Humboldt-Universität zu Berlin - Computer- und Medienservice

FAQ / Anleitungen

Informationen rund um Nutzer*innenzertifikate und deren Verwendung
  • Was ist eine Zertifikatsdatei, was mache ich damit

    Eine Zertifikatsdatei (certxxxxxxxx.p12) ist ein Container (pkcs#12) bestehend aus Ihrem privatem Schlüssel und einem, durch eine Zertifizierungsinstanz signierten öffentlichen Schlüssel, Ihrem Zertifikat. Dieses Zertifikat bestätigt mind. eine E-Mailadresse der Humboldt-Universität zu Berlin und die Zugehörigkeit zur HU-Berlin, sowie i.d.R. Ihren Namen.

    Das Zertifikat wird benutzt um durch Sie erstellte digitale Signaturen zu prüfen und ist erforderlich um für Sie verschlüsselte Nachrichten zu erstellen.

    Der private Schlüssel wird nur durch Sie verwendet, um digitale Signaturen zu erstellen und für Sie verschlüsselte Nachrichten zu entschlüsseln. Deshalb ist es wichtig Ihren privaten Schlüssel durch ein Passwort zu schützen.

    Nach der Installation Ihrer Zertifikatsdatei in Ihrem E-Mailclient können Sie mit dem enthaltenen Zertifikat und Ihrem privatem Schlüssel digitale Signaturen erstellen und für Sie verschlüsselte E-Mails entschlüsseln und lesen.

    Sie sind für die sichere Aufbewahrung Ihrer Zertifikatsdatei und des Passwortes selbst verantwortlich, verwenden Sie einen sicheren Speicherort.

  • Woher bekomme ich meine Zertifikatsdatei und wie mache ich das

    Sie können sich im Self-Service nach Anmeldung mit Ihrem HU-Account und Passwort ein Nutzer*innenzertifikat (Zertifikatsdatei) erstellen.

    Nach dem anmelden am Antragsformular, können Sie optional weitere Aliase ihrer E-Mailadresse eingeben indem Sie über den Plusbutton weitere Eingabefelder erzeugen. Beachten Sie die Hinweise auf dem Antragsformular und die dortige Anleitung zum Download und zur Installation Ihrer Zertifikatsdatei.
    Ein weiterer Identifizierungsprozess ist nicht erforderlich.

    Zum Self-Service:

    https://hu.berlin/nutzerzertifikat -> Antragsformular

  • Ich habe meine Zertifikatsdatei, gibt es Installationsanleitungen

    Hauptsächlich verwenden Sie Ihr Zertifikat zum digitalen Signieren und Ver-/Entschlüsseln im E-Mailclient.
    Hier gibt es Anleitungen für:

    Thunderbird

    Outlook

    AppleMail

    Sie müssen Ihr Zertifikat in allen E-Mailclients installieren die Sie nutzen möchten.

     

    Die Verwendung des Zertifikates zum Signieren z.B. in PDF-Dokumenten ist technisch möglich, erfordert aber einen hohen Konfigurationsaufwand beim Signierer und beim Signaturprüfer. Verwenden Sie dies möglichst nur für interne überschaubare Prozesse.

    Adobe Acrobat

  • Empfehlungen zum Signieren und Verschlüsseln von E-Mails

    Dringende Empfehlung: Signieren Sie alle ausgehenden E-Mails.
    Das lässt sich leicht als Standard einstellen und ist ein bedeutender Beitrag zur IT-Sicherheit mit geringem Aufwand. Digitale Signaturen in E-Mails schaffen Vertrauen in der elektronischen Kommunikation, Änderungen und Verfälschungen in E-Mails werden dadurch erkannt. Durch sie wird der Absender/Absenderadresse einer E-Mail zweifelsfrei identifizierbar. Empfänger können die Signatur prüfen und so entscheiden, ob sie den eingehenden E-Mails vertrauen.
    Phishing-Angriffe und Erpressungsversuche haben deutlich weniger Erfolgschancen, diese kommen i.d.R. ohne gültiger Signatur. Wenn sich digital signierte E-Mails als Standard etablieren, fallen unsignierte E-Mails leichter auf und ihnen kann eine erhöhte Aufmerksamkeit gegeben werden.

    Informationen zum Signieren und wie Sie vorgehen ist hier beschrieben.

