Zertifizierungsinstanz FHWS-CA 3 innerhalb der DFN-PKI
Die Fachhochschule Würzburg-Schweinfurt nimmt mit einer eigenen Zertifizierungsstelle (kurz FHWS-CA 3) an der neuen DFN-PKI Hierarchie zur Ausstellung von Zertifikaten auf Basis des X.509 Standards teil. Der technische Betrieb der Zertifizierungsstelle (Certificate Authority, CA) ist an den DFN-Verein ausgelagert. Die Zertifizierungsstelle wird von der DFN-PCA auf dem Sicherheitsniveau GLOBAL betrieben.
Die Bearbeitung eines Zertifikatantrags und Identifizierung der Antragsteller erfolgt durch die Registrierungsstelle (Registration Authority, RA) des Rechenzentrums. Zertifikatanträge können nur von Angehörigen und Mitarbeitern der Fachhochschule Würzburg-Schweinfurt angenommen werden.
Durch die FHWS-CA 3 können folgende X.509-Zertifikate ausgestellt werden:
- Serverzertifikate
- Benutzerzertifikate (vorerst nur für Bedienstete und Professoren der Fachhochschule))
Wurzelzertifikat
Zertifikat ist dann nötig, wenn mit einem Browser sichere Verbindungen (https:// ...) z. Bsp. zu unserem Mailserver aufgebaut werden. Ohne Zertrifikat erscheinen Warnmeldungen, dass die Verbindung nicht vertrauenswürdig ist.
Das in der neuen Hierarchie verwendete Wurzelzertifikat der Deutsche Telekom Root CA 2 ist bereits in aktuellen Windowsversionen integriert. Anwendungen, welche die von Windows bereitgestellten Mechanismen zur Zertifikatsverwaltung nutzen, können somit direkt die Gültigkeit eines unter der neuen Hierarchie ausgestellten Zertifikats überprüfen. Dies betrifft z.B. den Windows Internet Explorer, Outlook und Outlook-Express. Weitere Produkte werden folgen. In Anwendungen mit einer eigenen Zertifikatsverwaltung bzw. alternativen Betriebssystemen muss das neue Wurzelzertifikat manuell eingespielt werden.
Um das neue Wurzelzertifikat zu importieren, genügt es bei Browsern (z.B. Firefox, Konqueror, ...) in der Regel der Reihe nach die unten aufgeführten Links im Browser zu öffnen und die Dialoge der Reihe nach abzuarbeiten. Für sonstige Anwendungen muss das jeweilige Zertifikat als Datei auf den Rechner heruntergeladen und über die jeweiligen Konfigurationsdialoge der jeweiligen Anwendung in diese importiert werden.
Beim Import des Wurzelzertifikats ist darauf zu achten, dass der beim Import angezeigte Fingerprint des Zertifikats korrekt ist! Nur bei einem passenden Fingerprint können Sie sicher sein, dass es sich um das korrekte Zertifikat handelt. Je nachdem, wem Sie bei der Überprüfung dieser Fingerprints vertrauen wollen, verlassen Sie sich auf die Angaben unten, sehen auf der Homepage des Ausstellers nach oder kontaktieren Sie den Aussteller direkt und erfragen den Fingerprint.
In den jeweiligen Dialogen müssen Sie angeben, dass Sie der neuen Zertifizierungsstelle vertrauen. Dazu ist es z.B. bei Mozilla Firefox notwendig, dieses Vertrauen durch explizites Setzen von Häckchen für die möglichen Einsatzgebiete zu bestätigen:
- Dieser CA vertrauen, um Webseiten zu identifizieren.
- Dieser CA vertrauen, um E-Mails zu identifizieren.
- Dieser CA vertrauen, um Software-Entwickler zu identifizieren.
Anleitung zum Import des Wurzelzertifikat und der Zertifikate der DFN-PCA und FHWS-CA 3 :
Hinweis:
Nur nötig, wenn das Wurzelzertifikat der Deutsche Telekom Root CA 2 nicht bereits vom Hersteller des Browsers integriert ist. Bei MS Internet Explorter also nicht erforderlich, hingegen bei Morzilla Firefox (zur Zeit noch) notwendig. Die nachfolgenden Hardcopies wurden bei Import nach Firefox erzeugt.
Aufruf der Webseite der FHWS-CA 3.
Gehen Sie dazu auf die Punkte "CA-Zertifikate" und dann auf "Wurzelzertifikat". Im neuen Fenster sollten Sie zuerst die Fingerprints des zu importierenden Zertifikats mit denen unterhalb dieser Anleitung aufgeführten vergleichen, indem Sie auf die Schaltfläche "Ansicht" gehen. Stimmen diese überein, setzen Sie im vorherigen Fenster alle 3 Häkchen, um diesem Zertifikat zu vertrauen. Bestätigen Sie schließlich mit einem Klick auf die Schaltfläche "OK".
