|
|||
▸Hinweise für Besucher
TOP LINKS
▸ WUSEL |
Startseite Fachgruppe Mathematik & Informatik >
Information >
IT-Dienste >
Dienste für die Mitarbeiter(innen) >
Zertifikate
kostenlose X.509-Zertifikate für sichere E-Mail beziehungsweise elektronische Dokument-SignaturenFür Mitglieder der Bergischen Universität existiert seit geraumer Zeit die Möglichkeit, kostenlos Zertifikate zum Zwecke abgesicherter E-Mail beziehungsweise zur elektronischen Unterzeichnung von Dokumenten zu erwerben: http://www.zim.uni-wuppertal.de/dienste/email/pki.html weist in Fachchinesisch auf diese Möglichkeit hin. Eigentlich ist es aber ganz einfach: Sie tragen auf der über den Link "S/MIME Zertifikate" erreichbaren Web-Seite Ihre BUW-E-Mail-Adresse, z.B. Vorname.Nachname@math.uni-wuppertal.de und Ihren vollen Namen (inkl. Vornamen), so wie er in Ihrem Ausweis steht (der Ausweis muss vor Aushändigung des Zertifikats im ZIM, Raum P.06.08, Frau Schreiner vorgelegt werden), sowie eine einmal wiederholte maximal sechsstellige PIN, mit deren Hilfe Sie Ihr Zertifikat zukünftig bearbeiten können, ein, klicken auf den "Weiter"-Knopf, erzeugen in Ihrem Web-Browser durch einfachen Klick ein Schlüsselpaar, dessen öffentliche Hälfte an das ZIM übermittelt wird. Außerdem wird Ihr Zertifikatsantrag als pdf-Datei angezeit. Drucken Sie Ihn aus, unterschreiben Sie ihn und nehmen Sie ihn mit zum ZIM. Dort wird dieser mit Ihren Ausweisdaten verglichen und bei Übereinstimmung eine "Beglaubigung" (Zertifikat) ausgestellt, die Sie mit dem bei der Antragstellung erzeugten Schlüsselpaar in der Browser-Zertifikatsdatenbank verlinken. Details zum nötigen Vorgehen dazu bekommen Sie per E-Mail von der pki@uni-wuppertal.de übermittelt: ----------------------------------------------------------------------- "Sehr geehrte Nutzerin, sehr geehrter Nutzer, die Bearbeitung Ihres Zertifizierungsantrags ist nun abgeschlossen. Ihr Zertifikat mit der Seriennummer NNNNNNNN ist auf den Namen CN=Dr. Vorname Nachname,O=Bergische Universitaet Wuppertal,C=DE erstellt worden und im Anhang dieser Mail beigelegt. Sie benötigen die Seriennummer, um Ihr Zertifikat gegebenenfalls sperren zu können. Um Ihr Zertifikat nutzen zu können, müssen Sie alle folgenden Zertifikate in Ihren Browser importieren. Achten Sie darauf, dass Sie die Zertifikate auf dem Rechner importieren, von dem aus Sie den Antrag gestellt haben, weil sich dort der zugehörige Schlüssel befindet. 1. Für die CA-Zertifikate wählen Sie bitte die Seite https://pki.pca.dfn.de:443/uni-wuppertal-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2 und folgen den Anweisungen. 2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link: https://pki.pca.dfn.de:443/uni-wuppertal-ca/cgi-bin/pub/pki?cmd=getcert......e=CERTIFICATE Mit freundlichen Grüßen Ihr PKI-Team der Bergische Universitaet Wuppertal" ------------------------------------------------------------------------ Jetzt besitzen Sie im Browser eine beglaubigte elektronische Identität, ein Zertifikat. Um dieses für E-Mail nutzen zu können, muss es zusammen mit dem zugehörigen privaten Schlüssel vom Browser in Form einer *.p12-Datei zum E-Mail-Programm übertragen werden (siehe etwa: https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=1186). Gehen Sie bitte mit Ihrem privaten Schlüssel genau so sorgfältig wie mit einem Ausweisdokument um: geben Sie ihn NIE an andere weiter, speichern Sie ihn immer verschlüsselt in einer *.p12-Datei ab, widerrufen Sie Ihr Zertifikat, wenn Ihnen Ihr privater Schlüssel abhanden kommt, ... In Ihrem E-Mail-Programm können Sie jetzt sichere E-Mail nutzen (S/MIME):
