Funktionsumfang
Beschäftigte der Universität Stuttgart können ein persönliches Nutzerzertifikat beantragen.
Nutzerzertifikate (S/MIME) ermöglichen es E-Mails zu signieren oder per E-Mail verschlüsselt zu kommunizieren.
- Signieren von E-Mails: Mit einer elektronischen Signatur wird in der E-Mail-Korrespondenz sichergestellt, dass eine E-Mail vom angegebenen Absender stammt (Nachweis der Authentizität), und dass die E-Mail nicht nachträglich verändert wurde (Nachweis der Integrität). Dies erhöht für Kommunikationspartner das Vertrauen, dass es sich bei einer E-Mail nicht um eine Fälschung handelt.
- Verschlüsseln von E-Mails: Die Verschlüsselung kann eine vertrauliche Kommunikation zwischen zwei Partnern verbessern, sollte aber nur bei erhöhtem Geheimhaltungsbedarf eingesetzt werden und wenn sich sowohl Sender als auch Empfänger der Risiken bewusst sind.
Einschränkungen und Risiken
- Bei Verlust der Zerifikatsinformationen können verschlüsselte E-Mails nicht mehr entschlüsselt und gelesen werden, dies ist insbesondere bei der Archivierung von E-Mails zu beachten.
- Bei der Weitergabe (Weiterleitung, Verschiebung in ein anderes Postfach) von verschlüsselten E-Mails an eine Urlaubsvertretung oder einen Stellennachfolger können diese möglicherweise von dieser Person nicht entschlüsselt werden.
- Eine digitale Signatur erhöht das Vertrauen, dass eine E-Mail vom Nutzungskonto des angegebenen Absenders verschickt wurde. Damit ist aber nicht sichergestellt, dass die E-Mail von der angegebenen Person stammt, wenn beispielsweise der Computer von einem Virus befallen ist oder andere Personen Zugriff auf das Mailkonto haben.
- Dementsprechend schützt Verschlüsselung eine E-Mail auf dem Transportweg vom Rechner des Absenders zum Rechner des Empfängers vor "Abhören" durch Dritte. Falls einer dieser beiden Rechner von einem Virus befallen ist oder die Passwörter anderen Personen bekannt sind, können dennoch unbefugte Dritte Kenntnis der Nachricht erlangen.
- Verschlüsselte E-Mails können vom IZUS/TIK nicht auf Spam und Viren untersucht werden.
Umgang mit Zertifikaten
- Sichere Verwahrung: Grundsätzlich müssen die Zertifikatsinformationen (.p12-Datei und Passwort) sicher gespeichert werden und vor einem unberechtigten Gebrauch geschützt werden. Wenn eine Kompromittierung festgestellt wurde, ist das Zertifikat auf jeden Fall zu sperren. Hierzu benötigen Sie die Sperr-Pin, die Sie bei der Antragerstellung angegeben haben.
- Keine Weitergabe: Zertifikatsinformationen dürfen nur vom Zerifikatsinhaber persönlich genutzt werden, eine Weitergabe, z.B. an eine Urlaubsvertretung ist nicht zulässig.
- Externe Speicherung: Die Zertifikatsinformationen sollten Passwort-geschützt an einem Ort gespeichert werden, auf den Sie auch Zugriff haben, wenn der von Ihnen verwendete Rechner beschädigt, verloren oder ersetzt wird, z.B. auf einem USB-Speicher.
- Dauerhafte Speicherung: Nutzerzertifikate haben aktuell eine Gültigkeit von 3 Jahren. Nach dieser Zeit muss ein neues Zertifikat erstellt werden, das abgelaufene Zertifikat verliert seine Gültigkeit. Um weiterhin auf verschlüsselte E-Mails zugreifen zu können, die mit dem abgelaufenen Zertifikat verschlüsselt wurden, muss das abgelaufene Zertifikat vorhanden sein und verwendet werden. Berücksichtigen Sie auch bei einem Rechnerwechsel, dass Sie auf dem neuen Rechner das abgelaufene Zertifikat wieder installieren müssen.
- Nutzung auf verschiedenen Clients: Wenn Sie mehrere Clients nutzen (PC, Notebook, Tablet), muss das Zertifikat auf allen Clients installiert werden, wenn Sie dort verschlüsselte E-Mails erstellen oder lesen möchten.
Ablauf der Zertifikatserstellung
- Die Antragstellung erfolgt über das Onlineformular auf der Webseite des DFN. Sie erhalten ein ausgefülltes Antrags-PDF als Download.
Eine detaillierte Anleitung finden Sie hier: Beantragung von Nutzerzertifikaten (DFN). - Anschließend ist eine Identifizierung Ihrer Person erforderlich. Diese erfolgt am IZUS/TIK Allmandring 30a. Bitte vereinbaren Sie hierfür einen Termin per E-Mail (pki-support@tik.uni-stuttgart.de). Bringen Sie das Antrags-PDF und ein gültiges Ausweisdokument mit.
- Nach der Identifizierung wird das Zertifikat bestätigt und Sie erhalten per E-Mail weitere Informationen zum Download Ihres Zertifikates.
Anleitungen
Häufig gestellte Fragen
Aktuell ist ein Nutzerzertifikat 3 Jahre gültig.
Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats zustimmen, wird dieses zum Verzeichnisdienst der DFN-PKI hinzugefügt, der im Internet frei zugänglich ist. Der Vorteil einer Veröffentlichung besteht darin, dass jeder, der Ihnen eine verschlüsselte E-Mail senden möchte, dies leicht tun kann, da das entsprechende Zertifikat frei verfügbar ist. Da Nutzerzertifikate den Namen und die E-Mail Adresse des Zertifikatnehmers enthalten, sind diese Daten bei einer Zustimmung zur Veröffentlichung frei verfügbar.
Die Veröffentlichung eines Nutzerzertifikats ist vergleichbar mit einer Telefonnummer, die Sie in ein öffentliches Telefonverzeichnis eintragen lassen können. Stimmen Sie der Eintragung zu, so kann jeder (ob gewünscht oder ungewünscht) Sie ohne vorherige Kontaktaufnahme telefonisch erreichen.
Bitte beachten Sie:
- Sie können Ihre Zustimmung zur Veröffentlichung Ihres Zertifikats jederzeit mit Wirkung für die Zukunft durch eine E-Mail an dfnpca@dfn-cert.de widerrufen. Nennen Sie uns in der E-Mail bitte die Seriennummer des Zertifikats und die ausstellende Zertifizierungsstelle. Diese Informationen sind aus den Zertifikatdetails ersichtlich.
- Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats nicht zustimmen, kann dies nachträglich nicht geändert werden. Sie müssen dann ein neues Zertifikat beantragen und dafür der Veröffentlichung zustimmen.