FAQ - Zertifikate

  • Ist Ihre Frage nicht dabei? Dann versuchen Sie es bei den FAQ-Seiten des DFN.
  • Bei Fragen zu Ihrem E-Mail-Client hilft Ihnen gerne der Techpoint.

Allgemeine Fragen

 

Wie bekomme ich ein Zertifikat?

 

Welche Zertifizierungsstelle muss ich verwenden?
Grundsätzlich kann durch das Umfeld der Nutzung entschieden werden, welche Zertifizierungsstellen zu nutzen sind: Für Mitarbeiter, die im Grid-Umfeld arbeiten, ist die Nutzung der GridKA-CA zusätzlich zur KIT-CA erforderlich. Für alle anderen Mitarbeiter ist die Beantragung von Zertifikaten über die KIT-CA ausreichend.

 

Wo finde ich die Registrierungsstellen (RAs)?
Auf den CA-Seiten finde Sie eine Liste der Registrierungsstellen für die KIT-CA.

 

Was muss ich tun, wenn mein Zertifikat abläuft?
Sie müssen ein neues Zertifikat beantragen. Wichtig: Löschen Sie keine alten Zertifikate, sonst können Sie in der Vergangenheit erhaltene verschlüsselte E-Mails nicht mehr lesen. Anleitungen zum Beantragen eines Zertifikates.

 

Ich habe eine E-Mail mit einer Ablauf-Warnung für mein Zertifikat erhalten. Was soll ich tun?
Falls Sie eine E-Mail mit einer Warnung zum Ablauf der Gültigkeit Ihres Zertifikats bekommen haben, können Sie einfach wieder ein neues Zertifikat beantragen. Bitte löschen Sie Ihr altes Zertifikat nicht, da Sie sonst Ihre alten verschlüsselten E-Mails nicht mehr lesen können.

 

Ich habe eine E-Mail mit einer Ablauf-Warnung für mein Zertifikat erhalten. Im Zertifikat selbst steht jedoch, dass es noch länger gültig sei, was soll ich tun?
Falls Sie eine E-Mail mit einer Warnung zum Ablauf der Gültigkeit Ihres Zertifikats bekommen haben, dies aber noch länger gültig ist, kann es sein, dass mehrere Zertifikate auf Sie ausgestellt sind. Bitte überprüfen Sie genau, ob es sich um das gleiche Zertifikat handelt.

 

Wofür brauche ich ein Backup? Wie erstelle ich es?
Eine Sicherung ihres Zertifikats ist aus drei Gründen notwendig: Absicherung gegen Verlust (Neuinstallation, Hardwareschaden), zum Transfer auf weitere Rechner und zum Import in Ihr E-Mail-Programm. Anleitungen zum Erstellen eines Backups finden Sie unter Backup des Zertifikats erstellen.

 

Mein Zertifikat ist verschwunden (Rechner wurde formatiert, Festplatte ging kaputt, neuen Arbeitsplatzrechner erhalten) Was muss ich tun?
Wenn Sie nachdem Beantragen Ihres Zertifikates ein Backup gemacht haben, können Sie dieses nun einspielen. Anleitungen zum Einspielen eines Backups finden Sie unter Zertifikat in den E-Mail-Client importieren
Wenn kein Backup existiert, müssen Sie ein neues Zertifikat beatragen. Anleitungen zum Brantragen von Personen- und Gruppenzertifikaten. Unter diesen Umständen, können Sie Ihre alten verschlüsselten E-Mails nicht mehr lesen.

 

Brauche ich ein Nutzerzertifikat oder ein Gruppenzertifikat?
Wenn Sie mindestens eine der folgenden Fragen mit "Ja" beantworten, beantragen Sie ein Gruppenzertifikat:
  • Wird die E-Mail-Adresse zum Zertifikat von mehreren Personen genutzt?
  • Handelt es sich bei der E-Mail-Adresse, für welche Sie das Zertifikat beantragen, um eine Funktions-E-Mail-Adresse? (dazu zählen E-Mail-Adressen wie Sekretariat@, Info@, Poststelle@, Prüfungsamt@ u.a.)