Was können Sie sonst noch mit Ihrem Zertifikat anfangen? Die leidige immer wieder vorgebrachte Argumentation, dass elektronische Dokumente auch ohne Unterschrift gültig seien, ist ab sofort für Sie hinfällig: Sie können mit Hilfe ihres Zertifikats elektronische Dokumente (*.pdf, *.odt, ...) als eindeutig von Ihnen stammend und seit Unterschrift ungeändert ausweisen, sie signieren. Im Falle von *-pdf-Dateien ist sogar ein beglaubigtes Unterschriftsdatum (ein beglaubigter, überprüfbarer Zeitstempel) verfügbar. (Zur derzeitigen rechtlichen Situation in Deutschland und der EU siehe (7) und (9).) LibreOffice/OpenOffice benutzt automatisch die Firefox-Zertifikatsdatenbank. Sie müssen also lediglich Ihr Dokument speichern, Datei->Digitale Signaturen anwählen, das Master-Passwort der NSS Certificate DB eingeben und das für die Unterschrift zu benutzende Zertifikat auswählen. Als Dokumenteigenschaft erscheint dann z.B.: Digital signiert: 06.09.2012, 09:36:55, Vorname Nachname [Digitale Signatur...] Das Problem dieser Art des Signaturdatums ist, dass es das Datum Ihres Computer-Betriebssystems ist, das evtl. falsch konfiguriert sein kann! Das kann das frei erhältliche und benutzbare Programm JSignPdf (http://jsignpdf.sourceforge.net/) zur Signierung von pdf-Dateien besser, sofern es (und acroread) geeignet konfiguriert wird. Laden Sie dazu die Datei JSignPdf-1.3.9.zip von http://jsignpdf.sourceforge.net/ herunter, entpacken Sie sie und starten Sie mittels "java -jar JSignPdf.jar". Zur Erzeugung einer signierten pdf-Datei füllen Sie aus: ----------------------------------------------------------------- Schlüsselbund: BCPKCS12 [x] Erweiterte Ansicht Schlüsselbunddatei: /home/.../VornameNachname.p12 Schlüsselbund Password: XXXXXXXXXXXXXXXXXXXXXXXXX PDF Datei eingeben: (Pfad der pdf-Datei, die Sie signieren wollen) PDF Encryption: Not encrypted ... Begründung: Autor (oder Mitzeichner, ...) Ort: Bergische Universität Wuppertal, FB C Kontakt: Vorname.Nachname@math.uni-wuppertal.de Zertifizierungsstufe: Keine Veränderungen erlaubt ... [x] Sichtbare Signatur ----------------------------------------------------------------- Nach Anklicken von [TSA/OCSP/CRL] --------------------------------------- [x] Verwenden Zeitstempel-Server TSA URL http://zeitstempel.dfn.de ... [x] CRL Aktivieren --------------------------------------- und nach Anklicken von Einstellungen --------------------------------------- Seite N Links unten X 20.0 Links unten Y 0.0 Rechts oben X 420.0 Rechts oben Y 100.0 Anzeige Nur Beschreibung [x] Acrobat 6 layer mode ... --------------------------------------- und klicken dann auf den Knopf [PDF signieren]: es wird eine mit Ihrem Zertifikat signierte Version Ihrer pdf-Datei erzeugt, wobei der Signaturzeitstempel des DFN-Zeitstempelservers benutzt wird. Bemerkung: Das benutzte acroread muss noch dazu gebracht werden, deutsche Zertifikate und den DFN-Zeitstempelserver als vertrauenswürdig anzusehen. Das geschieht folgendermaßen: acroread starten. Über Document->Manage Trusted Identities->Add Contacts->Browse das mittels z.B. http://www2.math.uni-wuppertal.de/~buhl/index_de.html#oeff DeutscheTelekomRootCA2.crt heruntergeladene deutsche Root-CA-Zertifikat als [x] trusted root [x] Certified Documents zulassen. Analog das mittels z.B. http://www2.math.uni-wuppertal.de/~buhl/index_de.html#oeff dfn-zeitstempel-dienst.crt heruntergeladene dfn-Verein-CA-Services-Zertifikat importieren. Nun werden die signierten pdf-Dokumente als Digital unterschrieben von Vorname Nachname Date: 2012.09.06 11:21:50 MESZ Reason: Autor Location: Bergische Universität Wuppertal, FB C mit sichtbarer Signatur gekennzeichnet als Certified by Vorname Nachname ... No changes are allowed Valid certified document: Document has not been modified since it was certified Signer's identity is valid Signature is timestamped. Signature Details Reason: Autor Location: Bergische Universität Wuppertal, FB C Certificate Details... Last Checked: 2012.09.06 10:59:25 +01'00' Field: Signature1 on Page N ausgewiesen. Die Signatur verleiht darüber hinaus dem signierten Objekt die Eigenschaft der Nichtabstreitbarkeit: "Unwiderruflichkeit (die Sicherstellung, dass der Benutzer nicht frühere Tätigkeiten oder Vereinbarungen abstreiten kann). ... D. h. der Urheber kann nicht bestreiten, dass er das Dokument in der angezeigten Version signiert hat." ( http://www.linguee.de/englisch-deutsch/uebersetzung/non-repudiation.html) Das ist insbesondere beim Signieren von vertragsähnlichen Dokumenten durch alle Vertragsparteien wichtig. Mit Hilfe von JSignPdf und Ihres X.509-Zertifikats können Sie pdf-Dateien auch verschlüsseln, wenn Sie über die öffenlichen Schlüssel aller Adressaten verfügen. Weitere Verwendungsmöglichkeiten des X.509-Zertifikats des ZIM:
Literatur:
|
||