     

    Verschlüsseln Sie E-Mails nur bei wirklichen Anforderungen
    (Datenschutz, IT-Sicherheitsbedarf, Informationschutz).
    Die E-Mailverschlüsselung nur bei der Übermittlung von schützenswerten Informationen einsetzen. Unnötig verschlüsselte E-Mail können zu erhöhtem Aufwand führen, wenn z.B. das Nutzerzertifikat auf einem mobilen Gerät nicht installiert ist und man diese nicht lesen kann, oder wenn mit geteilten Mailboxen/Mailordnern gearbeitet wird.
    Wenn E-Mailverschlüsselung eingesetzt wird, dann nur in Verbindung mit digitaler Signatur! Verschlüsselte E-Mails werden von Virenscannern nicht behandelt und könnten u.a. Schadsoftware enthalten. Verschlüsselte E-Mails erwecken den Eindruck „verschlüsselt - alles sicher“, wenn sie aber von unbekannter Herkunft sind kann das gefährlich sein.
    Verschlüsselte E-Mails belegen etwa den dreifachen Speicherplatz in Mailboxen.

    Informationen wie Sie die Verschlüsselung verwenden

  • Woran erkenne ich eine gültige / ungültige E-Mail-Signatur

    Je nach verwendetem E-Mailprogramm, wird eine gültige Signatur an der E-Mail auf unterschiedliche Weise dargestellt. Manchmal wird Ihnen dabei auch der Herausgeber des Zertifikats angezeigt. Je nach Ausstellungsdatum des Zertifikats treten zurzeit als Herausgebernamen "DFN-Verein Global Issuing CA" oder auch "GEANT Personal CA4" auf.

    Thunderbird

    Thunderbird zeigt bei korrekt signierten Mails je nach Version einen versiegelten Briefumschlag oder nur ein Siegelsymbol mit dem Vermerk S/MIME an.
    Durch Klicken auf dieses Siegel können Sie weitere Informationen zum verwendeten Zertifikat, wie den Aussteller des Zertifikates, der bestätigten/zertifizierten E-Mailadresse und den Namens des Zertifikatnutzers erhalten:

    Signatur-Thunderbird.jpg

     

    Outlook

    Outlook stellt die gültige Signatur durch ein kleines rotes Siegelsymbol neben der Mail dar. Wenn Sie auf Details klicken können Sie sich zusätzliche Informationen anzeigen lassen, z.B. wann die Signatur erstellt wurde u.a.

     

    Signatur-Outlook.jpg

     

    Signatur nicht gültig

    Signatur-ungültig-TB.jpg  Signatur-ungültig-Outlook.jpg

    Wenn eine digitale Signatur als nicht gültig markiert ist, kann dies viele Ursachen haben. Auch hier können Sie sich über Details mögliche Gründe für die Ungültigkeit anzeigen lassen.
    Beispielsweise kann der Gültigkeitszeitraum des Zertifikats abgelaufen sein, oder es wurde von der ausgebenden Zertifizierungsstelle (CA) widerrufen.

    Einen speziellen Fall der bei der Verwendung von Outlook auftritt finden Sie hier beschrieben.

    Ebenso kann es sein das der Inhalt des Nachrichtentextes in der E-Mail verfälscht wurde.

    Es kann aber auch sein, dass die E-Mailadresse unberechtigter Weise genutzt wird. D.h. das verwendete Zertifikat wurde nicht für die E-Mailadresse ausgestellt, welche als Absenderadresse verwendet wurde.

    Hier ist berechtigtes Misstrauen angesagt.

    Was ist zu tun:

    • E-Mail nicht vertrauen und Inhalt ignorieren
    • nichts öffnen, anklicken bzw. ausführen
    • falls es eine erwartete E-Mail sein könnte, beim Absender über anderen Kanal nachfragen
    • Bei bekanntem Absender, diesen darüber informieren
  • Ich verwende einen weiteren E-Mail-Client im Home-Office

    Sollten Sie einen weiteren E-Mail-Client verwenden, z.B. Laptop/Home-Office, müssen Sie ihre Nutzerzertifikate auch in diesem installieren. Am besten Sie nehmen Ihre erzeugte Zertifikatsdatei mit, oder Sie erstellen sich in Ihrem bisherigen E-Mail-Client eine Sicherungskopie aller Ihrer persönlichen Nutzerzertifikate und installieren diese Sicherungskopie in Ihrem neuen E-Mail-Client.

    Anleitung: https://hu.berlin/nutzerzertifikat-backup

  • Kann ich RoundCube oder SquirrelMail zum Signieren und Verschlüsseln verwenden

    Nein, mit unseren Webmailern können Sie weder digital Signieren noch Verschlüsseln. Dafür müssen Sie einen S/MIME-fähigen E-Mailclient wie Thunderbird, Outlook oder AppleMail benutzen.

