Benutzer Handbuch
Contents
1. Zaniliatacabear Musterbrma GmbH ZERAFET musterirma de LEITET A aa berlin muslarfims de ACE A Buchtiakung Piar a AL FE Marin Meier maendmusterirme de gia und Yerschis salungsza rika erden js durch separale Sultana Heruntargeladen Kicken Se ay den ansprechenden Baron um des Zerahkat n den anae 2U naer S ren Sigana abbos era EE eR AEL z ur E I Ir Abbildung 18 Laden der Zertifikate bei Dual Key 5 1 4 Dezentrale Registrierung ber die Web Schnittstelle beim Einsatz von Software PSEs Hinweis Wenn Sie die Beantragung mit dem Netscape Navigator durchf hren m ssen Sie zun chst sicherstellen dass die Communicator Datenbank mit einem Passwort gesch tzt ist Verantwort licher Abbildung 19 Beantragung eines Benutzerzertifikats ber die Web Schnittstelle mit Software PSE bei dezentraler Registrierung Abbildung 19 verdeutlicht den Ablauf der Beantragung Ihres Zertifikats Es m ssen folgende Schritte ausgef hrt werden Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 23 von 86 1 Sie werden vom MailPass Verantwortlichen benachrichtigt dass Sie ein Zertifikat beantragen k nnen Dabei wird Ihnen ein Informationsblatt bermittelt Dieses enth lt e die Web Adresse der Benutzer Web Schnittstelle ber die Sie Ihr Zertifikat beantragen sperren und erneuern k nnen sowie einen dazugeh rigen Benutzernamen und ein Passwort e die E Mail Adresse und ggf die Telefonnummer des Sub Registrat2. Firb m ur laser Cese Liste mihi alle Corificate De Ihe Suchkonienen enla hen Se de Sn de Labs ar dai E ara ch En Aran dami de Laii anuai de redee aria gez Tarin nummsar Amieiar para Frrllikaenye iaa ATA _ HER M lPis 24 Des Hima Werichlissching ind Ya CA Halkia Satir Abbildung 34 Auswahl des zu sperrenden Zertifikats e Es erfolgt eine automatische Weiterleitung zur Funktion Sperren ber Seriennummer Dabei m ssen Sie nochmals das Sperrpasswort eingeben Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 36 von 86 ende opener Qu cadi Indra pi Dei Dean rio Bea Em 7 a 11 MailPass email Zertifikate A hs sl me MAA A Ar ra hat dl mn Ena died ca er Aci EN Speren ber Seriennummer A Chepe Seria gerrie an Ihnen hr Jedik ber de Senenrammer zu bil Pape Ti Lig apemon Fi cbi m iur laser a A Abbildung 35 Erneute Eingabe des Sperrpassworts 5 Wenn Ihr Sperrpasswort korrekt ist wird Ihnen Ihr Zertifikat angezeigt Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 37 von 86 a Zarika in H aeh Inn Espias l Dei A E MI Fea Vda A e Dai o nn ss Dora Aisch me Sii des E aa 5 E Liia el in Fi ML Lol FIPE rus LL a F Tel Telekomm Ll p E am rn Beer re een Paba urme m m Lis CIP IA rn ip miir ihai Zerfihatedaten Tiara En l a brit en das e da ida tin cia Luis mc E
3. Zunuck Abbrechen Abbildung 58 Geben Sie das zugeh rige Passwort ein 1 W hlen Sie die Option Zertifikatsspeicher automatisch ausw hlen und klicken Sie auf Weiter Import Ass stent fur die Zertifikatsrerwaltung zertifikatsspeicher ausw hlen zertifik atsspeicher sind Systembereiche in denen Zertifikate gespeichert werden Wahlen Sie den Zertifikatzspeicher f r die neuen Zertifikate Zur ck Abbrechen Abbildung 59 W hlen Sie Zertifikatsspeicher automatisch w hlen j Klicken Sie auf Fertig stellen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 5 von 86 Import Ass stent fur die Zertifikatsrerwaltung Fertigstellen des Assistenten Der Import Asaistent f r die Zertifikatsverwaltung wurde ordnungsgem abgeschlossen Sie haben Folgendes fur den Importrorgang ausgew hlt Yom Assistenten gew hlter Zertifik atsspeicher Auswahl w Inhalt PEA Dateiname Ahoffrmar Zur ck Abbildung 60 Fertigstellung des Imports k Bei erfolgreichem Import erhalten Sie eine entsprechende Meldung Zertifikatserneuerung Um Ihr Zertifikat zu erneuern gehen S e wie folgt vor 1 Sie erhalten vom Telekom Trust Center eine E Mail in der Sie ber den Ablauf Ihres Zertifikats informiert werden 2 Sie rufen mit Ihrem Browser die Web Seite der Benutzer Web Schnittstelle bzw der eingeschr nkten Benutzer Web Schnittstelle auf Dabei werden Sie aufgefordert einen Benutzernamen
