Elektronische Signatur - Public Key Infrastruktur (PKI)
Inhaltsverzeichnis
Ab dem 11.08.2022: Keine Videoidentitätsprüfungen mehr im Rahmen der Zertifikatsbeantragung
Ab 01.02.2020 ist die Erstellung von Nutzerzertifikaten für alle Mitarbeiter der TUD mittels EVAZERT über das Self-Service-Portal möglich.
Die Erstellung über EVAZERT wird generell empfohlen, weil sie einfach zu bedienen ist und papierlos funktioniert. Mit EVAZERT können Sie Ihre Zertifikate im Selfserviceportal selbst verwalten.
Für Mitarbeiter des UKD steht dieser Dienst nicht zur Verfügung.
Zertifikate für Gast- und Funktionslogins sowie Serverzertifikate können weiterhin nur über die DFN-PKI erstellt werden.
Allgemeines
Seit dem 01.02.2017 werden seitens des DFN Zertifikate basierend auf dem Wurzelzertifikat "T-TeleSec GlobalRoot Class 2" ausgestellt.
Die zu verwendende Adresse ist https://pki.pca.dfn.de/tu-dresden-g2-ca/cgi-bin/pub/pki
Das ZIH der Technischen Universität Dresden nimmt seit dem 01.07.2006 an der PKI (Public Key Infrastruktur) des Deutschen Forschungsnetzes teil und stellt im Rahmen der Zertifizierungstätigkeit fortgeschrittene Zertifikate, d.h.fortgeschrittene elektronische Signaturen nach Art. 26 der eIDAS-Verordnung, aus. Maßgeblich sind hierbei die Zertifizierungsrichtlinien der DFN-PKI für das Sicherheitsniveau Global.
Nutzerzertifikate
Nutzerzertifikate bieten zahlreiche Anwendungsfelder, auf einem hohen Sicherheitsniveau. Sie werden bspw. für die digitale Signatur oder die Verschlüsselung von E-Mails genutzt. Die Gültigkeitsdauer beträgt 38 Monate.
Die notwendigen Informationen finden Sie hier:
- Nutzerzertifikate (Informationen/ BEANTRAGUNG/ SICHERUNG)
- Digitale Signatur von PDF-Dokumenten mit Adobe (Windows)
- Digitale Signatur von PDF-Dokumenten mit Adobe (Mac)
- Empfohlene Alternative zu Adobe
- Digitale Signatur mit Okular (Linux))
- Grundlegende Konfiguration von E-Mail Clients zur Verwendung von Zertifikaten der DFN PKI
- Konfiguration von E-Mail Clients zur automatischen Installation von Zertifikaten aus dem DFN PKI LDAP Verzeichnisdienst
- Konfiguration der E-Mail Clients zur digitalen Signatur von E-Mails
- Konfiguration der E-Mail Clients zur Verschlüsselung von E-Mails
Zertifikatsbeantragung
Über die Seiten der TU Dresden CA-G2 können Sie Nutzer- bzw. Server-Zertifikate beantragen, Ihre Zertifikate sperren oder nach Zertifikaten suchen. Bei der Zertifikatsbeantragung füllen Sie das Web-Formular vollständig aus und folgen den Anweisungen im Browser. Drucken Sie Ihren Zertifikatsantrag nach Fertigstellung aus und lassen Sie ihn persönlich unter Vorlage eines gültigen Personaldokumentes bestätigen. Dazu wenden Sie sich entweder an Ihren lokalen Administrator, der diese Prüfung im Auftrag des ZIH übernimmt oder Sie kommen direkt zum Service Desk . Diese Identitätsprüfung behält für 39 Monate ihre Gültigkeit.
In der Regel erhalten Sie innerhalb weniger Werktage Ihr beantragtes Zertifikat per E-Mail durch die DFN-PKI.
