S/MIME Zertifikate

S/MIME Zertifikate

Diese Zertifikate können Sie für Email zum Signieren und/oder Verschlüsseln verwenden. Sie können Zertifikate die nur Ihre Mailadresse beinhalten beantragen (Email-only). Das Vorgehen dafür wird hier beschrieben. Außerdem besteht die Möglichkeit, das dieses Zertifikate auch noch Ihren Namen und die Heimatorganisation, also Technische Hochschule Wildau enthält (For enterprises or organizations (IV+OV))

Für die letztgenannten Zertifikate ist ein relativ aufwendiger Prozess im Harica Portal notwendig zu dem das Hochladen einer Ausweiskopie und entweder eine Videoidentifikation oder digitale Identitätsprüfung gehören. Dieser Vorgang ist auf den Seiten von Harica ausführlich in englisch beschrieben.
Alternativ prüft  eine verantwortliche Persone im Hochschulrechenzentrum Ihren Ausweis und erledigt dann als verantwqortliche Person die Zertifikatserstellung. Dazu schicken Sie eine Mail pki(at)th-wildau.de, um einen Termin zu vereinbaren.

Zertifikat mit nur der Mailadresse

Öffnen Sie im Browser die Seite https://cm.harica.gr/Login und wählen Sie dort die Schaltfläche Academic Login. Geben Sie im daraufhin erscheinenden Suchfeld Wildau ein und selektieren dann den erscheinenden Eintrag Technical University of Applied Sciences Wildau.
Sie werden daraufhin zu dem hochschulweiten SSO Login geleitet, welches Sie beispielsweise von den Anmeldungen für Webex oder dem SB Portal kennen. Führen Sie dort die Anmeldung mit Ihrem Hochschulaccount durch. Daraufhin wird Ihr Account Initial im Harica System angelegt und Sie können dort Zertifikate beantragen und erhalten.

Wählen Sie links im Menü den Punkt email und betätigen dann die Schaltfläche Select bei dem Auswahlpunkt Email-only.

Es wird Ihnen noch einmal der Zertifikatstyp und Ihre Mailadresse angezeigt. Mit dem Schalter Next kommen Sie zur Auswahl der Überprüfungsmethode.

Die Auswahl ist eigentlich keine, es steht lediglich eine Methode zur Verfügung. Es wird an Ihre Mailadresse eine Mail zur Überprüfung geschickt, die einen Link enthält. Klicken Sie auf Next um diesen Vorgang einzuleiten.

Diese Zertifikate sind 2 Jahre gültig. Es wird Ihnen noch einmal die Mailadresse, für die das Zertifikat ausgestellt wird angezeigt. Sie müssen die Checkbox aktivieren um zu bestätigen, dass Sie die Nutzungsbedingungen sowie die Zertifikatsrichtlinien akzeptieren. Das ist Voraussetzung, dass Sie das Zertifikat bekommen können. Submit löst das Senden der Mail aus.

Als nächstes müsste entschieden werde, wie der Antrag eingereicht werden soll. (Diesen Schritt konte der Autor nicht prüfen, da er bereits ein S/MIME Zertifikat hat. Die Beschreibung ist aus der Dokumentation von Harica entnommen)
Auto-generate CSR erzeugt auf dem Harica Server den Antrag und einen privaten Schlüssel. Dazu legen Sie den Verschlüsselungsalgorithmus, die Schlüssellänge und ein Passwort fest. Den Schlüssel bekommen Sie sofort nach der Erstellung zum Download angeboten. Der Prozess kann nur fortgesetzt werden, wenn Sie versichert haben, dass sich der Schlüssel in Ihrem Besitz befindet also heruntergeladen worden ist. 

Alternativ können Sie einen Antrag mit openssl erzeugen und dort hochladen.

Wenn der Antrag erzeugt ist, finden Sie ihn im Status requested in Ihrem Dashboard vor.

Sie haben ab diesem Zeitpunkt 24 Stunden Zeit, die Überprüfung der Mailadresse durchzuführen. Sollten Sie das verpassen, können Sie im Dashboard ganz rechts neben dem Auftrag auf die drei senkrecht angeordneten Punkte klicken um eine Menü zu öffnen. In diesem haben Sie die Möglichkeit, sich noch einmal die Details anzusehen, den Auftrag abzubrechen oder die Mail noch einmal zu senden.

Überprüfen Sie Ihren Posteingang. Darin müsste sich eine Mail von noreply@harica.gr befinden, die folgendes Aussehen hat. Klicken Sie bitte nicht sofort auf den Confirm Schalter! Das könnte zu Timeout Fehlern führen.

Melden Sie sich am Harica Portal an.

Klicken Sie in der Mail den Confirm Schalter mit der rechten Maustaste an. Kopiern Sie den Link in die Zwischenablage und fügen Sie diesen in die Adresszeile des Browsers ein. Es sollte folgende Meldung im Browser erscheinen:

mit Confirm bestätigen Sie Ihre Mailadresse.
Daraufhin ändert sich der Text Waiting for 1 task in die Schaltfläche Enroll your Certificate.

Mit einem Klick auf Enroll your Certificate wird die Erstellung des Zertifikates eingeleitet.
 

Sie können jetzt das Zertifikat auf dem Server generieren (Genereate Certificate) oder einen Zertifikats-Request (Submit CSR manually) hochladen.
Hier wird die erste Methode beschrieben.
Für den Algorithmus und die Schlüssellänge können Sie die vorgegbenen Werte übernehmen, oder auch andere Methoden und höhere Längen wählen. Damit erhöhen Sie die Komplexität der Verschlüsselung, allerdings auch den Zeitaufwand zum ver- und entschlüsseln.

In den Editierfeldern müssen Sie ein Passwort für das Zertifikat festlegen. Dieses müssen Sie sich merken.

Das müsssen Sie auch noch durch marikieren der Checkbox bestätigen, die daruf hinweist, dass nur Sie das Passwort kennen und dieses auch nicht auf dem Server gespeichert wird.

Wenn Sie die Eingabe mit einem Klick auf die Submit Schaltfläche abschließen, werden Sie wieder zum Dashboard geleitet.

 

Die Schaltfläche hat jetzt die Beschriftung Get your Certificate.

Wenn Sie darauf klicken werden Sie darauf hingewiesen, dass das die einzige Möglichkeit ist, dsa Zertifikat herunterzuladen. Klicken Sie also nur auf den Download Schalter, wenn Sie eine stabile Internetverbindung haben! Das Zertifikat wird darufhin heruntergeladen und Sie können es zum signieren und Verschlüsseln von Mails verwerden.