4. Benutzer Web Schnittstelle mit der Funktion Zertifikat abholen Um Ihren privaten Schl ssel und das Zertifikat in Ihre Client Anwendung importieren zu k nnen m ssen Sie Ihren privaten Schl ssel und das Zertifikat noch aus dem Browser in eine PKCS 12 Datei exportieren Dieser Ablauf ist in Kapitel 5 5 beschrieben 5 4 Weitere Prozesse ber die Funktionen zum Beantragen Sperren und Erneuern von Zertifikaten hinaus stehen Ihnen ber die Benutzer Web Schnittstelle bzw die eingeschr nkte Benutzer Web Schnittstelle weitere Funktionen zur Verf gung Diese werden im Folgenden beschrieben Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 56 von 86 gt E E OM 5 4 1 Zertifikat suchen Diese Funktion erm glicht Ihnen die Suche nach einem Zertifikat im Verzeichnisdienst von T TeleSec MailPass Die E Mail Adresse des Zertifikatsbesitzers wird hierbei als Suchkriterium verwendet 3 I ran mim ada via An mE mua Inder A rra pi HACE ATA AE DALE Ii al Girlie A aa e Beta geben Ge de E Wki des gemuchsen Derjdlosis sn ar dl Es warden de Malaia Barmer de za de ron bla Pa CA lader Euchkienen ossprechen Ab ALE laden Abbildung 69 Zertifikat im Verzeichnisdienst suchen Man kann bei der Suche ausw hlen ob nach der exakten oder nur einem Teil der E Mail Adresse gesucht werden soll Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 57 von 86 A AE OLA AA ada e MEET
5. Netscape Abbildung 15 Geben Sie die gew nschte PIN ein Netscape g Auf der Antwortseite in Ihrem Browser wird die Referenznummer Ihres Zertifikatsantrags angezeigt Nach dem Erscheinen der Antwortseite in Ihrem Browser k nnen Sie die Smartcard aus dem Smartcard Leser entnehmen 5 Nach der Erzeugung Ihres Zertifikats im Telekom Trust Center werden Sie per E Mail benachrichtigt Die E Mail enth lt die Referenznummer Ihres Antrags und die Web Adresse ber die S e Ihr Zertifikat abholen k nnen 6 Sie rufen mit Ihrem Browser die in der E Mail angegebene Web Seite auf Alternativ k nnen Sie auch ber die Benutzer Web Schnittstelle die Funktion Zertifikat abholen aufrufen a Tragen Sie die Referenznummer Ihres Zertifikatantrags in das vorgesehene Web Formular ein Die Referenznummer k nnen Sie der E Mail entnehmen Dokument MailPass BenutzerHB 05 dce URN San OL 00 08 2002 Version 0 5 Seite 20 von 86 E Preta abhalar Mara eli inane oapkais ekom Trust Conte MalPass tmailt Zerti kate AA AE Tania tol n OREA Estats Eite geben Se de Arlerenzremamar hrar Derio an um Gr CACA PTAS ita ol ETET Wer wanit hron den Elatus his ikai than und Sie scher de M q chken Ihr Berti ab rahalen Feiereninermemer his Aulrage K cksetzen ME Abbildung 16 Tragen Sie die Referenznummer Ihres Zertifikatantrags ein b Nach Klicken auf den 4bsenden Button wird Ihr Zertifikat angezeigt c Stecken Sie Ihre S
6. etwa wenn ein Mitarbeiter das Unternehmen verlassen hat Digitale Signatur Mit einem speziellen mathematischen Verfahren erstellte Pr fsumme Sichert die Authentizit t des Signierenden und die Integrit t der Daten Digitales Zertifikat Datensatz der den Namen einer Person oder eines Systems deren ffentlichen Schl ssel gegebenenfalls einige andere Angaben und eine Signatur einer Zertifizierungsinstanz enth lt Distinguished Name Format mit dem gem dem X 500 Standard eindeutige Namen angegeben werden k nnen In einem digitalen Zertifikat muss ein DN enthalten sein DN S ehe Distinguished Name Domain Betreiber Kunde von T TeleSec der T TeleSec MailPass einsetzt Jedem Domain Betreiber ist eine Betreiber Domain zugeordnet Dual Key Variante von T TeleSec MailPass bei der f r Verschl sselung und Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 83 von 86 Eingeschr nkte Benutzer Web Schnittstelle Elektronische Signatur Hardware Security Modul Hash Wert HSM Key Recovery Kompromittierung Kryptografie LDAP LDAP Server Lightweight Directory Access Protocol MailPass CA Mail Request Master Domain Master RA Master Registrator OCSP PIN Dokument Version 0 5 Signatur getrennte Schl sselpaare verwendet werden das hei t ein Benutzer besitzt zwei entsprechende Zertifikate Web basierte Komponente ber d e Benutzer hr Zertifikat verwalten k nnen Gegen ber der
7. Ma Pa CA Lada LALO la durn Li al duchas Lin an Zaid ls san Baraa zu impar ma ana Se bh den preinmeciten Haman und klicken E sl Impian Name E Mal Adeesse on Apr 3 1000330 00 GMT Hay 11 233500 2002 GMT Abbildung 70 Suchergebnis Das gefundene Zertifikat kann ausgew hlt und in den Browser importiert werden Die genaue Vorgehensweise f r den Import von Zertifikaten in Netscape Navigator und Microsoft Internet Explorer ist in Abschnitt 5 4 4 beschrieben 5 4 2 Zertifikat pr fen Diese Funktion erlaubt es Ihnen die G ltigkeit eines Zertifikats zu berpr fen Geben Sie in das vorgesehene Feld die Seriennummer des zu pr fenden Zertifikats ein Dokument MailPass_BenutzerHB 0 5 doc Version 0 5 Seite 58 von 86 09082002 3 Ural 1 Ena Tamika parida ri H ach Inici op ei er Be Gahi Mana wed En ir man an rg e zz dE email Zeriifikaie Lankal puin A PAS DALE nn Esta geben Se die Seriennummer hies Zerolo an Pra adds Mal Ci Lado Wr werner hien Gen Ela dira Dri md le de FikFik e q e la dem Emi Bis Dh Hirai imn CC Y 1 Abbildung 71 Geben Sie die Seriennummer des zu pr fenden Zertifikats an Als Antwort erhalten S e Informationen ber den Status des Zertifikats 3 TT Pmi Tamika parida ri H ART Inder apih Taa 3 mo mama _ O o O ENE E u e zus mal dera a 1 Lanikai puin ZAA DENE pinalih be Di E Prades Antwort ab in laden Das Zertif
