Digitale Zertifikate
Certification Authority (CA) der Universität Mannheim
Der DFN hat uns darüber informiert, dass Sectigo den Vertrag mit GÉANT gekündigt hat! Dies hat folgende Auswirkungen für Sie:
- Es ist damit zu rechnen, dass bereits ab dem 10.1.2025 keine neuen Zertifikate ausgestellt werden können.
- Mit einem Widerrufen bestehender Zertifikate wird laut DFN aktuell nicht gerechnet.
- Den aktuellen Stand zu diesem Thema können Sie unter https://doku.tid.dfn.de/de:dfnpki:tcsfaq:aktuellesituation verfolgen
- GÉANT und DFN arbeiten mit Hochdruck an der Suche nach einem neuen Anbieter.
Unsere aktuelle Handlungsempfehlung:
- Erneuern Sie bei kritischen Server rechtzeitig vor Ende des Vertrages die Zertifikate um auch ggf. eine Zeit ohne neuen Anbieter überbrücken zu können.
Die CA der Universität Mannheim versorgt Angehörige der Universität mit digitalen Zertifikaten auf Basis des X.509 Standards. Damit können sich Personen und Gruppen, aber auch Server oder Programme ausweisen.
Die Zertifikate werden für einen nichtgewerblichen Gebrauch über den DFN-Verein mit dem TCS (Trusted Certificate Services) des europäischen Forschungsnetzwerks GÉANT ausgestellt und verteilt. GÉANT realisiert den Dienst mit Hilfe von externen Anbieter*innen, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo.
Bei Fragen bzgl. der neuen Zertifizierungsstelle wenden Sie sich bitte an rum-ra. uni-mannheim.de
Vorteile der TCS-Dienste
Vorteile der TCS Dienste:
- Antragsprozesse für Nutzer*innen- und Serverzertifikate sind erheblich vereinfacht.
- Papierarmer Ablauf, die Anzahl von ausgedruckten und unterschriebenen Anträgen wird auf ein absolut notwendiges Minimum begrenzt.
- Die Identifizierung erfolgt über den IdP der Universität Mannheim.
- Berechtigte Antragstellende können über eine seperate Webseite im Sectigo Certificate Manager ihre Zertifikate selbst erzeugen, sperren und verwalten.
Was ist ein digitales Zertifikat und wofür benötige ich es?
Personenbezogene digitale Zertifikate sind ein elektronischer Identitätsnachweis und besitzen im Internet die vergleichbare Funktion eines Personalausweises in der Offline-Welt. Sie kommen dort zum Einsatz, wo die Identität eines*r Kommunikationspartner*in oder der Quelle einer Information eindeutig festgestellt werden muss.
Zertifikate ermöglichen es zusammen mit der Public Key Infrastruktur (PKI) Informationen im Internet sicher und verschlüsselt zu übertragen. Basis der Verschlüsselung und Signierung bilden asymmetrische kryptographische Verfahren mit privaten und öffentlichen Schlüsseln. Dieses Schlüsselpaar hängt über einen mathematischen Algorithmus eng zusammen.
Inhalte des Zertifikats sind unter anderem:
- öffentlicher Schlüssel
- Name des*r Besitzer*in
- Name der Zertifizierungsstelle
- Gültigkeitsdauer
- zulässige Verwendungszwecke des Zertifikats.
Der private Schlüssel ist in einer Datei kennwortgeschützt gespeichert. Nur der*die Eigentümer*in kann auf den privaten Schlüssel zugreifen, um E-Mails zu signieren oder Nachrichten zu entschlüsseln, die mit dem korrespondierenden öffentlichen Schlüssel verschlüsselt wurden.
Häufige Anwendungsbereiche sind:
- verschlüsselte Verbindungen zwischen einem Webbrowser und einem Webserver per HTTPS
- Verschlüsselung und Signierung von E-Mails
- Signierung von digitalen Dokumenten
- Signierung von Software und Updates
Verschiedene Software und Betriebssysteme führen eine Liste mit vertrauenswürdigen Zertifizierungsstellen. Ist ein Zertifikat von einer solchen Zertifizierungsstelle ausgestellt, betrachtet es der*die Empfänger*in als echt.
Welche digitalen Zertifikate stehen zur Auswahl?
