Zertifikate

Wichtige Änderung!

Wegen einiger Sicherheitsvorfälle wurde vom DFN-Cert die Video-Identisprüfungen untersagt. Im Moment können wir also nur noch persönliche Identitätsprüfungen vor Ort durchführen. Verlängerungsanträge können mit dem bestehenden Zertifikat signiert werden. Dazu ist keine weitere Identifizierung erforderlich.

Wir bauen gerade ein neues Verfahren zur Zertifikatausgabe auf. Sobald die Testphase abgeschlossen ist, wird dieses das bisherige Verfahren ablösen.

Zertifikat beantragen

Persönliche Zertifikate

Persönliche Zertifikate (Nutzerzertifikate) können zum Signieren von E-Mails oder zum Signieren von PDF-Dokumenten  verwendet werden.

Nutzerzertifikat anfordern

Gruppenzertifikat

Gruppenzertifikate können zum Signieren von E-Mails verwendet werden, die über Funktionsemailadressen verschickt werden. (persönliches Zertifikat erforderlich)

Gruppenzertifikat anfordern

Serverzertifikat

Serverzertifikate dienen der Serverauthentifizierung. (persönliches Zertifikat erforderlich)

Serverzertifkat beantragen

Erneuerung von Zertifikaten

Wenn ein Zertifikat abläuft, erhalten Sie eine automatisch generierte E-Mail vom DFN. Auf den Text dieser E-Mail haben wir keinen Einfluß.

Beantragen Sie bitte wie beschrieben das neue Zertifikat und laden dieses wie beim ersten Antrag über die Webseite 'Identitätsprüfung für Nutzerzertifikate' hoch. Wenn die letzte Überprüfung noch keine 39 Monate her ist, signieren Sie den neuen Antrag mit ihrem bisherigen Zertifikat (siehe Anleitung). Es muss dann keine erneute Identitätsprüfung durchgeführt werden.

Bitte beachten

  • Die Zertifizierungsstelle der UDE 'Uni-DUE CA' vergibt nur Zertifikate  für den Namensraum uni-due.de bzw. uni-duisburg-essen.de.
  • Bei persönlichen Zertifikaten muss eine Identitätsprüfung erfolgen. Diese kann bei verschiedenen Kollegen:innen oder an einer der Registrierungsstellen erfolgen, siehe Identitätsprüfung.
  • Bei Gruppenzertifikaten und Serverzertifikaten erfolgt die Identitätsprüfung über die digitale Signatur des Antrages mit Ihrem persönlichen Zertifikat.

Zertifkat - Wofür?

Alle Angehörige der UDE können persönliche Zertifikate (Nutzerzertifikate), Gruppenzertifikate und Server-Zertifikate beantragen.

  • Persönliche Zertifikate können zum Signieren von E-Mails oder zum Signieren von PDF-Dokumenten  verwendet werden.
    Damit kann sichergestellt werden, dass eine E-Mail wirklich von einem bestimmten Absender versandt und nicht auf dem Transportweg verfälscht worden ist.
    Mit einer zertifikatsbasierten Signatur können Sie die Echtheit eines PDF-Dokumentes bestätigen. Öffnet der Empfänger das Dokument, wird die Signatur verifiziert. So kann der Empfänger auch erkennen, ob das Dokument nach dem Signieren verändert wurde.
    Sie können mit einem persönlichen Zertifikat auch Ihre E-Mails verschlüsseln.
  • Gruppenzertifikate können zum Signieren von E-Mails verwendet werden, die über Funktionsemailadressen verschickt werden.
  • Serverzertifikate dienen der Serverauthentifizierung.
    Die Verifikation des Server-Zertifikates ist die einzige Möglichkeit, sicher zu stellen, dass man wirklich mit dem Server verbunden ist, dessen Adresse man angewählt hat. Es gibt viele Möglichkeiten, Zugriffe auf andere Server umzuleiten. Da aber nur der "echte" Server das richtige Zertifikat präsentieren kann, soll bei allen Imitaten eindringlich gewarnt werden.
     

​Das Web-Formular für die Beantragung liegt auf einem Server des DFN-Vereins, der hier als Dienstleister für die Universität als Mitglied des Vereins fungiert. Bearbeitet werden die Anträge aber von Mitarbeiter/innen des ZIM.

Anleitungen

Hintergrundinformationen

Zertifizierungstellen

Zertifizierungstelle an der UDE

Die Sicherheit dieses Verfahrens steht und fällt mit der Zuverlässigkeit der Zertifizierungsstellen, die die Serverzertifikate ausstellen. Diese prüfen sorgfältig, ob der Antragsteller zu der Firma oder Einrichtung gehört, für die er ein Zertifikat beantragt. Das versichern sie dann per digitaler Unterschrift im ausgestellten Zertifikat.

Um diese Sicherheit gewährleisten zu können, dürfen  nur bestimmte Personen die Anträge prüfen.

Übergeordnete Zertifizierungstelle

Die Zertifikate werden von der übergeordneten Zertifizierungstelle der 'DFN-PKI' ausgestellt.

Die 'Uni-DUE CA' wird im Sicherheitsniveau „Global“ betrieben.  Das Wurzelzertifikat ist in Windows Betriebssystemen und damit in allen Microsoft-Anwendungen vorinstalliert.

Der Betrieb der Uni-DUE CA ist in den 'Policies der DFN-PKI' geregelt.

Die Erklärung zum Zertifizierungsbetrieb der UNI-DUE CA in der Public Key Infrastruktur im Deutschen Forschungsnetz finden Sie unter CPS der Uni-DUE CA.

Überprüfung von Zertifikaten

Eigentlich müsste jeder Nutzer sich die Richtlinien von allen gängigen Zertifizierungsstellen durchlesen, deren Referenzen und Prüfsiegel überprüfen und für sich entscheiden, welchen er genügend vertraut, um von ihnen ausgestellte Server-Zertifikate ohne weiteres zu akzeptieren.

Diese Prüfung nehmen die Browser-Hersteller ihren Nutzern ab und installieren die sogenannten Wurzel-Zertifikate von vielen gängigen und vertrauenswürdigen Zertifizierungsstellen schon vorab in ihren Web-Browsern.