8. Mail Adresse und ggf die Telefonnummer des Sub Registrators ber den Sie die Sperrung Ihres Zertifikats veranlassen k nnen und e die Nummer der Sperr Hotline ber die Sie die Sperrung Ihres Zertifikats veranlassen k nnen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 15 von 86 5 1 3 Dezentrale Registrierung ber die Web Schnittstelle beim Einsatz von Smartcards Hinweis Wenn Sie die Beantragung mit dem Netscape Navigator durchf hren m ssen Sie zun chst sicherstellen dass die Communicator Datenbank mit einem Passwort gesch tzt ist Verantwort licher Abbildung 6 Beantragung eines Benutzerzertifikats ber Web Schnittstelle mit Smartcard bei dezentraler Registrierung Abbildung 6 verdeutlicht den Ablauf der Beantragung Ihres Zertifikats Es m ssen folgende Schritte ausgef hrt werden 1 Sie werden vom MailPass Verantwortlichen benachrichtigt dass Sie ein Zertifikat beantragen k nnen Dabei wird Ihnen eine NetKey Smartcard bergeben Au erdem erhalten Sie ein Informationsblatt Dieses enth lt e die Web Adresse der Benutzer Web Schnittstelle ber die Sie Ihr Zertifikat beantragen sperren und erneuern k nnen sowie einen dazugeh rigen Benutzernamen und ein Passwort e die E Mail Adresse und ggf die Telefonnummer des Sub Registrators ber den Sie die Sperrung Ihres Zertifikats veranlassen k nnen e die Nummer der Sperr Hotline ber die Sie die Sperrung Ihres Zertifikats veranlassen
9. Qu LA og 09 08 2002 Version 0 5 o Seite 62 von 86 ertifik atssperrliste Allgemein Sperrliste Gesperrte Zertifikate 06 Mittwoch 13 M rz 2002 12 41 00 03 Mittwoch 13 M rz 2002 12 41 00 04 Montag 11 Marz 2002 09 05 00 DB Montag 11 M rz 2002 09 06 00 DE Montag 11 M rz 2002 09 31 00 11 hontaa 11 hs Pin 09 29 0111 Sperreintrag wert Abbildung 78 Die Sperrliste wird Ihnen direkt angezeigt e Datei auf Datentr ger speichern Geben Sie einen Speicherplatz f r die Sperrliste an Datei speichern unter Ei ES Speichern in de Desktop ex El Arbeitsplatz Hetzwerkumgebung Aktenkoffer Dateiname at DownloadClAL chl Dateityp Zertifikatssperriste Abbrechen Abbildung 79 Geben Sie einen Speicherplatz fiir die Sperrliste an Durch Offnen dieser Datei crl k nnen Sie sich die Zertifikatssperrliste anzeigen lassen Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 63 von 86 gt E E OM 5 4 4 Telekom Root laden Mit dieser Funktion k nnen Sie sich das Zertifikat der obersten Telekom Zertifizierungsinstanz anzeigen lassen e Netscape Navigator Durch Klicken auf den Link Download wird das Zertifikat in Ihrem Browser gespeichert e Microsoft Internet Explorer Sie haben zwei Optionen Dowriosden ano Dmie yon diesem Ort eo machen Elo mi disan Dista iarlalia Y A Cie Datei von brem akiueden Oe niren Caig Sui Cia Abbildung 80 W hlen Sie
10. Schnittstelle Mittels OCSP Online Certificate Status Protocol kann eine entsprechende Client Anwendung die dieses Protokoll unterst tzt den Status von Zertifikaten online pr fen Weitere Informationen zu dieser Schnittstelle erhalten Sie von Ihrem MailPass Verantwortlichen 4 7 Sub Registrator Bei Ihrem Domain Betreiber gibt es einen Sub Registrator welcher f r das Management Ihres Zertifikats verantwortlich ist Er nimmt folgende Aufgaben wahr Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 11 von 86 e Zertifikat beantragen Im Falle des zentralen Registrierungsmodells m ssen Sie beim Sub Registrator vorstellig werden um Ihr Zertifikat zu beantragen e Zertifikatsantr ge bearbeiten Wenn Ihr Domain Betreiber das dezentrale Registrierungsmodell gew hlt hat bearbeitet der Sub Registrator Ihren Zertifikatsantrag e Vorl ufige Zertifikatssperrungen bearbeiten Wenn Sie eine Zertifikatssperrung ber die Sperr Hotline beantragt haben muss diese durch den Sub Registrator bearbeitet werden e Zertifikat sperren Sie k nnen beim Sub Registrator per E Mail oder ggf auch telefonisch oder pers nlich die Sperrung Ihres Zertifikats anfordern Die E Mail Adresse und Telefonnummer entnehmen Sie bitte dem bei der Registrierung erhaltenen Informationsblatt 4 8 Zentrale Sperr Hotline Falls es Ihnen nicht m glich ist Ihr Zertifikat ber die Benutzer Web Schnittstelle bzw die eingeschr nkte Benutzer Web Schn
