Humboldt-Universität zu Berlin - Computer- und Medienservice

Eine Zertifikatsdatei (z.B. datum_emailadresse.p12) ist ein Container (pkcs#12) bestehend aus Ihrem privatem Schlüssel und einem, durch eine Zertifizierungsinstanz signierten öffentlichen Schlüssel, Ihrem Zertifikat. Dieses Zertifikat bestätigt mind. eine E-Mailadresse der Humboldt-Universität zu Berlin und die Zugehörigkeit zur HU-Berlin, sowie Ihren Namen. Bei Funktionszertifikaten ist kein Name im Zertifikat enthalten.

Das Zertifikat wird benutzt um durch Sie erstellte digitale Signaturen zu prüfen und ist erforderlich um für Sie verschlüsselte Nachrichten zu erstellen.

Der private Schlüssel wird nur durch Sie verwendet, um digitale Signaturen zu erstellen und für Sie verschlüsselte Nachrichten zu entschlüsseln. Deshalb ist es wichtig Ihren privaten Schlüssel durch ein Passwort zu schützen.

Nach der Installation Ihrer Zertifikatsdatei in Ihrem E-Mailclient können Sie mit dem enthaltenen Zertifikat und Ihrem privatem Schlüssel digitale Signaturen erstellen und für Sie verschlüsselte E-Mails entschlüsseln und lesen.

Sie sind für die sichere Aufbewahrung Ihrer Zertifikatsdatei und des Passwortes selbst verantwortlich, verwenden Sie einen sicheren Speicherort.

Sie können sich im Self-Service nach Anmeldung mit Ihrem HU-Account und Passwort ein Nutzer*innenzertifikat (Zertifikatsdatei) erstellen.

Melden Sie sich dazu mit Ihrem HU-Account am "Authentifizierungsmanager" an -> https://hu.berlin/authn-manager/ wählen "Zertifikate verwalten".

Klicken Sie auf "Zertifikate verwalten"

Klicken Sie auf "Ein neues Zertifikat erzeugen". Es öffnet sich ein Antragsformular in dem Vorname, Nachname und die Pubmailadresse bereits unveränderbar vorgegeben sind. Falls Sie weitere E-Mailaliase besitzen, die Ihrem Account zugeordnet sind, können Sie davon max. 2 weitere mit in das Zertifikat aufnehmen lassen.

Die vorgeschlagene Zertifikat-PIN zum Schutz des privaten Schlüssels können Sie so übernehmen, oder selbst eine mindestens sechsstellige PIN vergeben. Diese PIN müssen Sie gut und sicher aufbewahren. Sie benötigen diese zur Installation Ihrer Zertifikatsdatei. Eine Wiederherstellung bei Verlust ist nicht möglich.

Klicken Sie auf "Zertifikatsantrag abschicken". Sie sehen dann noch einmal eine Zusammenfassung, mit der letztmaligen Möglichkeit Ihre Zertifikat-PIN zu speichern.

Klicken Sie auf "Zurück zu Ihrer Zertifikatsliste".

Sie erhalten kurz darauf an Ihre Pubmailadresse zwei E-Mail's.

Eine mit "Betreff: Ihr neues Nutzerzertifikat".
Diese enthält Ihre Zertifikatsdatei (Datum-der-Erstellung_pubmailadresse.p12), sowie Anleitungen zur Installation der Zertifikatsdatei und Supportmöglichkeiten.

Eine Zweite mit "Betreff: Code für die Veröffentlichung Ihres Nutzerzertifikates"
Diese E-Mail können Sie erst lesen wenn sie Ihre Zertifikatsdatei in Ihren Mailclient installiert haben, da diese bereits mit Ihrem ausgestelltem Zertifikat verschlüsselt wurde. So können Sie auch gleich prüfen ob die Installation erfolgreich war.
Darin erhalten Sie die Information wie Sie den öffentlichen Teil Ihres Nutzerzertifikates im HU-Adressbuch veröffentlichen können.

Um am verschlüsselten E-Mailverkehr teilnehmen zu können ist es erforderlich das andere Kommunikationspartner diesen öffentlichen Teil, das eigentliche Zertifikat, im E-Mailclient vorliegen haben um E-Mails an Sie damit verschlüsseln zu können.
Der Bezug des Zertifikates über das im E-Mailclient eingerichtete HU-Adressbuch ist dabei der einfachste und komfortabelste Weg.

Lesen Sie hier wie Sie Ihr Zertifikat veröffentlichen.

Direkt zum Self-Service -> https://hu.berlin/authn-manager

Installationsanleitungen für:

Thunderbird

Outlook

AppleMail

Sie müssen Ihre Zertifikatsdatei in allen E-Mailclients installieren die Sie nutzen möchten.

