Nutzerzertifikate zum Signieren und Verschlüsseln von E-Mails

Die Fakultät für Elektrotechnik und Informationstechnik betreibt eine Registrierungsstelle (RA) für Personenzertifikate, die u.a. zum Signieren und Verschlüsseln von E-Mails genutzt werden können. Diese Zertifikate werden im Rahmen der DFN-PKI ausgegeben, die wiederum mit dem Wurzelzertifikat der Deutschen Telekom arbeitet. Damit sind die obigen Zertifikate weltweit akzeptiert.

So beantragen Sie ein Zertifikat:

  1. Öffnen Sie mit dem Firefox-Browser oder dem Internet Explorer (andere Browser werden nicht unterstützt) das für unsere Registrierungsstelle eingerichtete Web-Formular der DFN-PKI. Sie benötigen denselben Browser bzw. dasselbe Browserprofil später wieder, um das generierte Zertifikat zu importieren.
  2. Klicken Sie auf "Nutzerzertifikat"
  3. Füllen Sie das Formular aus
    Bitte beachten Sie:
    • tragen Sie unter "E-Mail" die E-Mailadresse ein, für die das Zertifikat gelten soll
    • Empfehlung: lassen Sie das Feld "Abteilung" LEER; oder tragen Sie dort allenfalls den Namen Ihres Lehrstuhls im Volltext ein (die Fakultät wird automatisch eingetragen)
    • notieren Sie die PIN, die für die Nutzung des Zertifikats später zwingend benötigt wird
    • wir empfehlen, der Veröffentlichung des Zertifikats zuzustimmen (s.u.)
  4. Drucken Sie das Formular aus und vervollständigen Sie die Angaben
  5. Legen Sie das Formular mit einem gültigen Personalausweis oder Pass bei Herrn Ranke (Stammgelände Gebäude 9, Raum 2913) vor. Er prüft die Angaben und gibt das Zertifikat frei. Ein Link auf das ausgestellte Zertifikat wird dann umgehend per E-Mail zugestellt.
  6. Bitte speichern Sie Ihr Zertifikat an einem sicheren Ort ab

Hier ist der Ablauf der Beantragung und die Installation auf Ihrem PC (Import in Thunderbird und Outlook) mit Graphiken dargestellt.

Veröffentlichung des Zertifikats

Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats zustimmen, wird dieses zum Verzeichnisdienst der DFN-PKI hinzugefügt, der im Internet frei zugänglich ist. Der Vorteil einer Veröffentlichung besteht darin, dass jeder, der Ihnen eine verschlüsselte E-Mail senden möchte, dies tun kann, da der öffentliche Schlüssel dort verfügbar ist.

Hinweise des DFN zur Veröffentlichung des Nutzerzertifikats

E-Mail Konfiguration für die Verwendung des DFN-PKI LDAP-Verzeichnisses

 

 

Serverzertifikate

Wenn Sie einen Server betreiben, der verschlüsselte Verbindungen mit SSL/TLS zur Verfügung stellt (beispielsweise einen Webserver mit HTTPS-Zugang), dann benötigen Sie ein Serverzertifikat.

Bitte beachten Sie für die vom DFN ausgestellten Zertifikate:

  • Die Zertifikate dürfen nur für Server verwendet werden, die für die Fakultät für Elektrotechnik und Informationstechnik oder für Teileinheiten der Fakultät betrieben werden. Kommerzielle Nutzung ist nicht zulässig.
  • Der eindeutige Name des Zertifikats muss enden auf: OU=Fakultaet fuer Elektrotechnik und Informationstechnik,O=Technische Universitaet Muenchen,L=Muenchen,ST=Bayern,C=DE
  • Für die Domainnamen der Zertifikate sind nur bestimmte Domänen zulässig. Wenn Ihr Domainname nicht auf tum.de endet und Sie bisher noch kein Zertifikat von uns haben, dann ist es wahrscheinlich, dass Ihre Domain nicht in der hinterlegten Liste aufgeführt ist. Wenn Sie bei der Antragstellung eine entsprechende Fehlermeldung bekommen, dann nehmen Sie bitte Kontakt mit Herrn Ranke auf. Die Aufnahme weiterer Domains ist möglich, aber sie kann mehrere Tage dauern.
  • Sie können ein gemeinsames Zertifikat für mehrere Servernamen erhalten. Dagegen sind Wildcards wie "*.ei.tum.de" nicht zulässig.

Bitte erstellen Sie einen Zertifikatsantrag als PEM-Datei. Auf Linux-Systemen geschieht das normalerweise mit der OpenSSL-Suite, andere Betriebssysteme oder Geräte haben häufig eigene Administrationsschnittstellen.

In der vom DFN bereitgestellten PKI-Schnittstelle können Sie unter dem Reiter "Serverzertifikate" den Zertifikatsantrag hochladen. Die weitere Vorgehensweise (Formular vervollständigen, ausdrucken und Vorlage bei Herrn Ranke) ist dann analog zu den Nutzerzertifikaten (siehe oben).

PKI-Generationen

Es gibt derzeit zwei "Generationen" von Zertifikaten, die sich in ihrer Zertifikatkette unterscheiden.

Aktuelle Generation:

Wir empfehlen, normalerweise ein Zertifikat dieser Generation zu beantragen.

Zertifikatskette:

  • /C=DE/O=T-Systems Enterprise Services GmbH/OU=T-Systems Trust Center/CN=T-TeleSec GlobalRoot Class 2
  • /C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Certification Authority 2
  • /C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Global Issuing CA

Das Wurzelzertifikat dieser Kette wird von den meisten aktuellen Betriebssystemversionen beziehungsweise Webbrowsern als vertrauenswürdig angesehen. Eine Ausnahme davon sind die Android-Versionen <= 4.4, die diesem Zertifikat nicht vertrauen. Für persönliche Zertifikate zum E-Mail-Verkehr dürfte das keine Rolle spielen, aber bei Servern, die mit Android-Clients kommunizieren, könnte das problematisch sein, solange diese Android-Versionen noch verwendet werden.

Beachten Sie bitte bei Serverzertifikaten, dass Sie die gesamte Zertifikatskette aktualisieren müssen, wenn Sie von der alten Generation in die aktuelle wechseln.

Wenn Sie ein Zertifikat dieser Generation beantragen wollen, dann verwenden Sie bitte dieses Web-Formular.

Alte Generation:

Für Sonderfälle können noch Zertifikate der alten Generation beantragt werden.

Zertifikatskette:

  • /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
  • /C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein PCA Global - G01
  • /C=DE/O=Technische Universitaet Muenchen/CN=Zertifizierungsstelle der TU

Die Zertifikate dieser Generation werden (spätestens) am 09.07.2019, 23:59:00 GMT ungültig.

Das Wurzelzertifikat ist in den aktuellen Betriebssystemversionen beziehungsweise Browserversionen als vertrauenswürdig bekannt.

Wenn Sie ein Zertifikat dieser Generation beantragen wollen, dann verwenden Sie bitte dieses Web-Formular.

Ansprechpartner

Für Fragen zu Nutzer- und Serverzertifikaten ist Herr Ranke, Tel. -23660, Ihr Ansprechpartner.