 

Was muss ich beachten, wenn ich ein Gruppenzertifikat beantrage?
Das Prinzip der Beantragung ist sehr ähnlich. Die Unterschiede sind folgende:
  • Zertifikate für Personengruppen müssen mit dem Kennzeichen "GRP:" oder "GRP - " beginnen. Tragen Sie im Antragsformular in das Feld für die E-Mail-Adresse beispielsweise [funktion]@[oe].kit.edu und in das Feld für Ihren Namen "GRP: Funktions-Gruppe" oder "GRP - Funktions-Gruppe" ein.
  • Bei der Vergabe von Namen für Personengruppen muss eine Verwechslung mit existierenden Namen, z.B. mit natürlichen Personen oder Organisationen, ausgeschlossen werden. Ebenso dürfen keine DNS-Namen, IP-Adressen oder andere innerhalb der DFN-PKI benutzten Syntaxelemente verwendet werden.

 

Soll ich mein Zertifikat bzw. meinen öffentlicher Schlüssel veröffentlichen?
Wenn Sie mit diesem Zertifikat verschlüsselte E-Mails empfangen wollen, sollten Sie der Veröffentlichung des Zertifikats zustimmmen. Bitte beachten Sie: Das nachträgliche Veröffentlichen Ihres öffentlichen Schlüssel ist nicht möglich, die Veröffentlichung rückgängig zu machen ist hingegen jederzeit möglich.

 

Was bewirkt die gewählte PIN beim Beantragen des Zertifikates?
Zum Einen benötigen Sie die PIN zum Import Ihres Zertifikats, wenn Sie bei Antragstellung des Zertifikats der Veröffentlichung Ihres öffentlichen Schlüssels nicht zugestimmt haben.
Und zum Anderen dient die PIN zur Sperrung Ihres Zertifikates. Wenn Sie nicht mehr im Besitz Ihres private Schlüssel sind oder der Verdacht besteht, dass jemand anderes außer Ihnen Ihren privaten Schlüssel besitzt, können Sie Ihr Zertifikat sperren lassen.

 

Muss ich den Antrag wirklich persönlich abgeben?
Ja, weil dabei Ihre Identität Anhand Ihres Reisepasses, Ihres Personalausweises oder Ihres Aufenthaltstitels überprüft und bestätigt wird (Nein, Vollmachten und Führerscheine zählen nicht).

 

Warum soll ich meine E-Mails signieren? Was für Auswirkungen hat das?
Durch das Signieren Ihrer E-Mails weiß der Empfänger, dass die E-Mail wirklich von Ihnen stammt und unterwegs auch nicht verändert wurde.

 

Warum will ich meine E-Mails verschlüsseln? Was für Auswirkungen hat das?
Durch das Verschlüsseln einer Nachricht wird sicher gestellt, dass nur Sie und der gewünschte Empfänger die E-Mail lesen können.

Fragen zu Zertifikaten bei bestimmten Betriebsystemen oder E-Mail-Programmen

 

OS X mit Safari: Ich habe nach der Abgabe des Antrags eine E-Mail der RA erhalten, aber der Link lässt sich nicht öffnen. Was muss ich tun?
Bitte beachten Sie, dass Sie beim abholen Ihres Zertifikats mit OS X und Safari nicht den Link in der E-Mail, sondern den Anhang auswählen müssen. Beachten Sie weiter dies muss am selben Rechnern unter dem selben Profil, mit dem Sie das Zertifikat beantragt haben durchgeführt werden.

 

FF und IE: Das Zertifikat abholen klappt nicht. Was muss ich tun?
Bitte beachten Sie, dass Sie bei der Abholung Ihres Zertifikats nach der Beantragung mit Firefox oder IE, den Link mit dem Browser öffnen müssen, mit dem Sie das Zertifikat beantragt haben, mit dem selben Profil, am selben Rechner - dieser kann von Ihrem Standardbrowser abweichen, wodurch Sie gegebenenfalls den Link kopieren und im Browser einfügen müssen.

 

Ich habe auf meinem Smartphone eine signierte E-Mail erhalten und kann diese nicht lesen. Wie kann man das ändern?
Vermutlich hat der Absender der signierten E-Mail bei sich im E-Mail-Programm (Outlook) die Option "Nur Klartext senden" nicht aktiviert. Damit Sie die E-Mail also lesen können, muss der Versender diese Option aktivieren und Ihnen die E-Mail nochmals senden.