11. ffnen oder Speichern e Die Datei von Ihrem aktuellen Ort ffnen Das Zertifikat wird Ihnen direkt angezeigt mit der Option es in Ihren Browser zu importieren Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 64 von 86 Zertifikat Allgemein Details Zertifizierungspfad Zertifikats nformalioner mwecke dieses Zertifikats Wndows Hardw are Treiberbest tigung Ermoglicht die Yerschlusselung der Daten auf dem Datentr ger Ermoglicht gesicherte Kommunikation im Internet Ermoglicht es Ihnen einer Zertifikats vertrauenaliste digital zu Bestatigung von Windows Spstemkomponenter Ausgestellt fur Deutsche Telekom Aoot CA 1 Ausgestellt von Deutsche Telekom Root CA 1 Gultig ab 03 07 39 bis 10 07 13 KUsslellEieikl tinge Abbildung 81 Ansicht des Zertifikats e Datei auf Datentr ger speichern Geben Sie einen Speicherplatz f r das Zertifikat an Datei speichern unter Ei Speichern de Desktop y 2 ex El Arbeitsplatz 3 Hetzwerkumgebung Aktenk offer T Links Dateiname InstallA oot der Dateityp S cherheitszertifikat bd Abbrechen Abbildung 82 Geben Sie einen Speicherplatz fiir das Zertifikat ein Durch Offnen dieser Datei der k nnen Sie sich das Zertifikat anzeigen lassen mit der Option es in Ihren Browser zu importieren Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 65 von 86 Hinweis Je
12. hiai in Dami CA Abbildung 73 Abholen der aktuellen Sperrliste e Netscape Navigator Die Sperrliste wird direkt in den Browser geladen Sie k nnen sich die Sperrliste wie folgt anzeigen lassen a Klicken Sie in der Navigationssymbolleiste Ihres Browsers auf den Button Sicherheit b W hlen Sie in der Men leiste unter Zertifikate den Punkt Unterzeichner c Klicken Sie auf den Button CRLs anzeigen bearbeiten Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 60 von 86 BE iub A Bankoa Ass Fool CA Aranen Express LA Ameen Express Global LA BEN Ceicas Seonces CA Rock 1 simie Gybels Code Sing Poda Abbildung 74 Klicken Sie auf den Button CRLs anzeigen bearbeiten d W hlen Sie die Sperrliste der MailPass CA aus Abbildung 75 Auswahl der MailPass CRL e Durch Klick auf den Button Mehr Info k nnen Sie sich die Liste der gesperrten Zertifikate ansehen Dokument MailPass BenutzerHB 0 5 doe c ci og 09 08 2002 Version 0 5 Seite 61 von 86 Abbildung 76 Inhalt der Sperrliste sind die Seriennummern der gesperrten Zertifikate und der Zeitpunkt der Sperrung e Microsoft Internet Explorer Sie haben zwei Optionen Dateidownload Cie ten deses pps mimer ESE Abbrechen _wetere Inta Abbildung 77 W hlen Sie ffnen oder Speichern e Die Datei von Ihrem aktuellen Ort ffnen Die Zertifikatssperrliste wird Ihnen direkt angezeigt Dokument MailPass BenutzerHB 05 dco
13. nach eingesetzter Browserversion lautet die Endung der Datei m glicherweise nicht der In diesem Fall m ssen Sie die Endung vor dem Offnen der Datei in der umbenennen 5 4 5 MailPass CA Zertifikat laden Mit dieser Funktion k nnen Sie sich das Zertifikat der Zertifizierungsinstanz anzeigen lassen welche Ihr MailPass Zertifikat ausgestellt hat Durch Klicken auf den Link Download k nnen Sie das Zertifikat in Ihren Browser integrieren Das Vorgehen ist identisch mit dem in Kapitel 5 4 4 beschriebenen Umgang mit dem Zertifikat der Telekom Root CA 5 4 6 Richtlinien laden ber diesen Men punkt k nnen Sie das CPS Certification Practice Statement f r T TeleSec MailPass downloaden Dieses Dokument enth lt die Richtlinien f r den Betrieb der MailPass CA und Regeln f r den Umgang mit den von dieser CA ausgestellten Zertifikate Das Dokument liegt im PDF Format vor Um es ffnen zu k nnen ben tigen Sie den Adobe Acrobat Reader 5 5 Export einer PKCS 12 Date Um Ihren privaten Schl ssel und das Zertifikat in Ihre Anwendungs Software importieren zu k nnen m ssen Sie Schl ssel und Zertifikat zun chst aus dem Browser in einer Date p12 speichern Dieser Vorgang ist je nach eingesetztem Browser verschieden 5 5 1 Netscape Navigator 1 Klicken Sie in der Navigationssymbolleiste Ihres Browsers auf den Button Sicherheit Security F Trust Center Netscape File Edt View Go Communicator Help a a sad
14. rterb cher durchzuprobieren und dabei auch hunderte abgewandelter Schreibweisen beispielsweise telefon tELEFON TelefOn einbeziehen Beachten S e daher die aufgef hrten Richtlinien f r die Wahl Ihres Passworts Diese sollten Sie au erdem beachten wenn Sie Ihr Zertifikat selbst mit Ihrem Browser beantragt haben oder wenn Sie Ihr Zertifikat erneuern In diesem Fall befindet sich Ihr privater Schl ssel in der Datenbank Ihres Web Browsers die ebenfalls mit einem Passwort gesch tzt ist Auf dieses Passwort sollten Sie die gleichen Sicherheitsvorkehrungen anwenden Im Einzelnen gelten folgende Richtlinien e W hlen Sie kein Passwort das ein sinnvolles Wort darstellt beispielsweise Hund Unterhaching oder Telekom Viele Hacker verwenden Wortdateien in denen auch ungebr uchliche fremdsprachige geografische und fachspezifische Begriffe enthalten sind Insbesondere sollten Sie auch keinen Begriff aus ihrer unmittelbaren Umgebung Name Wohnort w hlen e W hlen S e kein Passwort das aus einem sinnvollen Wort abgeleitet ist beispielsweise hUNd oder Dnub Es gibt spezielle Computerprogramme die aus einem Wort hunderte anderer W rter ableiten und dabei alle denkbaren Verw rfelungen und Ersetzungen einbeziehen e Verwenden Sie Passw rter die mindestens acht Zeichen lang sind e Ein Passwort sollte sowohl Gro und Kleinbuchstaben als auch Ziffern und Sonderzeichen enthalten e Au