Voraussetzung ist das Sie Ihre Zertifikatsdatei bereits im Mailclient installiert haben und die verschlüsselte E-Mail "Betreff: Code für die Veröffentlichung Ihres Nutzerzertifikates" lesen können.
Falls nicht lesen Sie hier wie Sie Ihre Zertifikatsdatei im Mailclient installieren.

Melden Sie sich für die Veröffentlichung Ihres Nutzerzertifikates mit Ihrem HU-Account am "Authentifizierungsmanager" an -> https://hu.berlin/authn-manager und wählen "Zertifikate verwalten".

Klicken Sie auf "Zertifikate verwalten". Sie sehen Ihre ausgestellten Nutzerzertifikate.

Klicken Sie auf "Veröffentlichen" und tragen den Veröffentlichungs-Code aus der E-Mail mit "Betreff: Code für die Veröffentlichung Ihres Nutzerzertifikates".

Klicken Sie auf "Veröffentlichen", damit wird Ihr Zertifikat im HU-Adressbuch veröffentlicht und steht dort nach spätestens 2 Stunden für andere HU-Adressbuch-Nutzer*innen zur Verfügung.

In der Übersicht Ihrer ausgestellten Nutzerzertifikate sehen Sie welches veröffentlicht ist.

Hier können Sie auch Ihre Zertifikatsdatei erneut herunterladen. Für die Installation benötigen Sie aber Ihre zuvor festgelegte Zertifikat-PIN.

Informationen zu Ihrem veröffentlichten Nutzerzertifikat finden Sie auch unter HU-Account-Information

Leider nicht!
Sie können beim Beantragungsprozess die vorgeschlagene Zertifikat-PIN übernehmen oder selbst eine mindestens sechsstellige PIN vergeben. Diese wird vom System nur zum Zwecke der Zertifikatsdateierstellung verwendet, aber nirgends gespeichert.

Sie sind für die sichere Aufbewahrung Ihrer Zertifikatsdatei und Ihrer Zertifikat-PIN selbst verantwortlich. Es  gibt keine Möglichkeit der Wiederherstellung bei Verlust. Verwenden Sie einen sicheren Speicherort z.B. einen Passwort geschützten Ordner in der HU-Box, einen Passwortmanager, oder einen anderen sicheren Datenspeicher.

Dringende Empfehlung: Signieren Sie alle ausgehenden E-Mails.
Das lässt sich leicht als Standard einstellen und ist ein bedeutender Beitrag zur IT-Sicherheit mit geringem Aufwand. Digitale Signaturen in E-Mails schaffen Vertrauen in der elektronischen Kommunikation, Änderungen und Verfälschungen in E-Mails werden dadurch erkannt. Durch sie wird der Absender/Absenderadresse einer E-Mail zweifelsfrei identifizierbar. Empfänger können die Signatur prüfen und so entscheiden, ob sie den eingehenden E-Mails vertrauen.
Phishing-Angriffe und Erpressungsversuche haben deutlich weniger Erfolgschancen, diese kommen i.d.R. ohne gültiger Signatur. Wenn sich digital signierte E-Mails als Standard etablieren, fallen unsignierte E-Mails leichter auf und ihnen kann eine erhöhte Aufmerksamkeit gegeben werden.

Informationen zum Signieren und wie Sie vorgehen ist hier beschrieben.

Verschlüsseln Sie E-Mails nur bei wirklichen Anforderungen
(Datenschutz, IT-Sicherheitsbedarf, Informationschutz).
Die E-Mailverschlüsselung nur bei der Übermittlung von schützenswerten Informationen einsetzen. Unnötig verschlüsselte E-Mail können zu erhöhtem Aufwand führen, wenn z.B. das Nutzerzertifikat auf einem mobilen Gerät nicht installiert ist und man diese nicht lesen kann, oder wenn mit geteilten Mailboxen/Mailordnern gearbeitet wird.
Wenn E-Mailverschlüsselung eingesetzt wird, dann nur in Verbindung mit digitaler Signatur! Verschlüsselte E-Mails werden von Virenscannern nicht behandelt und könnten u.a. Schadsoftware enthalten. Verschlüsselte E-Mails erwecken den Eindruck „verschlüsselt - alles sicher“, wenn sie aber von unbekannter Herkunft sind kann das gefährlich sein.
Verschlüsselte E-Mails belegen etwa den dreifachen Speicherplatz in Mailboxen.