  • Wie lange ist mein Zertifikat gültig

    Nutzer*innenzertifikate die ab dem 01.09.2023 ausgestellt werden haben eine Gültigkeit von 730 Tagen. Sie werden 2 mal vor Ablauf der Gültigkeit Ihres Zertifikates (15/30 Tage) per E-Mail daran erinnert. Die E-Mail enthält im Betreff "Ihr Zertifikat ausgestellt für (Ihr Name, oder E-Mailadresse) wird in Kürze ungültig". Sie können dann über den in der E-Mail enthaltenen Link ein neues Zertifikat beantragen.

  • Soll ich meine eigenen abgelaufenen Zertifikate löschen

    Auf keinen Fall. Belassen Sie unbedingt auch Ihre bereits abgelaufenen/ungültigen persönlichen Zertifikate im Zertifikatspeicher Ihres E-Mailclients damit Sie auch später noch verschlüsselte E-Mails lesen können die mit diesen Zertifikat(en) verschlüsselt wurden.

  • Kann ich Zertifikate von anderen Personen löschen

    Zertifikate anderer Personen, ob gültig oder ungültig, können Sie im Zertifikatsspeicher Ihres E-Mailclients problemlos löschen. Diese bezieht Ihr E-Mailclient bei Bedarf wieder aus dem HU-Adressbuch (ldap.hu-berlin.de), oder aus einer digital signierten E-Mail des Kommunikationspartners. Vorteil: Sie haben immer das aktuellste Zertifikat Ihres Kommunikationspartners in Ihrem Zertifikatsspeicher.
    Achtung: Löschen Sie keine eigenen Zertifikate

    Anleitung für Thunderbird

    Anleitung für Outlook

  • Ich kann keine verschlüsselte E-Mail verschicken

    Zum versenden verschlüsselter E-Mails bedarf es folgender Voraussetzungen:

    1. Sie selbst haben ein eigenes Nutzer*innenzertifikat und haben dies im Zertifikatspeicher in Ihrem E-Mailclient installiert und für die Verwendung ausgewählt. Können Sie selbst prüfen.

      Zertifikat-auswählen.jpg

    2. Der Empfänger der verschlüsselten E-Mail besitz auch ein eigenes Nutzer*innenzertifikat.

    3. Sie haben in Ihrem E-Mailclient den öffentlichen Teil (publik Key) des Empfängerzertifikates vorliegen, da dieser für die Verschlüsselung an den Empfänger verwendet wird. Können Sie selbst prüfen.

      Zertifikat-Empfänger.jpg

      Sollte dies nicht der Fall sein, lassen Sie sich vom Empfänger zuvor eine digital signierte E-Mail schicken. Ihr E-Mailclient extrahiert daraus das Zertifikat, speichert es im Zertifikatspeicher und verwendet es für die Verschlüsselung.

      Sie können das Empfängerzertifikat auch aus dem HU-Adressbuch (ldap.hu-berlin.de) durch den E-Mailclient automatisch beziehen. HU-Adressbuch einrichten.

     

  • kann ich mir eine neues Zertifikat besorgen

    Sie können sich über den Self-Service jederzeit ein neues Nutzer*innenzertifikat besorgen und verwenden. Bedenken Sie aber das verschlüsselte E-Mails die mit einem bereits zuvor ausgestelltem Zertifikat verschlüsselt wurden damit nicht gelesen werden können.
    Dazu benötigen Sie zwingend die Zertifikatsdatei, inkl. des privaten Schlüssel, welche zu dem Zertifikat gehören mit dem die E-Mail verschlüsselt wurde.

    Beachten Sie bitte, dass das neu ausgestellte Zertifikat auch im HU-Adressbuch (ldap.hu-berlin.de) veröffentlicht wird und durch andere für die Verschlüsselung an Sie verwendet werden kann.

    Hier gelangen Sie zum Self-Service für ein neues Nutzerzertifikat

    https://hu.berlin/nutzerzertifikat

  • angeblich falsche PIN, meine Zertifikatsdatei läßt sich nicht installieren

    Beim erstellen Ihrer Zertifikatsdatei müssen Sie zum Schutz Ihres privaten Schlüssels ein Kennwort vergeben. Sie haben auf dem entsprechenden Formular die Möglichkeit unterschiedliche Algorithmen auszuwählen (Choose key protection algorithm).
    Secure AES256-SHA256 ist das modernste und sicherste Verfahren, kann aber bei einigen Systemen und Anwendungen wie MacOSX, Adobe Acrobat, MS Outlook zu Problem führen. Wenn Sie Ihre Zertifikatsdatei in einem der genannten Anwendungen installieren möchten, verwenden Sie dann lieber das Verfahren Compatible TripleDES-SHA1.