15. tm gliche Sicherheit zu erreichen sollten Sie jedoch sowohl den Zugang zum PSE als auch das Passwort sch tzen Um keinem Angreifer Zugang zum Software PSE zu erm glichen beachten Sie bitte folgende Richtlinien Da eine Datei im Gegensatz zu einer Smartcard einfach kopiert werden kann sind diese Hinweise besonders wichtig Erzeugen Sie nur eine Sicherheitskopie der Datei und verwahren Sie diese an einem sicheren Ort Speichern Sie die Datei ausschlie lich auf einer Diskette oder in einem lokalen Verzeichnis Achten Sie darauf dass niemand Zugriff auf die Datei hat Achten Sie darauf dass niemand die Datei kopieren kann Geben S e die Datei nicht an andere weiter auch nicht vor bergehend Lassen Sie bei Verdacht auf unbefugten Zugang zu Ihrem PSE das Zertifikat bzw die Zertifikate unverz glich sperren Um zu verhindern dass ein Angreifer Kenntnis ihres Passworts erlangt sind weitere Ma nahmen notwendig Im Gegensatz zur Smartcard die nach der Eingabe dreier falscher PINs ihren Betrieb einstellt gibt es bei einem Software PSE keinen Schutz vor dem Durchprobieren beliebig vieler Passw rter Dies gilt nat rlich insbesondere dann wenn ein Angreifer ungest rt mit einer Kopie Ihres Software PSEs arbeiten kann Das Durchprobieren von Passw rtern l sst sich sogar automatisieren wodurch ein Angreifer mehrere Tausend Passw rter pro Sekunde testen kann Es ist keine Seltenheit dass Hacker diese M glichkeit nutzen um ganze W
16. und ein Passwort anzugeben Diese Daten k nnen S e dem Informationsblatt entnehmen welches Sie bei der Registrierung erhalten haben Hetzwerkkennwort eingeben ES p gt Geben Sie Benutzernamen und Kennwort ein Site Aanaca telesec de Bereich Enterprise Server Benutzernare Kennwort Abbrechen Abbildung 61 Anmeldung mit Benutzername und Passwort 3 W hlen Sie die Funktion Zertifikat erneuern Damit nur Sie in der Lage sind Ihr Zertifikat zu erneuern wird eine SSL Client Authentifizierung durchgef hrt Hierzu m ssen Sie das zu erneuernde Zertifikat aus der angezeigten Liste ausw hlen Bei Einsatz des Netscape Navigators wird das Passwort f r die Communicator Datenbank abgefragt Dokument MailPass_BenutzerHB 0 5 doc S e it e 52 von 86 09 08 2002 Version 0 5 Zertifikat ausw hlen Netscape Abbildung 62 W hlen Sie das zu erneuernde Zertifikat aus Netscape Clientauthentifizierung Hanna Hoffmann Abbildung 63 W hlen Sie das zu erneuernde Zertifikat aus Internet Explorer 4 Es erscheint ein Online Formular auf dem Ihnen Ihr Zertifikat angezeigt wird Dokument MailPass_BenutzerHB 0 5 d0c oo ak gza oO 09 08 2002 Version 0 5 Seite 53 von 86 O ratita H arar Hirn Iren aplicar AA AA Hi i K lfl Burt Serti lt 5 Pa dl LLE qu pa Caan Li A EL ma E AR L b de Lidl ie a a een pe dd Jarh a e Tra amd Mar CA Lada tna sl Emcuciung Hags Hallfass Zorif
17. vollst ndigen Benutzer Web Schnittstelle ist allerdings keine Beantragung von Zertifikaten m glich sondern lediglich eine Erneuerung S ehe digitale Signatur Hardwarebox zur sicheren Erzeugung und Speicherung privater Schl ssel In diesem Zusammenhang eine kryptografische Pr fsumme fester L nge die korrekte Bezeichnung w re kryptografischer Hashwert Es soll m glichst unwahrscheinlich sein aus dem Hashwert die Eingabe berechnen oder mehrere m gliche Eingaben zu dem gleichen Hashwert finden zu k nnen Hashwert wird synonym zu Fingerprint verwendet Statt einem gesamten digitalen Dokument wird meist nur ein Hashwert signiert S ehe Hardware Security Modul Mechanismus zur Schl sselwiederherstellung Diese kann notwendig sein wenn ein Benutzer seinen Schl ssel etwa durch eine besch digte Datei verliert Ein geheimer Schl ssel st kompromittiert wenn er Unbefugten bekannt geworden ist oder von diesen genutzt werden kann Eine Kompromittierung kann etwa die Folge eines kriminellen Angriffs sein Wissenschaft die sich mit der Verschl sselung von Daten und verwandten Themen besch ftigt etwa digitale Signatur S ehe Lightweight Directory Access Protocol Server der Informationen speichert die ber LDAP abrufbar sind Protokoll zur Abfrage von Verzeichnissen welches das deutlich kompliziertere Directory Access Protocol DAP in vielen Bereichen verdr ngt hat LDAP bietet mehr M glichkeiten als HTTP und FTP et
