Personenzertifikat erstellen und installieren

no/neinStudierende yes/jaBeschäftigte yes/jaEinrichtungen yes/jastud. Gruppen
Perönliches Zertifikat beantragen

Über den Anbieter Harica können derzeit persönliche Zertifikate (S/Mime) für E-Mail-Ad­res­sen beantragt werden. Diese enthalten einzig die Mailadresse und können daher sinnvoll nur zum digitalen Signieren von E-Mails verwendet werden. Um ein solches E-Mail-Only-Personenzertifikat zu erhalten, müssen Sie die folgenden Schritte durchführen.

 

1. Persönliches Konto anlegen mit der eigenen E-Mail-Ad­res­se für den Login

Wenn noch kein Account bei Harica existiert, muss einer über den Cert-Manager angelegt werden. Klicken Sie dazu unter https://cm.harica.gr auf den Link "Sign Up".

Login Webseite

 

Füllen Sie im Registrierungsformular ausschließlich die Felder "Email address", "Given name" und "Surname" aus sowie die beiden Password-Felder mit einem selbst gewählen Kennwort.

Achtung: In den Feldern "Given name" und "Surname" dürfen nur Buchstaben ohne (!) Umlaute sowie keine (!) Punkte, Bindestriche, Akzente, ... verwendet werden, auch wenn diese eigentlich Teil vom Vornamen oder Nachnamen sind.

 

 

Nach dem Absenden der Formulardaten über den Button "Sign Up" wird eine entsprechende Bestätigungsseite angezeigt, die darüber informiert, dass eine Bestätigungsmail verschickt wurde. Hier ist nichts weiter zu tun.
 

Diese Bestätigungsmail enthält einen Aktivierungslink zum Anklicken.

Bestätigungsemail

 

Es öffnet sich die Aktivierungsseite von Harica, auf der der Aktivierungsbutton angeklickt werden muss.

Ansicht der Aktivierungs-URL im Webbrowser

 

Dadurch wird der persönliche Account bei Harica bestätigt und aktiviert.

Your account has been activated

 

2. Verifikation der E-Mail-Adresse für ein E-Mail-Only-Personenzertifikat

Nach dem Anlegen eines persönlichen Kontos bei Harica, kann man sich mit seiner E-Mail-Adresse und mit dem selbst ausgewählten Kennwort einloggen.

Login in den persönlichen Account

 

Im Dashboard klicken Sie bitte auf das Feld "E-Mail".

Dashborard

 

Dort wählen Sie als Produkt den Zertifikatstyp "Email-only" aus.

Request New Certificate

 

Die E-Mail-Adresse wird dann automatisch ausgefüllt, was Sie mit "Next" bestätigen.

E-Mail only auswählen

 

Die Methode zum Validieren der Adresse per E-Mail muss ebenfalls mit "Next" bestätigt werden.

Auswahl der E-Mailadresse bestätigen

 

Es erfolgt nochmals eine Übersicht des Antrages. Hier muss das Häkchen bei den AGB gesetzt und der Antrag mit "Submit" abgeschickt werden.

Zusammenfassung Antrag E-Mail only mit E-Mailadresse

 

Nach dem Absenden des Antrags wird wieder eine E-Mail zur Verifikation verschickt. Bis zur Bestätigung des Erhalts dieser E-Mail "wartet" der Antrag im Dashboard.

Dashboard - Antrag auf ein Personenzertifikat wartet auf Verifikation der E-Mailadresse

 

In der E-Mail befindet sich ein "Confirm"-Link zum Anklicken. Mit diesem bestätigen Sie, dass die Kontrolle über die E-Mail-Adresse zu haben und dass HARICA für diese ein E-Mail-Only-Zertifikat ausstellen darf.

Verifikation E-Mail der E-Mailadresse vom Personenzertifikat


Der Verifikationslink führt zu einer Webseite, auf der der Validierungsprozess mittels "Confirm"-Button abgeschlossen wird.

Aufruf der Verifikation URL aus der E-Mailadresse vom Personenzertifikat

Das Dashboard zeigt dann die entsprechenden Informationen an.

Verifikation der E-Mailadresse vom Personenzertifikat abgeschlossen

 

3. E-Mail-Only-Personenzertifikat beantragen

Wenn im persönlichen Konto eine verifizierte E-Mail-Adresse vorhanden ist, kann im Dashboard mit einem Klick auf den Button "Enroll your Certificate" die Beantragung gestartet werden.

Dashboard verifizierte E-Mailadresse

 

Im Formular "Certificate Enrollment" muss ...