    Typische Fehlermeldungen sind:

    • Das eingegebene Kennwort ist falsch.“
    • Fehler im zugrunde liegenden Sicherheitssystem. Ungültigen Anbietertyp angegeben4
    • Aufforderung zum Einstecken einer Smartcard
    • Die digitale Datei-ID konnte mit dem Passwort nicht geöffnet werden.....

    Lösung:
    Erstellen Sie sich in diesem Fall eine neue Zertifikatsdatei und wählen das Verfahren Compatible TripleDES-SHA1, verwenden Sie dann ausschließlich diese neue Zertifikatsdatei in allen Anwendungen.

    Alternative:
    Wenn Sie die Zertifikatsdatei bereits in Thunderbird installiert haben können Sie sich davon eine Sicherungskopie erstellen und diese dann in den anderen Anwendungen verwenden.

  • Fehlermeldung am Antragsformular "malformed JSON string ..."

    Beim Abschicken des Antragsformulars erscheint die Fehlermeldung "malformed JSON string, neither tag, array, object, number, string or atom, at character offset 0 (before "(end of string)") at /usr/local/www/app/huca/register/register.cgi line .....".

    Schließen Sie Ihren Browser komplett, starten diesen neu und melden sich bitte erneut am Antragsformular an. Manchmal genügt auch ein Reload des Browsers.

  • E-Mail von Outook mit ungültige Signatur

    Bei Outlook kann es vorkommen das beim digitalen signieren von E-Mails ein veralteter Hashalgorithmus (SHA1) verwendet wird. Dies erzeugt möglicherweise bei Empfängern die Thunderbird verwenden einen Fehler bei der Signaturprüfung. "Diese Nachricht enthält eine digitale Signatur, die aber ungültig ist...."

    ungültige Signatur von Outlook.jpg

    Lösung: Ändern Sie in den Einstellungen zum digitalen Signieren in Outlook den Hashalgorithmus auf SHA 256. Outlook - Datei - Optionen - Trust Center - Einstellungen für das Trust Center - E-Mailsicherheit - Einstellungen.

    Outlook-Signaturhash.jpg

  • Die PKCS#12-Operation ist aus unbekannten Gründen fehlgeschlagen / Das eingegebene Passwort war falsch

    Die Thunderbird Fehlermeldung "Die PKCS#12-Operation ist aus unbekannten Gründen fehlgeschlagen" / "Das eingegebene Passwort war falsch" deutet in der Regel darauf hin, dass das von Ihnen eingegebene Passwort bei der Installation Ihrer Zertifikatsdatei falsch ist.

    Wenn Sie das Passwort nicht mehr kennen müssen Sie sich über den Self-Service ein neues Nutzer*innenzertifikat besorgen und verwenden. Bedenken Sie aber das verschlüsselte E-Mails die mit einem bereits zuvor ausgestelltem Zertifikat verschlüsselt wurden damit nicht gelesen werden können.
    Dazu benötigen Sie zwingend die Zertifikatsdatei, inkl. des privaten Schlüssel, welche zu dem Zertifikat gehören mit dem die E-Mail verschlüsselt wurde.

  • Betreff: Bitte stellen Sie ein neues Zertifikat zur Verfügung

    Subject: Please provide a new certificate

    Sie haben eine E-Mail mit diesem Betreff erhalten?

    Das sind automatisierte Antworten von sog. S/MIME-Secure-Gateways. Diese ver-/entschlüsseln für hinter diesem Gateway sitzende Empfänger ausgehende und eingehende E-Mails nach bestimmten Kriterien.
    Sie haben wahrscheinlich jemandem hinter einem solchen Gateway eine signierte E-Mail geschickt. Das S/MIME Secure-Gateway speichert das Zertifikat aus Ihrer Signatur um es bei o.g. Bedarf für die Verschlüsselung automatisiert zu verwenden.
    Das S/MIME-Secure-Gateway hält auch eine Liste mit den Daten der Gültigkeit von allen gespeicherten Zertifikaten und generiert dann eben solche Info.-E-Mail's vor erreichen des Gültigkeitszeitraumes.
    Sie müssen nicht unbedingt darauf reagieren, oder Sie schicken dem Empfänger einfach wieder eine signierte E-Mail.