18. von Dual Key ist der Ablauf nahezu identisch Der einzige Unterschied besteht beim Laden des Zertifikats auf die Smartcard Hier m ssen beide Zertifikate separat durch Klicken der entsprechenden Buttons abgeholt werden Nach der Erzeugung Ihres Zertifikats im Telekom Trust Center werden Sie per E Mail benachrichtigt Die E Mail enth lt die Referenznummer Ihres Antrags und eine Web Adresse ber die Sie auch alternativ Ihr Zertifikat abholen k nnen Eine weitere Alternative ist die Abholung ber die eingeschr nkte Benutzer Web Schnittstelle mit der Funktion Zertifikat abholen 5 3 2 Einsatz von Software PSEs Dieser Ablauf kann nur durchgef hrt werden wenn Ihr zu erneuerndes Zertifikat g ltig ist und mit dem zugeh rigen privaten Schl ssel in Ihrem Browser vorliegt Pr fen Sie also zun chst ob sich das Zertifikat in Ihrem Browser befindet e Netscape Navigator a Klicken Sie in der Navigationssymbolleiste Ihres Browsers auf den Button Sicherheit Security Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 o Seite 44 von 86 b c F Trust Center Netscape File Edt Yen Go Communicator Help a a 3 08 lt EM Back ESA Reload Home Search Netscape Erin Securt Shop Stop bn Abbildung 47 Der Button Sicherheit bei Netscape W hlen Sie in der Men leiste unter Zertifikate den Punkt Eigene ber den Button Anzeigen k nnen Sie sich die Eigenschaften der dort aufgef hrten Zertifikate an
19. welches Ihnen Ihr MailPass Verantwortlicher bergeben hat Auf diesen Web Seiten stehen Ihnen folgende Funktionen zur Verf gung e Zertifikat beantragen Mit Hilfe dieses Online Formulars k nnen Sie Ihr pers nliches Zertifikat beantragen e Zertifikat abholen Nach erfolgter Zertifizierung werden Sie vom Telekom Trust Center per E Mail dar ber informiert dass Sie Ihr Zertifikat abholen k nnen Daf r steht Ihnen diese Funktion zur Verf gung e Zertifikat sperren Wenn Ihr privater Schl ssel in falsche H nde gelangt ist oder ein anderer wichtiger Grund vorliegt k nnen S e ber diesen Men punkt die Sperrung Ihres Zertifikats veranlassen e Zertifikat erneuern Ihr Zertifikat hat eine begrenzte G ltigkeitsdauer Bevor diese abl uft werden Sie vom Telekom Trust Center per E Mail daran erinnert das Zertifikat zu erneuern Die Erneuerung k nnen Sie ber dieses Online Formular anfordern o Zertifikat pr fen Hier k nnen Sie pr fen ob Ihr Zertifikat g ltig ist e Sperrlisten abholen Die Sperrung von Zertifikaten wird ber eine Sperrliste bekannt gemacht Mit dieser Funktion k nnen S e eine aktuelle Liste der gesperrten Benutzerzertifikate CRL Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 9 von 86 Certificate Revocation List bzw der gesperrten CA Zertifikate ARL Authority Revocation List anfordern e Zertifikat suchen Hier k nnen Sie ein Zertifikat im Verzeichnisdienst suchen Ist da
20. werden die Zertifikatsdaten angezeigt Mit Klicken auf den Button Zertifikat abholen wird Ihr erneuertes Zertifikat in die Browserdatenbank geschrieben Bitte beachten Sie dass es zu kurzen zeitlichen Verz gerungen kommen kann da dies ein Online Prozess ist MailPass_B HB 0 5 d 09 08 2002 en ass_ enutzer OC Seite 55 von 86 Version J mita ARA Mara cali mirer Epa O Einer a E 3 k q Druk Aaksuchen em ran Yai Luchar Fasartar Der Had l de l un acento ii hiipr i LET Fr a a Hafer Dann 2 terindien EBSS himd m Ui a rs AB BEA BELST ae A AAA AAA A PLILZIEERTE Th bih Hard Taken Antwort Bar LA Li Hold Lada Kleckien Sa auf den Button Zatika abholen um br Zertifikat in den Erowser zu retiren Zerthssstediaten Mustafa GmbH musierfinma de 85585 Musa a des Buchhalung LE HTA Harnenn holmarna de Abbildung 68 Laden des erneuerten Zertifikats Beim Einsatz von Dual Key ist der Ablauf nahezu identisch Der einzige Unterschied besteht beim Laden des Zertifikats in die Browser Datenbank Hier m ssen beide Zertifikate separat durch Klicken der entsprechenden Buttons abgeholt werden Nach der Erzeugung Ihres Zertifikats im Telekom Trust Center werden Sie per E Mail benachrichtigt Die E Mail enth lt die Referenznummer Ihres Antrags und eine Web Adresse ber die Sie auch alternativ Ihr Zertifikat abholen k nnen Eine weitere Alternative ist die Abholung ber die eingeschr nkte
21. 0 5 Hanna Hoffmann Abbildung 41 W hlen Sie das zu erneuernde Zertifikat aus Internet Explorer 5 Es erscheint ein Online Formular auf dem Ihnen Ihr Zertifikat angezeigt wird E a ira Hei Ins U sp Oir ram Dl id na nido Maira LA Labor Anag auf Emeuerung Haes Hailfass Zorifikos Zardk al Sr gleschen Inhalt hal wia das zu erneyernde Darle Dis cu sera Fark a bainhahat folgesda Manan Land DE Betreiber Firma irte Gmbh Betreibar Diomen li munlerirma de Zust ndigkeriebereich 00 aymar mu arbre de Benuiramame E kishAcresue Abbildung 42 Antrag auf Erneuerung eines Benutzerzertifikats Dokument MailPass_BenutzerHB 0 5 doc QA AN HH OL 00 08 2002 Version 0 5 Seite 42 von 86 E E E E E Gehen Sie bitte wie folgt vor a F r das Feld zur Auswahl des Schl sselgenerators w hlen Sie bitte folgende Einstellungen e Netscape Navigator 1024 Verschl sselung hoher Komplexit t Informationen zum ffentlichen Schl ssel Public Key 1024 Verschl sselung hoher Komplexit t Abbildung 43 Einstellen der Schl ssell nge Netscape e MS Internet Explorer Kobil Smart CSP v1 0 Informationen zur Schl ssell nge Kobil Smart CSP v1 0 Abbildung 44 Einstellen der Schl ssell nge Internet Explorer b Bet tigen Sie den Button Absenden Wenn Sie den Netscape Navigator verwenden erscheint ein neues Fenster in dem Sie die Smartcard ausw hlen m ssen Private Key erstellen N