Informationen wie Sie die Verschlüsselung verwenden

Je nach verwendetem E-Mailprogramm, wird eine gültige Signatur an der E-Mail auf unterschiedliche Weise dargestellt. Manchmal wird Ihnen dabei auch der Herausgeber des Zertifikats angezeigt. Je nach Ausstellungsdatum des Zertifikats treten zurzeit als Herausgebernamen "DFN-Verein Global Issuing CA" oder auch "GEANT Personal CA4" auf.

Thunderbird

Thunderbird zeigt bei korrekt signierten Mails je nach Version einen versiegelten Briefumschlag oder nur ein Siegelsymbol mit dem Vermerk S/MIME an.
Durch Klicken auf dieses Siegel können Sie weitere Informationen zum verwendeten Zertifikat, wie den Aussteller des Zertifikates, der bestätigten/zertifizierten E-Mailadresse und den Namens des Zertifikatnutzers erhalten:

Outlook

Outlook stellt die gültige Signatur durch ein kleines rotes Siegelsymbol neben der Mail dar. Wenn Sie auf Details klicken können Sie sich zusätzliche Informationen anzeigen lassen, z.B. wann die Signatur erstellt wurde u.a.

Signatur nicht gültig

Wenn eine digitale Signatur als nicht gültig markiert ist, kann dies viele Ursachen haben. Auch hier können Sie sich über Details mögliche Gründe für die Ungültigkeit anzeigen lassen.
Beispielsweise kann der Gültigkeitszeitraum des Zertifikats abgelaufen sein, oder es wurde von der ausgebenden Zertifizierungsstelle (CA) widerrufen.

Einen speziellen Fall der bei der Verwendung von Outlook auftritt finden Sie hier beschrieben.

Ebenso kann es sein das der Inhalt des Nachrichtentextes in der E-Mail verfälscht wurde.

Es kann aber auch sein, dass die E-Mailadresse unberechtigter Weise genutzt wird. D.h. das verwendete Zertifikat wurde nicht für die E-Mailadresse ausgestellt, welche als Absenderadresse verwendet wurde.

Hier ist berechtigtes Misstrauen angesagt.

Was ist zu tun:

• E-Mail nicht vertrauen und Inhalt ignorieren
• nichts öffnen, anklicken bzw. ausführen
• falls es eine erwartete E-Mail sein könnte, beim Absender über anderen Kanal nachfragen
• Bei bekanntem Absender, diesen darüber informieren

Erstellen Sie sich nicht für jeden E-Mailclient eine neue Zertifikatsdatei.

Sollten Sie einen weiteren E-Mail-Client verwenden, z.B. Laptop/Home-Office, müssen Sie ihr/e Nutzerzertifikat/e auch in diesem installieren. Am besten Sie nehmen Ihre erzeugte Zertifikatsdatei mit, oder Sie erstellen sich in Ihrem bisherigen E-Mail-Client eine Sicherungskopie aller Ihrer persönlichen Nutzerzertifikate und installieren diese Sicherungskopie in Ihrem neuen E-Mail-Client.

Anleitung: https://hu.berlin/nutzerzertifikat-backup

Zertifikate anderer Personen, ob gültig oder ungültig, können Sie im Zertifikatsspeicher Ihres E-Mailclients problemlos löschen. Diese bezieht Ihr E-Mailclient bei Bedarf wieder aus dem HU-Adressbuch (ldap.hu-berlin.de), oder aus einer digital signierten E-Mail des Kommunikationspartners. Vorteil: Sie haben immer das aktuellste Zertifikat Ihres Kommunikationspartners in Ihrem Zertifikatsspeicher.
Achtung: Löschen Sie keine eigenen Zertifikate

Anleitung für Thunderbird

Anleitung für Outlook

Zum versenden verschlüsselter E-Mails bedarf es folgender Voraussetzungen:

1. Sie selbst haben ein eigenes Nutzer*innenzertifikat und haben dies im Zertifikatspeicher in Ihrem E-Mailclient installiert und für die Verwendung ausgewählt. Können Sie selbst prüfen.
   
   
   
   
2. Der Empfänger der verschlüsselten E-Mail besitz auch ein eigenes Nutzer*innenzertifikat.
   
   
3. Sie haben in Ihrem E-Mailclient den öffentlichen Teil (publik Key) des Empfängerzertifikates vorliegen, da dieser für die Verschlüsselung an den Empfänger verwendet wird. Können Sie selbst prüfen.
   
   
   
   Sollte dies nicht der Fall sein, lassen Sie sich vom Empfänger zuvor eine digital signierte E-Mail schicken. Ihr E-Mailclient extrahiert daraus das Zertifikat, speichert es im Zertifikatspeicher und verwendet es für die Verschlüsselung.
   
