sollten sich auf Ihrer Festplatte die folgenden drei Dateien befinden:

  • rootcert.crt
  • intermediatecacert.crt
  • cacert.crt

Anschließend klicken Sie bitte auf den zweiten Link in der Bestätigungsmail, der direkt zu ihrem persönlichen Zertifikat führt. Dieses aktivieren Sie mit einem Klick auf "Zertifikat importieren".

Schritt 4:
Nun erstellen wir die empfohlene Sicherungskopie des Schlüssels, die wir auch für Thunderbird benötigen: Klicken Sie im (Windows-)Firefox auf "Extras - Einstellungen - Erweitert". Jetzt wechseln Sie bitte auf die Registerkarte "Zertifikate". Nach dem Klick auf "Zertifikate anzeigen - Ihre Zertifikate" sollten Sie Ihr importiertes Zertifikat sehen. Bitte markieren Sie das Zertifikat mit einem Klick und wählen Sie "Sichern". Jetzt können Sie das Zertifikat auf Ihrer Festplatte sichern (*.p12). Bitte speichern Sie das Zertifikat an einer sicheren Stelle und legen Sie eine Sicherungskopie an.

Installation in Thunderbird

Schritt 1:
Zum Importieren der Zertifikate klicken Sie bitte auf "Extras" und anschließend auf "Einstellungen".

Jetzt wechseln Sie bitte auf "Erweitert" und dort auf die Registerkarte "Zertifikate". Nach einem Klick auf den Button "Zertifikate..." gelangen Sie zum Zertifikat-Manager. Die drei Zertifikate, die Sie mit Firefox (s.o., blauer Kasten) gespeichert haben, importieren Sie bitte im Register "Zertifizierungsstellen", Ihren persönlichen Schlüssel (*.p12), den Sie aus Firefox exportiert haben (s.o., Sicherungskopie des Schlüssels), importieren Sie bitte im Register "Ihre Zertifikate".

Schritt 2:
Wenn Sie standardmäßig alle Mails signieren möchten, können Sie dies hier einstellen:

Klick auf "Extras", dann "Konten"

Wählen Sie in dem TUM-Konto im Menü links bitte "S/MIME-Sicherheit" aus und wählen Sie über die Buttons bei "Digitaler Unterschrift" und "Verschlüsselung" bitte jeweils Ihr Zertifikat aus. Jetzt noch ein Häkchen bei "Nachrichten digital unterschreiben" - fertig.

Schritt 3:
Wenn einzelne E-Mails verschlüsselt oder auch mal nicht signiert werden sollen, einfach beim Verfassen auf "S/MIME" in der Menüleiste klicken und die gewünschten Optionen auswählen bzw. deaktivieren.

Installation in Outlook 2007 und 2010

Zuerst die Zertifikate importieren und speichern, wie bei Firefox beschrieben.

Dann den persönlichen Schlüssel importieren:

  • Outlook 2010:
    Datei - Optionen - Sicherheitscenter - Einstellungen für das Sicherheitscenter - E-Mail-Sicherheit
  • Outlook 2007:
    Klick auf "Extras" und "Vertrauensstellungscenter", zur Registerkarte " E-Mail-Sicherheit" wechseln.

Oben "Ausgehenden Nachrichten digitale Signatur hinzufügen" und "Signierte Nachrichten als Klartext senden" aktivieren.

Unter "Digitale IDs (Zertifikate)" den Button "Importieren/Exportieren" anklicken.

Importdatei: *.p12 Datei über "Durchsuchen" auswählen zugehöriges Kennwort eingeben.

Name der digitalen ID: Technische Universitaet Muenchen Auswahl mit OK bestätigen - fertig!

Installation in Outlook 2003

Schritt 1:
Zuerst die Zertifikate importieren und speichern, wie bei Firefox beschrieben.

Dann den persönlichen Schlüssel importieren:

Klick auf "Extras" und "Optionen", zur Registerkarte "Sicherheit" wechseln.

Oben "Nachrichten digitale Signatur hinzufügen" aktivieren.

Unten "Importieren/Exportieren" anklicken.

Schritt 2:
Importdatei: *.p12 Datei über "Durchsuchen" auswählen.

Zugehöriges Kennwort eingeben.

Name der digitalen ID: Technische Universitaet Muenchen

Schritt 3:
Optionen mit OK bestätigen - fertig!

Veröffentlichung des Zertifikats

Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats zustimmen, wird dieses zum Verzeichnisdienst der DFN-PKI hinzugefügt, der im Internet frei zugänglich ist. Der Vorteil einer Veröffentlichung besteht darin, dass jeder, der Ihnen eine verschlüsselte E-Mail senden möchte, dies tun kann, da der öffentliche Schlüssel dort verfügbar ist.

Hinweise des DFN zur Veröffentlichung des Nutzerzertifikats

Serverzertifikate

Wenn Sie einen Server betreiben, der verschlüsselte Verbindungen mit SSL/TLS zur Verfügung stellt (beispielsweise einen Webserver mit HTTPS-Zugang), dann benötigen Sie ein Serverzertifikat.

Bitte beachten Sie für die vom DFN ausgestellten Zertifikate:

  • Die Zertifikate dürfen nur für Server verwendet werden, die für die Fakultät für Maschinenwesen oder für Teileinheiten der Fakultät betrieben werden. Kommerzielle Nutzung ist nicht zulässig.
  • Der eindeutige Name des Zertifikats muss enden auf: OU=Fakultaet fuer Maschinenwesen,O=Technische Universitaet Muenchen,L=Muenchen,ST=Bayern,C=DE
  • Für die Domainnamen der Zertifikate sind nur bestimmte Domänen zulässig. Wenn Ihr Domainname nicht auf tum.de endet und Sie bisher noch kein Zertifikat von uns haben, dann ist es wahrscheinlich, dass Ihre Domain nicht in der hinterlegten Liste aufgeführt ist. Wenn Sie bei der Antragstellung eine entsprechende Fehlermeldung bekommen, dann nehmen Sie bitte Kontakt mit Herrn Klopp auf. Die Aufnahme weiterer Domains ist möglich, aber sie kann mehrere Tage dauern.
  • Sie können ein gemeinsames Zertifikat für mehrere Servernamen erhalten. Dagegen sind Wildcards wie "*.mw.tum.de" nicht zulässig.  

Bitte erstellen Sie einen Zertifikatsantrag als PEM-Datei. Auf Linux-Systemen geschieht das normalerweise mit der OpenSSL-Suite, andere Betriebssysteme oder Geräte haben häufig eigene Administrationsschnittstellen.

In der vom DFN bereitgestellten PKI-Schnittstelle können Sie unter dem Reiter "Serverzertifikate" den Zertifikatsantrag hochladen. Die weitere Vorgehensweise (Formular vervollständigen, ausdrucken und Vorlage bei Herrn Klopp) ist dann analog zu den Nutzerzertifikaten.