22. 09 08 2002 Version 0 5 Seite 38 von 86 m E EE 5 2 2 Sperren eines Zertifikats ber den Sub Registrator Bei der Registrierung haben Sie die E Mail Adresse und ggf auch die Telefonnummer eines verantwortlichen Sub Registrators erhalten Zum Sperren Ihres Zertifikats k nnen Sie an diese Adresse eine E Mail mit folgendem Inhalt senden e Referenznummer Ihres Zertifikatsantrages Seriennummer Ihres Zertifikats oder die E Mail Adresse die in Ihrem Zertifikat enthalten ist e Ihren Namen und die Abteilung e Grund f r die Sperrung Ihres Zertifikats e Sperrpasswort Gperauftrag Zertifikat Nachricht Datei Bearbeiten Ansicht Einf gen PGP Format Extras verfassen 7 ee ds Ball af r Arial westlich 10 Machricht Optionen An subregistrator essen musterfirmade 0 amp Betreff Sperrauftrag ea Bitte folgendes Zertifikat sperren Seriennummer 32 Mame Hanna Hoffmann Abteilung Buchhaltung Sperrgrund Schl ssel kompromittiert Sperrpasswar Ehjrm Abbildung 38 Beispiel f r eine E Mail zum Sperren des Benutzerzertifikats Der Sub Registrator pr ft anhand des angegebenen Sperrpassworts ob Sie berechtigt sind das Zertifikat zu sperren Danach veranlasst der Sub Registrator die Sperrung Ihres Zertifikats Die Sperrung ist endg ltig Sie werden per E Mail vom Trust Center ber die Sperrung informiert Sollten Sie Ihr Sperrpasswort nicht mehr zur Verf gung haben m ssen Sie pers nlic
23. 6 Internetoptionen EEE u E en a Arama Abbildung 53 Klicken Sie im Men nhalt auf den Button Zertifikate c W hlen Sie in der Zertifikatsverwaltung den Punkt Eigene Zertifikate Dokument MailPass_BenutzerHB 0 5 d0c QArti AO Han og 09 08 2002 Version 0 5 Seite 48 von 86 ertifikatsvermaltung Geplanter Zweck lt Alle gt gt Eigene Zertifikate Andere Personen Zwischenzertifizierungsstellen Yertrauensw rdige SIA Ausgestellt f r amp usgestellt von _ G ltig bis Angezeigter Name Mustermann MailP ass Demo CA 15 05 02 Keme gt Importieren Exportieren Entfernen Erweitert A E eabsichtigte Zwecke des Zertifikats lt Alle gt Anzeigen Schlielen Abbildung 54 Klicken Sie auf den Button Importieren d Klicken Sie auf den Button Importieren Import Assistent fur die Zertifikatsrerwaltung willkommen Dieser Assistent hilft Ihnen beim Kopieren von Zertifikaten Zertifikatevertrauvenealisten und sperrlisten von Ihrem Datentr ger in den Zertifikatsspeicher Was it em Zertifikat Ein Zertifikat wird von einer Zertifzierungsstelle ausgestellt und dient der Best tigung Ihrer Identit t Zertifikate enthalten Informationen f r den Datenschutz oder f r den Aufbau sicherer Metzwerkvrerkindungen Was ist ein Zertifikatsspeicher Ein Zertihikatsspeicher ist ein Systembereich in dem Zertifikate Zerhfikatsvertrauenslist
24. 8 Back Eoma Reload Home Search Netscape Fria Securit Shop Stop ar Abbildung 83 Der Button Sicherheit bei Netscape 2 W hlen Sie in der Men leiste unter Zertifikate den Punkt Eigene 3 W hlen S e aus den dort angezeigten Zertifikaten das aktuell von der MailPass CA ausgestellte Zertifikat Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 66 von 86 E Hepe O AmE Ihre Zertifikate Sicherheirsinformatione Se k nnen dese Zernficale belebig einsetzen um sich gegeniker anderen Benartrera und E sirios eb Se uses Comercios verendel Dre Jerika su Echsen SE der an Se gesendeten Informatiomen Ihre Zeraicale werden von der aussen Mura ne ee laiieiger ara ara rrpp Zertifikare E Andare Herra heer Erypiogp aphie Module EJ Es emplebhi mh Eopen der Zert ikate amiei und de Lerdo an enem acheren Ort aafsbewalres Ba Velmi de Zeridicale verkeren Se de Fihaki serschhissehe Hachnicheen zu bse Auderdem K nnen Le der Ausweisung gegemm her anderen Web Saes Probleme auftreten Tanika aslarda m cai Moron j Ok Abbrechen Hiie Abbildung 84 W hlen Sie das zu exportierende Zertifikat aus 4 Klicken Sie auf den Button Exportieren Sollte Netscape anschlie end mehrere Zertifikate unter der ausgew hlten Zertifikatsbezeichnung darstellen markieren S e anhand der dargestellten G ltigkeitsdauer das aktuellste 5 Das Passwort f r die Sicherheitsumgebung Ihres Brows