Wurzelzertifikat Teil2
Führen Sie diese Schritte noch zweimal aus, mit dem Unterschied, dass Sie nun anstelle des "Wurzelzertifikats" das "DFN-PCA Zertifikat" und schließlich das "FHWS-CA3 - Zertifikat" anwählen.
Die Fingerprints der einzelnen Zertifikate lauten:
für das Wurzelzertifikat der Deutschen Telekom AG (Gültigkeit: 9.7.1999 - 10.7.2019)
MD5 Fingerprint = 74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08
SHA1 Fingerprint = 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF
für das Zertifikat der DFN-PKI (Gültigkeit: 19.12.2006 - 1.7.2019)
MD5 Fingerprint = CA:5A:00:CF:78:D1:4B:A7:E1:7F:DE:59:67:71:3A:BC
SHA1 Fingerprint = F0:28:8F:DA:C6:3A:F7:9A:31:9A:E9:72:F3:95:09:0E:A3:EF:E9:45
für das Zertifikat der FHWS-CA 3 (Gültigkeit: 11.01.2008 - 30.06.2019)
MD5 Fingerprint =
SHA1 Fingerprint = 17 2f 84 2c ad 0e ce 7c 4b 87 65 11 2b b5 ec a6 d0 d0 65 89
Benutzerzertifikate
Diese sind zum Verschlüsseln von E-Mails nötig. Dabei wird ein Schlüsselpaar erzeugt, ein privater und ein öffentlicher Schlüssel. Wir empfehlen die Durchführung der Zertifizierung mit dem MS Internet Explorer.
Hintergrund:
Die Schlüssel werden immer lokal in einem Zertifikatsspeicher auf dem Rechner und in dem Browser abgelegt, mit dem die Zertifizierung durchgeführt wird. Verwendet man den MS Internet Explorer, dann werden die Schlüssel im MS-Zertifikatsspeicher abgelegt. Auf diesen Speicher kann dann beispielsweise MS Outlook bei der Verschlüsselung von Mails direkt zugreifen.
Wird die Zertifizierung mit Firefox durchgeführt, dann werden die Schlüssel im Zertifikatsspeicher von Firefox abgelegt. Um diese dann beispielsweise mit MS Outlook verwenden zu können, müssen sie aus dem Firefox-Zertifikatsspeicher exportiert und in den MS-Zertifikatsspeicher importiert werden.
Anleitung zur Beantragung und zum Import eines Benutzerzertifikats:
(Vorerst nur für Bedienstete und Professoren der FH, nicht für Studierende)
Gültigkeitsdauer: 3 Jahre
Da die Vorgehensweise etwas umfangreicher ist, verfahren Sie bitte nach unserer PDF-Anleitung.
Bei der Ausführung der einzelnen Schritte benötigen Sie wiederum den Link zur Webseite der FHWS-CA 3.
Verschlüsselung einer Email
Aus Vereinfachungsgründen wird hier die Verschlüsselung von E-Mails beschrieben, die mittels MS Outlook zwischen Partnern verschickt werden, die über die Zertifizierungsstelle FHWS-CA 3 ihr Zertifikat ausgestellt bekommen haben.
Voraussetzung also: Zertifikat über FHWS-CA 3, wie oben beschrieben und Verwendung der Mailsoftware MS Outlook am Exchange-Server der FH.
Hintergrundinformation: Verschlüsselungsmethodik
Der öffentliche Schlüssel aller Benutzer, die die Zertifizierung über FHWS-CA 3 durchgefühert haben, ist auf einem zentralen Server hinterlegt und wird von Outlook automatisch geladen, wenn an einen Partner eine verschlüsselte E-Mail verschickt werden soll.
Outlook aufrufen
Neue Mail
Verschlüsselungsbutton aktivieren
Alternativ über das Optionen-Menü:
Optionen - Weitere Optionen - Sicherheitseinstellungen - Haken setzen bei " Nachrichten und Anlagen verschlüssen"
Der Empfänger erkennt eine verschlüsselte Mail an dem "Schloss-Symbol", die Vorschau wird unterdrückt.
Ende
Hier finden Sie eine Beschreibung, wie Sie verschlüsselte E-Mails an den erweiterten Benutzerkreis des DFN-PCA verschicken können, also an alle Partner, die sich über den DFN-Verein Zertifikate haben ausstellen lassen, und wie Sie den öffentlichen Schlüssel eines "fremden" Partners (außerhalb von DFN-PCA) beziehen können.