Folgendes ist bei der Beantragung eines Zertifikates zu beachten:
- Beim Ausfüllen des Formulars für Nutzerzertifikate:
- Eine Zertifizierung kann nur für E-Mailadressen aus der Domain "tu-dresden.de" erfolgen. Nutzer aus der TU Dresden können unter <Abteilung> im Web-Formular die zugehörige Einrichtung bzw. das Institut eintragen oder das Feld leer lassen.
- Bei Zertifizierung von Funktionsmailadressen wird ein Gruppenzertifikat beantragt. Hier steht im Feld "E-Mail" bspw. sekretariat-institut@tu-dresden.de, im Feld "Name" ist die Funktion in dieser Form einzutragen "GRP:Sekretariat-Institut". Ein solches Gruppenzertifikat kann nur die eingetragene Kontaktperson (mit gültiger Identitätsprüfung) für das betreffende Login beantragen.
- Identitätsprüfung:
- dezentral: beim lokalen Administrator
- zentral: im Service Desk
- Eine Identität gilt für 39 Monate als geprüft.
- Bei Serverzertifikaten ist der PKCS#10-Zertifikatantrag (PEM-formatierte Datei) vom Administrator des Servers selbst zu erstellen und in den Antrag einzufügen. Es werden nur Serverzertifikate bestätigt, die unter "CN=" einen vollständig qualifizierten DNS-Eintrag besitzen und dem IP-Adressbereich der TU Dresden (141.30.0.0 und 141.76.0.0) zugeordnet sind. Für eine erleichterte Erstellung des Zertifikatantrages mit OpenSSL finden Sie hier eine Konfigurationsdatei.
Info vom DFN zur Gültigkeitsdauer: "Die DFN-PKI wird im Laufe des 27.08.2020 die Konfiguration so anpassen, dass neu ausgestellte Serverzertifikate eine Laufzeit von 397 Tagen haben. Die 397 Tage sind eine SHOULD-Regel des CA/Browser Forums." - Es können nur Original-Anträge oder Anträge mit einer gültigen digitalen Signatur bearbeitet werden.
- Nach erfolgter Identitätsprüfung werden Erstanträge nur bei Vorlage des Papierausdrucks mit eigenhändiger Unterschrift bearbeitet.
- Folgeanträge können mit einer gültigen digitalen Signatur unterschrieben werden und dem Service Desk elektronisch übermittelt werden, vorausgesetzt die Identität gilt als geprüft. Anträge, die per Hand unterschrieben sind, können nur im Original bearbeitet werden.
- Zertifikatsanträge sind sechs Monate gültig. Anträge, die den Service Desk nach Ablauf dieser Frist erreichen, können nicht mehr bearbeitet werden.
Zertifikatsverlängerung
Wichtiger Hinweis: Bitte heben Sie ihr altes Zertifikat unbedingt auf, da ansonsten alle damit verschlüsselten Daten, wie z.B. E-Mails, nicht mehr lesbar sind!
Um weiterhin alle mit diesem Zertifikat betriebenen Anwendungen und Dienste nutzen zu können, müssen Sie ein neues Zertifikat wie nachfolgend beschrieben beantragen.
1. Zur persönlichen Identifikation bei der Verlängerung eines digitalen Zertifikats, begeben Sie sich bitte zu einer/einem der folgenden IT-Ansprechpartner-innen/IT-Ansprechpartner:
|
IT-Ansprechpartner/-in |
Organisationseinheit |
Kontakt |
|
Herr Marco Barthel |
Dekanat Fak. Wirtschaftswissenschaften |
Tel.: +49 351 463 32843 |
|
Herr Dr. Matthias Lohse |
Ltr. Informatiklabor Wirtschaftswissenschaften |
Tel.: +49 351 463 32792 |
|
Herr Andreas Matthus |
Dekanat Fakultät Architektur |
Tel.: +49 351 463 33909 |
|
Herr Daniel Henzen |
Dekanat Umweltwissenschaften |
Tel.: +49 351 463 39275 / +49 351 463 31303 |
|
Herr Andreas Gläser |
IT-Service-Team ZUV/Rektorat |
Tel.: +49 351 463 35457 |
|
Herr Christian Nitsch |
IT-Service-Team ZUV/Rektorat |
Tel.: +49 351 463 32131 |
|
Herr Michael Wilengowski |
IT-Service-Team ZUV/Rektorat |
Tel.: +49 351 463 39102 |
2. Sie erhalten dort einen PIN-Brief für die Verlängerung Ihres Zertifikats. Bitte bringen Sie zur persönlichen Identifikation ein gültiges amtliches Ausweisdokument (Personalausweis bzw. Reisepass) mit.