1. Persönliche Nutzerzertifikate
Sie sind mit einem Personalausweis vergleichbar und werden für natürliche Personen ausgestellt.
- Einsatzgebiete:
- Signieren (digitales unterschreiben)
- Verschlüsseln von E-Mails
- Schutz von Dokumenten vor Manipulation (z.B. Signieren von PDF- oder Word-Dateien)
- Identitätsnachweis im Internet
- Anmeldung an Webseiten und Diensten
- Gültigkeitsdauer: 2 Jahre
- Berechtigungen:
- Alle Angehörige*r der Universität Mannheim sind berechtigt persönliche Nutzerzertifikate zu beantragen
- Identifizierung der antragstellenden Person:
- Die Identifizierung erfolgt über den IdP der Universität Mannheim.
2. Gruppenzertifikate
Gruppenzertifikate haben das gleiche Zertifikatsprofil wie Nutzerzertifikate. Im Gegensatz zum „normalen“ Nutzerzertifikat sind diese aber nicht nur für eine einzelne, natürliche Person nutzbar, sondern auch für einen beschränkten Personenkreis, die damit im Rahmen eines Teams oder einer Funktion entsprechende Aufgaben übernehmen. Deshalb ist für diese Art von Zertifikaten auch explizit die Weitergabe des privaten Schlüssels zum Zertifikat gestattet.- Einsatzgebiete:
- Signieren (digitale Unterschrift)
- Verschlüsseln von E-Mails
- Schutz von Dokumenten (z.B. Signieren von PDF- oder Word-Dateien)
- Gültigkeitsdauer: 2 Jahre
- Berechtigungen:
- Inhaber*in einer Funktionskennung d.h. einer Uni-ID welche keiner spezifischen Person zuzuordnen ist.
- Identifizierung der antragstellenden Person:
- Die Identifizierung erfolgt über den IdP der Universität Mannheim.
3. Serverzertifikate
Serverzertifikate oder SSL-Zertifikate dienen als Grundlage für verschlüsselte, authentifizierte und manipulationsfreie Datenübertragung bei Nutzung von Internetdiensten (beispielsweise per https).
- Einsatzgebiete:
- Sichere Authentifizierung einer Website oder eines Servers
- Gesicherte Kommunikation zwischen Servern und Clients
- Gültigkeitsdauer: 1 Jahr
- Berechtigungen:
- Alle eingetragenen Ansprechpartner*in ein Servers sind berechtigt Serverzertifikate zu beantragen.
- Identifizierung der antragstellenden Person:
- Die Identifizierung erfolgt über den IdP der Universität Mannheim.
4. Code-Signing-Zertifikate
Mit Code-Signing-Zertifikaten werden Anwendungen bzw. Software digital signiert. Damit kann sichergestellt werden, dass eine Anwendung wirklich von der angegebenen Quelle stammt und das Programm nicht nachträglich geändert wurde.
Die Ausstellung der Code-Signing-Zertifikate ist sowohl für natürliche Personen (z.B. individueller Entwickler*in), als auch für einen beschränkten Personenkreis oder eine Funktion möglich und dürfen somit von mehreren Personen (eines Lehrgebiets oder Abteilung) verwendet werden.
Ansonsten gelten hier auch die gleichen Regeln wie bei persönlichen oder Gruppenzertifikaten.- Einsatzgebiete:
- Signieren (digitale Unterschrift) von Anwendungen und Software
- Gültigkeitsdauer: max. 3 Jahre
Der Softwareentwickler kann dem Programm unter Verwendung seines eindeutigen privaten Schlüssels einen Zeitstempel hinzufügen (d. h. eine digitale Signatur setzen).
Die digitale Signatur bleibt für immer gültig – auch nach Ablauf des Zertifikats.- Berechtigungen:
- Alle Mitglieder und Angehörige der Universität Mannheim sind berechtigt, Code-Signing-Zertifikate zu beantragen.
- Identifizierung der antragstellenden Person:
- Alle Angehörige*r der Universität Mannheim sind berechtigt Code-Signing Zertifikate zu beantragen
- Einsatzgebiete:
Anleitungen
Alle ausführlichen Schritt-für-Schritt Anleitungen zu den digitalen Zertifikaten finden Sie hier.