  • die "Key Size" auf "RSA 4096" angepasst werden,
  • eine Passphrase zur Verschlüsselung vom zukünftigen E-Mail-Only-Personenzertifikat eingegeben werden,
  • die Bestätigung von "I understand that this passphrase is under my sole knowledge and HARICA does not have access to it" angeklickt werden,
  • Klicken sie im Anschluss auf "Enroll Cerificate".

 

Änderung der Key Size auf RSA 4096


Die Erstellung des Zertifikats über den Button "Enroll Certificate" dauert nur wenige Sekunden.

Generierung vom Personenzertifikat

 

4. Herunterladen des erstellten E-Mail Only Personenzertifikats

Im Anschluss steht das E-Mail-Only-Personenzertifikat zum Herunterladen bereit.

Personenzertifikat herunterladen und umbenennen

Nach dem Herunterladen der p12-Zertifikatsdatei muss diese im Download-Ordner gefunden und umbenannt werden. Es ist sinnvoll, das aktuelle Erstellungsdatum und die E-Mail-Adresse in den Dateinamen der p12-Zertifikatsdatei aufzunehmen.

Im Original heißt die p12-Zertifikatsdatei "Certificate.p12". Diese sollte umbenannt werden von "Certificate.p12" in "JahrMonatTag_Name_Certificate.p12". Anschließend muss die Datei aus dem Download-Ordner in einen eigenen Ordner für Personenzertifikate verschoben werden, auf den auch in Zukunft sicher zugegriffen werden kann.

In der Dashboard-Ansicht eines persönlichen Kontos stehen weiterhin alle Personenzertifikate zum Download zur Verfügung.

Dashboard Ansicht der gültigen Personenzertifikate

Anschließend kann das erzeugte Zertifikat in einem E-Mail-Programm zum digitalen Signieren von E-Mails verwendet werden. Bitte beachten Sie die Hinweise zum möglichen Datenverlust.

 

Persönliches Zertifikat zum Signieren verwenden

Das Personenzertifikat wird hauptsächlich zum digitalen Signieren von E-Mail-Nachrichten verwendet. Diese Verwendung ist in allen gängigen E-Mail-Programmen integriert. Dabei wird nach dem Erstellen einer E-Mail die digitale Signatur eingefügt und beim Empfänger diese digitale Signatur überprüft. Dazu muss die Datei mit dem Personenzertifikat im Betriebssystem oder Mailprogramm installiert sein, wie hier  für Thunderbird, Apple iOS und Outlook beschrieben. Die Verwendung von Zertifikaten im Webmailer ist nicht möglich. (Eingehende Mails werden jedoch automatisch auf gültige Signaturen geprüft).

Für die digitale Signatur in PDFs kann ein Personenzertifikat verwendet werden. In allen gängigen PDF-Programmen ist diese Verwendung zum digitalen Signieren eingebaut. Die von uns ausgestellten Personenzertifikate sind für die Verwendung in E-Mails angepasst, daher ist die genaue Prüfung beim Empfänger eines solchen PDFs ohne weitere Absprachen/Dienstanweisungen nicht möglich.

 

Wichtige Hinweise zum möglichen Datenverlust

Mit den für Ihre Mailaddrese generierten persönlichen Zertifikaten können Sie auch verschlüsselte E-Mails empfangen. Bei jedem Zugriff auf eine verschlüsselte E-Mail wird Ihr Zertifikat benötigt. Das bedeutet, dass verschlüsselte E-Mails vollständig und unwiederbringlich verloren sind, wenn Sie jemals die p12-Datei und das dazugehörige Passwort verlieren. Verschlüsselte Mails können auch nicht von Urlaubsvertretungen, Dienstnachfolgern etc. bearbeitet werden, wenn diese nicht über die p12-Datei und das zugehörige Passwort verfügen. Bitte erkundigen Sie sich bei Ihrer Einrichtung, welche Vorkehrungen getroffen werden, um diesem Risiko entgegenzuwirken, insbesondere wenn Sie Archivierungs- oder Revisionspflichten zu erfüllen haben.

Persönliches Zertifikat reparieren

Einige Betriebssysteme und Mailprogramme haben ein Problem mit den aktuellen sicheren Verschlüsselungsmethoden für ein Personenzertifikat. Für den Fall, dass Probleme beim Import in den Zertifikatsspeicher des Betriebssystems auftreten, gibt es eine Anleitung des KIT, wie das Personenzertifikat repariert werden kann. Das KIT hat uns erlaubt, diese Anleitung hier zu verlinken.