Digitale Zertifikate

Certification Authority (CA) der Universität Mannheim

Die CA der Universität Mannheim versorgt Angehörige und Mitglieder der Universität mit digitalen Zertifikaten auf Basis des X.509 Standards. Damit können sich Personen und Gruppen, aber auch Server oder Programme ausweisen. 

Die Zertifikate werden für einen nichtgewerblichen Gebrauch über den DFN-Verein mit dem Dienst TCS (Trusted Certificate Services) des europäischen Forschungs­netzwerks GÉANT ausgestellt und verteilt. GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo.

  • Aktuelles

    Die Test­phase der neuen Zertifizierungs­stelle des DFN ist fast abgeschlossen. Bisher sind wir auf keine gravierenden Probleme gestoßen. Aus diesem Grund kann der Parallelbetrieb der bisherigen DFN-Zertifizierungs­stelle und des neuen Anbieters „Sectigo“ wie geplant zum 1. Dezember 2022 beginnen.

    In diesem Zeitraum ist es möglich, zwischen einer der beiden CA's zu wählen und neue Zertifikate zu beantragen. Anleitungen zum neuen Verfahren finden Sie unter Anleitungen/Digitale Zertifikate beantragen.

    Ab dem 1. Januar 2023 werden ausschließlich Zertifikate über die neue Zertifizierungs­stelle „Sectigo“ ausgegeben. Die Gültigkeit bereits ausgestellter DFN-Zertifikate bleibt hiervon natürlich unberührt.

    Bei Fragen bzgl. der neuen Zertifizierungs­stelle wenden Sie sich bitte an rum-ramail-uni-mannheim.de.

  • Vorteile der TCS-Dienste

    Vorteile der TCS Dienste:

    • Antragsprozesse für Nutzer- und Serverzertifikate sind erheblich vereinfacht.
    • Papierarmer Ablauf, die Anzahl von ausgedruckten und unterschriebenen Anträgen wird stark reduziert.
    • Die Identifizierung erfolgt über ein Login und die Authentifizierung über einen IdP der Universität Mannheim.
    • Berechtigte Antragsteller bekommen eine eigene Webseite in dem Sectigo Certificate Manager, um Serverzertifikate selbst zu erstellen, zu sperren oder zu verwalten.
  • Was ist ein digitales Zertifikat und wofür benötige ich es?

    Personenbezogene digitale Zertifikate sind ein elektronischer Identitätsnachweis und besitzen im Internet die vergleichbare Funktion eines Personalausweises in der Offline-Welt. Sie kommen dort zum Einsatz, wo die Identität eines Kommunikations­partners oder der Quelle einer Information eindeutig festgestellt werden muss.

    Zertifikate ermöglichen es zusammen mit der Public Key Infrastruktur (PKI) Informationen im Internet sicher und verschlüsselt zu übertragen. Basis der Verschlüsselung und Signierung bilden asymmetrische kryptographische Verfahren mit privaten und öffentlichen Schlüsseln. Dieses Schlüsselpaar hängt über einen mathematischen Algorithmus eng zusammen.

    Inhalte des Zertifikats sind unter anderem:

    • öffentlicher Schlüssel
    • Name des Besitzers
    • Name der Zertifizierungs­stelle
    • Gültigkeits­dauer
    • zulässige Verwendungs­zwecke des Zertifikats.

    Der private Schlüssel ist in einer Datei kennwortgeschützt gespeichert. Nur der Eigentümer kann auf den privaten Schlüssel zugreifen, um E-Mails zu signieren oder Nachrichten zu entschlüsseln, die mit dem korrespondierenden öffentlichen Schlüssel verschlüsselt wurden.

    Häufige Anwendungs­bereiche sind:

    • verschlüsselte Verbindungen zwischen einem Webbrowser und einem Webserver per HTTPS
    • Verschlüsselung und Signierung von E-Mails
    • Signierung von digitalen Dokumenten
    • Signierung von Software und Updates
    • Verschlüsselte Verbindungen zwischen Servern​.

    Verschiedene Software und Betriebs­systeme führen eine Liste mit vertrauenswürdigen Zertifizierungs­stellen.  Ist ein Zertifikat von einer solchen Zertifizierungs­stelle ausgestellt, betrachtet es der Empfänger als echt.

  • Welche digitalen Zertifikate stehen zur Auswahl?


    1. Persönliche Nutzerzertifikate

    Sie sind mit einem Personalausweis vergleichbar und werden für natürliche Personen ausgestellt.

    • Einsatzgebiete:
      • Signieren (digitales unterschreiben)
      • Verschlüsseln von E-Mails
      • Schutz von Dokumenten vor Manipulation (z.B. Signieren von PDF- oder Word-Dateien)
      • Identitätsnachweis im Internet
      • Anmeldung an Webseiten und Diensten
    • Gültigkeits­dauer: 3 Jahre
    • Berechtigungen:
      • Alle Mitglieder und Angehörige der Universität Mannheim sind berechtigt persönliche Nutzerzertifikate zu beantragen
    • Identifizierung der antragstellenden Person:
      • Die Identifizierung erfolgt über ein Login und die Authentifizierung über einen IdP der Universität Mannheim.
    • Registrierung:
      • An Sectigo Certificate Management Webseite
      • Selbstregistrierung
      • Anmeldedaten: Über eine vom CA-Team gesendete „Invitation“.