3. Den PIN-Brief benutzen Sie bitte bei der Beantragung eines digitalen Zertifikats über die Zertifikatsbeantragung im Self-Service-Portal.
Sollte Ihre letzte persönliche Identifizierung durch eine prüfberechtigte Person nicht länger als 39 Monate zurückliegen, verfahren Sie bitte wie unter 3. beschrieben und nutzen die PIN des letzten PIN-Briefes. Sollten Sie die PIN nicht mehr besitzen, führen Sie die Schritte von 1. bis 3. durch.
Den Status Ihrer Identitätsprüfung können Sie im Self Service Portal unter Profil im Abschnitt „Stammdaten“ einsehen.
Wichtiger Hinweis: Bitte heben Sie ihr altes Zertifikat unbedingt auf, da ansonsten alle damit verschlüsselten Daten, wie z.B. E-Mails, nicht mehr lesbar sind!
Um weiterhin alle mit diesem Zertifikat betriebenen Anwendungen und Dienste nutzen zu können, beantragen Sie ein neues Zertifikat:
1. Öffnen Sie die Webseite
https://pki.pca.dfn.de/tu-dresden-g2-ca/pub
2. Beantragen Sie über die Webseite wie beim Erstantrag ein neues Zertifikat und drucken Sie den dabei entstehenden Zertifikatsantrag aus. Falls Sie dazu weitere Informationen benötigen, finden Sie unter dem Menüpunkt "Hilfe" eine Nutzeranleitung.
3. Unterschreiben Sie den Zertifikatsantrag und geben Sie diesen persönlich beim Service Desk oder Ihrem prüfberechtigten Administrator ab.
Handelt es sich um die Erneuerung eines Nutzerzertifikats, so darf Ihre letzte persönliche Identifizierung durch den Teilnehmerservice nicht älter als 39 Monate sein. Im Self Service Portal können Sie den Status Ihrer Identitätsprüfung unter Profil im Abschnitt "Kontoinformationen" einsehen:
- "Identität geprüft" = "Nein":
geben Sie das Antragsformular persönlich beim Service Desk oder Ihrem prüfberechtigten Administrator ab. Dieser wird Sie dann erneut anhand Ihres gültigen Ausweisdokumentes identifizieren. - „Identität geprüft“ = „Ja, …“:
Übergeben Sie den Antrag direkt an den Service Desk (digital signiert per E-Mail oder händisch unterschrieben per Hauspost/persönlich).
In jedem Fall wird Ihnen Ihr neues Zertifikat per E-Mail zugeschickt.
Wichtiger Hinweis: Bitte heben Sie ihr altes Zertifikat unbedingt auf, da ansonsten alle damit verschlüsselten Daten, wie z.B. E-Mails, nicht mehr lesbar sind!
FAQ
Weitere Informationen: PKI FAQ.
Links zur DFN-PKI
Hier finden Sie alle Informationen zur Zertifizierung innerhalb der neuen DFN-PKI-Zertifizierungshierarchien:
- Informationen zur DFN-PKI beim DFN-Verein e.V.
- Informationen über die TU Dresden CA
- Suche nach Zertifikaten, die bis zum 31.01.2017 beantragt wurden
- Suche nach Zertifikaten, die ab 01.02.2017 beantragt wurden