Funktionszertifikate über DFN-PKI

Anbieterwechsel bei Zertifikatsausstellung

Bitte beachten Sie, dass seit dem 10.01.2025 ein neuer Zertifikatsanbieter namens HARICA den bisherigen Anbieter Sectigo abgelöst hat. Derzeit überarbeiten wir die Dokumentation und die Anleitungen auf diesen Webseiten. Noch sind nicht alle neuen Prozesse endgültig festgelegt. Wir bitten um Verständnis, dass sich die Aktualisierung daher etwas verzögern kann.

Um Zertifikate für Funktionspostfächer zu beantragen, müssen Sie zunächst einen Account über „Sign Up“ erstellen. Bitte geben Sie dabei unter „Email address“ die E-Mail-Adresse des Funktionspostfachs an.

Nach dem Einloggen mit diesem Account können Sie unter „Certificate Requests“ → „Email“ manuell Zertifikate beantragen. Bitte wählen Sie den Typ „Email-only“ für Ihr Zertifikat.

Hintergrundinformation

Auch für Funktionsadressen können Clientzertifikate analog zu den Nutzerzertifikaten beantragt werden.

Das ist beispielsweise sinnvoll, wenn von einer E-Mail-Adresse wie leitung@einrichtung.tu-darmstadt.de signierte Mails verschickt werden sollen.

Im Folgenden wird erklärt, unter welchen Bedingungen das möglich ist und wie die Beantragung abläuft.

Die Nutzung von Funktionszertifikaten unterliegt einigen Bedingungen:

Ansprechperson

  • Es muss eine Ansprechperson für den Antrag benannt werden. Diese Person ist verantwortlich für die Einhaltung der Nutzungsbedingungen, wie sie bei der Ausstellung bestätigt werden. Das beinhaltet z.B. auch die sichere Übergabe an Dritte und die evtl. Sperrung.
  • Die Ansprechpersonen müssen Mitarbeitende oder Angehörige der TU Darmstadt sein.
  • Ansprechpersonen dürfen nur Zertifikate für Adressen in Domains beantragen, für die sie als Domainbeauftragte eingetragen sind.

Funktionsadresse

  • Die Adressen müssen vom HRZ im Rahmen des Groupware Services betrieben werden.
  • Der Anzeigename des Zertifikats muss identisch mit dem Absendernamen der Adresse sein.

Schlüsselverwaltung

  • Das HRZ bietet keine Unterstützung dafür, den privaten Schlüssel zu sichern. Der Nutzende wird aufgefordert, dafür einen sicheren Ort zu wählen (z.B. sein persönliches Netzlaufwerk, die Hessenbox oder ein privates Share).
  • Die Weitergabe des privaten Schlüssels (.p12 Datei) an Dritte muss auf sicherem Weg erfolgen.
  • Wenn eine Person, an die das Zertifikat weitergegeben wurde, nicht mehr berechtigt ist, das Zertifikat zu nutzen (z.B. wegen eines Tätigkeitswechsels), muss das Zertifikat gesperrt und ein neues Zertifikat ausgestellt und verteilt werden.

Keine Verschlüsselung

  • Das HRZ bietet keine Unterstützung bei Verschlüsselung. Wenn Sie Daten/E-Mails verschlüsseln, sind bei Verlust des privaten Schlüssels alle diese verschlüsselten Inhalte verloren. Bedenken Sie bei dienstlichen Daten auch, dass Dritte keinen Zugriff auf verschlüsselte Inhalte bekommen können. Speziell bei Funktionspostfächern kann das zu Problemen führen, wenn die Verantwortlichkeit wechselt.

Die Ausstellung kann aktuell nicht automatisiert passieren, da die E-Mail-Adresse nicht einer einzigen Person als primäre Versandadresse zugeordnet ist.

Stattdessen erfolgt die Ausstellung wie folgt:

  1. Sie füllen das untenstehende Formular aus und schicken es ab.
  2. Wir prüfen, ob alle Voraussetzungen erfüllt sind.
  3. Anschließend erhalten Sie an die gewünschte E-mail Adresse des Funktionspostfachs einen Einladungslink.
  4. Als zugriffsberechtigte Person klicken Sie auf den Link in der E-Mail. Sie werden auf eine Seite zum Erstellen des Zertifikats weitergeleitet.
  5. Dort werden Sie durch den gleichen Prozess wie bei der Erstellung von Nutzerzertifikaten geleitet.
  6. Anschließend können Sie das Zertifikat identisch wie dort beschrieben konfigurieren (z.B. auch in Outlook).
  7. Wenn Sie das Zertifikat an mehreren Rechnern nutzen möchten, liegt es in Ihrer Verantwortung, dieses sicher auf die entsprechenden Endgeräte zu transportieren.