    2. Gruppen­zertifikate
    Gruppen­zertifikate haben das gleiche Zertifikatsprofil wie Nutzerzertifikate. Im Gegensatz zum „normalen“ Nutzerzertifikat sind diese aber nicht nur für eine einzelne, natürliche Person nutzbar, sondern auch für einen beschränkten Personenkreis, die damit im Rahmen eines Teams oder einer Funktion entsprechende Aufgaben übernehmen. Deshalb ist für diese Art von Zertifikaten auch explizit die Weitergabe des privaten Schlüssels zum Zertifikat gestattet. Antragstellende Person ist die jeweils berechtigte Person.

    • Einsatzgebiete:
      • Signieren (digitale Unterschrift)
      • Verschlüsseln von E-Mails
      • Schutz von Dokumenten (z.B. Signieren von PDF- oder Word-Dateien)
    • Gültigkeits­dauer: 3 Jahre
    • Berechtigungen:
      • Alle Lehr­stuhl­inhaber*innen oder Abteilungs­leitungen sind berechtigt, Gruppen­zertifikate zu beantragen
      • Beschäftigte brauchen eine entsprechende Vollmacht
    • Identifizierung der antragstellenden Person:
      Die Identifizierung erfolgt über ein Login und die Authentifizierung über eine IdP der Universität Mannheim.
    • Registrierung:
      • An Sectigo Certificate Management Webseite
      • Selbstregistrierung
      • Anmeldedaten: Über eine vom CA-Team gesendete „Invitation“

    3. Code-Signing-Zertifikate

    Mit Code-Signing-Zertifikaten werden Anwendungen bzw. Software digital signiert. Damit kann sichergestellt werden, dass eine Anwendung wirklich von der angegebenen Quelle stammt und der Code nicht nachträglich geändert wurde.
    Die Ausstellung der Code-Signing-Zertifikate ist sowohl für natürliche Personen (z.B. individueller Entwickler), als auch für einen beschränkten Personenkreis oder eine Funktion möglich und dürfen somit von mehreren Personen (eines Lehr­gebiets oder Abteilung) verwendet werden.
    Ansonsten gelten hier auch die gleichen Regeln wie bei persönlichen oder Gruppen-Zertifikaten.

    • Einsatzgebiete:
      Signieren (digitale Unterschrift) von Anwendungen und Software
    • Gültigkeits­dauer:
      • 1 Jahr
      • Sie können die Zeitstempelfunktion verwenden, um Probleme zu vermeiden, die auf den Ablauf von Codesignaturzertifikaten zurückzuführen sind.

    Der Softwareentwickler kann dem Code unter Verwendung seines eindeutigen privaten Schlüssels einen Zeitstempel hinzufügen (d. h. eine digitale Signatur setzen).
    Die digitale Signatur bleibt für immer gültig – auch nach Ablauf des Zertifikats.

    • Berechtigungen:
      • Alle Mitglieder und Angehörige der Universität Mannheim sind berechtigt, Code-Signing-Zertifikate zu beantragen.
    • Identifizierung der antragstellenden Person:
      Die Identifizierung erfolgt über ein Login und die Authentifizierung über eine IdP der Universität Mannheim.
    • Registrierung:
      • An Sectigo Certificate Management Webseite
      • Selbstregistrierung
      • Anmeldedaten:Über eine vom CA-Team gesendete “Invitation“

    4. Serverzertifikate

    Serverzertifikate oder SSL-Zertifikate dienen als Grundlage für verschlüsselte, authentifizierte und manipulations­freie Datenübertragung bei Nutzung von Netzdiensten (beispielsweise per https).

    • Einsatzgebiete:
      • Sichere Authentifizierung einer Website oder eines Servers
      • Gesicherte Kommunikation zwischen Servern und Clients
      • Gesicherte Kommunikation zwischen Servern
    • Gültigkeits­dauer: 1 Jahr
    • Berechtigungen:
      • Alle Lehr­stuhl­inhaber*innen und Beschäftigte der Universitäts-IT (sofern die entsprechenden Server ihnen zuzuordnen sind) sind berechtigt, Serverzertifikate zu beantragen.
      • Weitere Personen benötigen eine entsprechende Vollmacht oder eine von Admin-C der Domain uni-mannheim.de genehmigte Delegierung. 
    • Identifizierung der antragstellenden Person:
      Die Identifizierung erfolgt über ein Login und die Authentifizierung über eine IdP der Universität Mannheim.
    • Registrierung:
      • Jeder berechtigte Antragsteller bekommt eine eigene Webseite in dem Sectigo Certificate Manager, um Serverzertifikate selbst zu erstellen, sperren oder verwalten
      • Selbstregistrierung
      • Anmeldedaten: Über den vom CA-Team gesendeten Link.
  • Wie erhalte ich ein digitales Zertifikat?

    Persönliches Nutzerzertifikat

    Gruppen­zertifikat:

    Code-Signing-Zertifikat:

    Serverzertifikat:

    Wählen Sie eine Registrierungs­methode aus:

    • Registrierung einer berechtigten Person
      Alle Lehr­stuhl­inhaber/innen und Universitäts-IT Beschäftigte (sofern die entsprechenden Server ihnen zuzuordnen sind) sind berechtigt Serverzertifikate zu beantragen.
    • Vollmacht
      Weitere Personen benötigten eine entsprechende Vollmacht.
    • Delegierung
      Administratoren, welche Server in unterschiedliche Subdomains bzw. Lehr­stühle verwalten, benötigen eine durch den Admin-C der Domain uni-mannheim.de genehmigte Delegierung.

    Nach der Registrierung bekommen Sie eine Bestätigungs-Mail mit dem Link zum Sectigo Zertifikat Manager.

  • Anleitungen

    Alle ausführlichen Schritt-für-Schritt Anleitungen zu den digitalen Zertifikaten finden Sie hier.