   Sie können das Empfängerzertifikat auch aus dem HU-Adressbuch (ldap.hu-berlin.de) durch den E-Mailclient automatisch beziehen. HU-Adressbuch einrichten.

Sie können sich über den Self-Service jederzeit ein neues Nutzer*innenzertifikat besorgen und verwenden. Bedenken Sie aber das verschlüsselte E-Mails die mit einem bereits zuvor ausgestelltem Zertifikat verschlüsselt wurden damit nicht gelesen werden können.
Dazu benötigen Sie zwingend die Zertifikatsdatei, inkl. des privaten Schlüssel, welche zu dem Zertifikat gehören mit dem die E-Mail verschlüsselt wurde.

Beachten Sie bitte, dass das neu ausgestellte Zertifikat auch im HU-Adressbuch (ldap.hu-berlin.de) veröffentlicht wird und durch andere für die Verschlüsselung an Sie verwendet werden kann.

Hier gelangen Sie zum Self-Service für ein neues Nutzerzertifikat

https://hu.berlin/nutzerzertifikat

Beim erstellen Ihrer Zertifikatsdatei müssen Sie zum Schutz Ihres privaten Schlüssels ein Kennwort vergeben. Sie haben auf dem entsprechenden Formular die Möglichkeit unterschiedliche Algorithmen auszuwählen (Choose key protection algorithm).
Secure AES256-SHA256 ist das modernste und sicherste Verfahren, kann aber bei einigen Systemen und Anwendungen wie MacOSX, Adobe Acrobat, MS Outlook zu Problem führen. Wenn Sie Ihre Zertifikatsdatei in einem der genannten Anwendungen installieren möchten, verwenden Sie dann lieber das Verfahren Compatible TripleDES-SHA1.

Typische Fehlermeldungen sind:

• Das eingegebene Kennwort ist falsch.“
• Fehler im zugrunde liegenden Sicherheitssystem. Ungültigen Anbietertyp angegeben......
• Aufforderung zum Einstecken einer Smartcard
• Die digitale Datei-ID konnte mit dem Passwort nicht geöffnet werden.....

Lösung:
Erstellen Sie sich in diesem Fall eine neue Zertifikatsdatei und wählen das Verfahren Compatible TripleDES-SHA1, verwenden Sie dann ausschließlich diese neue Zertifikatsdatei in allen Anwendungen.

Alternative:
Wenn Sie die Zertifikatsdatei bereits in Thunderbird installiert haben können Sie sich davon eine Sicherungskopie erstellen und diese dann in den anderen Anwendungen verwenden.

Beim Abschicken des Antragsformulars erscheint die Fehlermeldung "malformed JSON string, neither tag, array, object, number, string or atom, at character offset 0 (before "(end of string)") at /usr/local/www/app/huca/register/register.cgi line .....".

Schließen Sie Ihren Browser komplett, starten diesen neu und melden sich bitte erneut am Antragsformular an. Manchmal genügt auch ein Reload des Browsers.

Bei Outlook kann es vorkommen das beim digitalen signieren von E-Mails ein veralteter Hashalgorithmus (SHA1) verwendet wird. Dies erzeugt möglicherweise bei Empfängern die Thunderbird verwenden einen Fehler bei der Signaturprüfung. "Diese Nachricht enthält eine digitale Signatur, die aber ungültig ist...."

Lösung: Ändern Sie in den Einstellungen zum digitalen Signieren in Outlook den Hashalgorithmus auf SHA 256. Outlook - Datei - Optionen - Trust Center - Einstellungen für das Trust Center - E-Mailsicherheit - Einstellungen.

Subject: Please provide a new certificate

Sie haben eine E-Mail mit diesem Betreff erhalten?

Das sind automatisierte Antworten von sog. S/MIME-Secure-Gateways. Diese ver-/entschlüsseln für hinter diesem Gateway sitzende Empfänger ausgehende und eingehende E-Mails nach bestimmten Kriterien.
Sie haben wahrscheinlich jemandem hinter einem solchen Gateway eine signierte E-Mail geschickt. Das S/MIME Secure-Gateway speichert das Zertifikat aus Ihrer Signatur um es bei o.g. Bedarf für die Verschlüsselung automatisiert zu verwenden.
Das S/MIME-Secure-Gateway hält auch eine Liste mit den Daten der Gültigkeit von allen gespeicherten Zertifikaten und generiert dann eben solche Info.-E-Mail's vor erreichen des Gültigkeitszeitraumes.
Sie müssen nicht unbedingt darauf reagieren, oder Sie schicken dem Empfänger einfach wieder eine signierte E-Mail.