Personenzertifikat erstellen und installieren
![]() |
![]() |
![]() |
![]() |
---|
Über den Anbieter Harica können derzeit persönliche Zertifikate (S/Mime) für E-Mail-Adressen beantragt werden. Diese enthalten einzig die Mailadresse und können daher sinnvoll nur zum digitalen Signieren von E-Mails verwendet werden. Um ein solches E-Mail-Only-Personenzertifikat zu erhalten, müssen Sie die folgenden Schritte durchführen.
1. Persönliches Konto anlegen mit der eigenen E-Mail-Adresse für den Login
Wenn noch kein Account bei Harica existiert, muss einer über den Cert-Manager angelegt werden. Klicken Sie dazu unter https://cm.harica.gr auf den Link "Sign Up".
Füllen Sie im Registrierungsformular ausschließlich die Felder "Email address", "Given name" und "Surname" aus sowie die beiden Password-Felder mit einem selbst gewählen Kennwort.
Nach dem Absenden der Formulardaten über den Button "Sign Up" wird eine entsprechende Bestätigungsseite angezeigt, die darüber informiert, dass eine Bestätigungsmail verschickt wurde. Hier ist nichts weiter zu tun.
Diese Bestätigungsmail enthält einen Aktivierungslink zum Anklicken.
Es öffnet sich die Aktivierungsseite von Harica, auf der der Aktivierungsbutton angeklickt werden muss.
Dadurch wird der persönliche Account bei Harica bestätigt und aktiviert.
2. Verifikation der E-Mail-Adresse für ein E-Mail-Only-Personenzertifikat
Nach dem Anlegen eines persönlichen Kontos bei Harica, kann man sich mit seiner E-Mail-Adresse und mit dem selbst ausgewählten Kennwort einloggen.
Im Dashboard klicken Sie bitte auf das Feld "E-Mail".
Dort wählen Sie als Produkt den Zertifikatstyp "Email-only" aus.
Die E-Mail-Adresse wird dann automatisch ausgefüllt, was Sie mit "Next" bestätigen.
Die Methode zum Validieren der Adresse per E-Mail muss ebenfalls mit "Next" bestätigt werden.
Es erfolgt nochmals eine Übersicht des Antrages. Hier muss das Häkchen bei den AGB gesetzt und der Antrag mit "Submit" abgeschickt werden.
Nach dem Absenden des Antrags wird wieder eine E-Mail zur Verifikation verschickt. Bis zur Bestätigung des Erhalts dieser E-Mail "wartet" der Antrag im Dashboard.
In der E-Mail befindet sich ein "Confirm"-Link zum Anklicken. Mit diesem bestätigen Sie, dass die Kontrolle über die E-Mail-Adresse zu haben und dass HARICA für diese ein E-Mail-Only-Zertifikat ausstellen darf.
Der Verifikationslink führt zu einer Webseite, auf der der Validierungsprozess mittels "Confirm"-Button abgeschlossen wird.
Das Dashboard zeigt dann die entsprechenden Informationen an.
3. E-Mail-Only-Personenzertifikat beantragen
Wenn im persönlichen Konto eine verifizierte E-Mail-Adresse vorhanden ist, kann im Dashboard mit einem Klick auf den Button "Enroll your Certificate" die Beantragung gestartet werden.
Im Formular "Certificate Enrollment" muss ...
- die "Key Size" auf "RSA 4096" angepasst werden,
- eine Passphrase zur Verschlüsselung vom zukünftigen E-Mail-Only-Personenzertifikat eingegeben werden,
- die Bestätigung von "I understand that this passphrase is under my sole knowledge and HARICA does not have access to it" angeklickt werden,
- Klicken sie im Anschluss auf "Enroll Cerificate".
Die Erstellung des Zertifikats über den Button "Enroll Certificate" dauert nur wenige Sekunden.
4. Herunterladen des erstellten E-Mail Only Personenzertifikats
Im Anschluss steht das E-Mail-Only-Personenzertifikat zum Herunterladen bereit.
Nach dem Herunterladen der p12-Zertifikatsdatei muss diese im Download-Ordner gefunden und umbenannt werden. Es ist sinnvoll, das aktuelle Erstellungsdatum und die E-Mail-Adresse in den Dateinamen der p12-Zertifikatsdatei aufzunehmen.
Im Original heißt die p12-Zertifikatsdatei "Certificate.p12". Diese sollte umbenannt werden von "Certificate.p12" in "JahrMonatTag_Name_Certificate.p12". Anschließend muss die Datei aus dem Download-Ordner in einen eigenen Ordner für Personenzertifikate verschoben werden, auf den auch in Zukunft sicher zugegriffen werden kann.
In der Dashboard-Ansicht eines persönlichen Kontos stehen weiterhin alle Personenzertifikate zum Download zur Verfügung.
Anschließend kann das erzeugte Zertifikat in einem E-Mail-Programm zum digitalen Signieren von E-Mails verwendet werden. Bitte beachten Sie die Hinweise zum möglichen Datenverlust.
Persönliches Zertifikat zum Signieren verwenden
Das Personenzertifikat wird hauptsächlich zum digitalen Signieren von E-Mail-Nachrichten verwendet. Diese Verwendung ist in allen gängigen E-Mail-Programmen integriert. Dabei wird nach dem Erstellen einer E-Mail die digitale Signatur eingefügt und beim Empfänger diese digitale Signatur überprüft. Dazu muss die Datei mit dem Personenzertifikat im Betriebssystem oder Mailprogramm installiert sein, wie hier für Thunderbird, Apple iOS und Outlook beschrieben. Die Verwendung von Zertifikaten im Webmailer ist nicht möglich. (Eingehende Mails werden jedoch automatisch auf gültige Signaturen geprüft).
Für die digitale Signatur in PDFs kann ein Personenzertifikat verwendet werden. In allen gängigen PDF-Programmen ist diese Verwendung zum digitalen Signieren eingebaut. Die von uns ausgestellten Personenzertifikate sind für die Verwendung in E-Mails angepasst, daher ist die genaue Prüfung beim Empfänger eines solchen PDFs ohne weitere Absprachen/Dienstanweisungen nicht möglich.
Wichtige Hinweise zum möglichen Datenverlust
Mit den für Ihre Mailaddrese generierten persönlichen Zertifikaten können Sie auch verschlüsselte E-Mails empfangen. Bei jedem Zugriff auf eine verschlüsselte E-Mail wird Ihr Zertifikat benötigt. Das bedeutet, dass verschlüsselte E-Mails vollständig und unwiederbringlich verloren sind, wenn Sie jemals die p12-Datei und das dazugehörige Passwort verlieren. Verschlüsselte Mails können auch nicht von Urlaubsvertretungen, Dienstnachfolgern etc. bearbeitet werden, wenn diese nicht über die p12-Datei und das zugehörige Passwort verfügen. Bitte erkundigen Sie sich bei Ihrer Einrichtung, welche Vorkehrungen getroffen werden, um diesem Risiko entgegenzuwirken, insbesondere wenn Sie Archivierungs- oder Revisionspflichten zu erfüllen haben.
Persönliches Zertifikat reparieren
Einige Betriebssysteme und Mailprogramme haben ein Problem mit den aktuellen sicheren Verschlüsselungsmethoden für ein Personenzertifikat. Für den Fall, dass Probleme beim Import in den Zertifikatsspeicher des Betriebssystems auftreten, gibt es eine Anleitung des KIT, wie das Personenzertifikat repariert werden kann. Das KIT hat uns erlaubt, diese Anleitung hier zu verlinken.