25. B 0 5 doc e 09 08 2002 Version 0 5 Seite AO von 86 Netzwerkkennwort eingeben 5 a p Geben Sie Benutzernamen und Kennwort ein gite waca telesec de Bereich Enterprise Server Benutzername Kennwort Abbrechen Abbildung 39 Geben Sie Benutzernamen und Passwort f r die Benutzer Web Schnittstelle ein 3 Stecken Sie Ihre Smartcard in den Smartcard Leser ein 4 W hlen Sie die Funktion Zertifikat erneuern Bei Einsatz des Netscape Navigators wird nun Ihre PIN abgefragt Damit nur Sie in der Lage sind Ihr Zertifikat zu erneuern wird eine SSL Client Authentifizierung durchgef hrt Hierf r m ssen Sie das Zertifikat angeben welches Sie erneuern m chten W hlen Sie daf r die Smartcard aus Bei Einsatz des MS Internet Explorers m ssen Sie nun Ihre PIN eingeben W Zertifikat ausw hlen Netscape amp Zertifikat ausw hlen Die Netsite wwwoca telesec de verlangte eine Echtheitsbest tigung des Client Servers Dies ist das Zertifikate der Netsite zertifikat f r Deutsche Telekom AG Unterzeichnet von Deutsche Telekom AG verschl sselung Highest Komplexit t RC4 mit 128 Bit Yerschl sselung zur Geheimhaltung Mehr Info W hlen Sie Ihr Zertifikat TCOS 2 0 Chipkarte an COM 1 TCOS CoOM1 Zertifikat Nr 01 Abbrecher Weiter Abbildung 40 W hlen Sie das zu erneuernde Zertifikat aus Netscape Dokument MailPass_BenutzerHB 0 5 doc S e it e A von 8 6 09 08 2002 Version
26. Die Deutsche Telekom stellt im Rahmen des MailPass Services NetKey E4 Smartcards zur Verf gung Diese sind von unabh ngigen Stellen gepr ft und gen gen h chsten Sicherheitsanforderungen 2 4 S ngle Key Dual Key Beim Anlegen eines Zust ndigkeitsbereichs Sub Domain wird festgelegt ob die Benutzer dieses Zust ndigkeitsbereichs Dual Key oder Single Key verwenden Wenn f r Ihren Zust ndigkeitsbereich Single Key konfiguriert wurde verwenden Sie ein Schl sselpaar F r dieses erhalten Sie ein Zertifikat Das Zertifikat k nnen Sie sowohl zur Signatur als auch f r Verschl sselung einsetzen Wenn f r Ihren Zust ndigkeitsbereich Dual Key konfiguriert wurde verwenden Sie zwei getrennte Schl sselpaare F r jedes erhalten Sie ein Zertifikat Sie haben also zwei Zertifikate f r verschiedene Verwendungszwecke je eins f r Signatur und Verschl sselung Die Verwaltung der beiden Zertifikate erfolgt synchron Sie werden gemeinsam beantragt bei vorl ufiger Sperrung des einen Zertifikats erfolgt automatisch auch die vorl ufige Sperrung des anderen Zertifikats und auch die Erneuerung erfolgt nur f r beide Zertifikate zusammen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 6 von 86 3 AUFGABEN DES BENUTZERS Als Benutzer sind Sie verantwortlich f r verschiedene Aufgaben im Umgang mit Ihrem Zertifikat Dies beinhaltet insbesondere die Beantragung die Sperrung und die Erneuerung Ihres Zertifikats Wie S
27. Import Assistent 4 Der Import Assistent fordert Sie auf den Zertifikatsspeicher anzugeben Verwenden Sie die angegebene Option und Klicken Sie Weiter Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 74 von 86 Import Ass stent fur die Zertifikatsrerwaltung lt ertifikatsspeicher ausw hlen zertifikatsspeicher sind Systembereiche in denen Zertifikate gespeichert werden Wahlen Ste den zZertifikatzspeicher fur die neuen Zertifik ate Alle Zertifikate in folgendem Speicher speichern zertiikatsspeichen Mirehsucher PEA Abbildung 98 Auswahl des Zertifikatsspeichers 5 Beenden Sie den Import Assistenten durch Klicken des Button Fertig stellen Import Ass stent fur die Zertifikatsverwaltung Fertigstellen des Assistenten Der Import Assistent fur die Zertifikatewermaltung wurde ordnungsgemal abgeschlossen Sie haben Folgendes fur den Importrorgang ausgew hlt Yom Assistenten gew hlter Zertifikatsspeicher Vertrauens Inhalt Kelme lt AUUE Abbildung 99 Fertigstellung des Import Assistenten 6 Sie erhalten eine entsprechende Meldung Klicken Sie OK Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 75 von 86 Import Ass stent fur die Zertifikateverwaltung E g Der Importrorgang war erfolgreich Abbildung 100 Weiter mit OK 7 Es folgt eine Abfrage ob die Zertifikate der Smartcard nun registriert werden sollen Klicken Sie J
28. MailPass Zertifikat und den dazu geh renden privaten Schl ssel verwendet Benutzer Web Schnittstelle Web basierte Komponente ber die Benutzer ihr Zertifikat verwalten k nnen Beantragung Erneuerung Sperrung etc Betreiber Domain Bereich in dem ein T TeleSec Kunde Domain Betreiber MailPass Zertifikate einsetzt Die Betreiber Domain ist durch einen festzulegenden Namen gekennzeichnet der in den Zertifikaten aufgef hrt ist CA Certification Authority Siehe Zertifizierungsinstanz Certificate Policy Legt die Richtlinien f r die Generierung und Verwaltung von Zertifikaten eines bestimmten Typs fest Certificate Revocation List Siehe Sperrliste Certification Authority S ehe Zertifizierungsinstanz Certification Practice Richtlinien f r den Betrieb einer Zertifizierungsinstanz Insbesondere Statement umfasst das CPS alle CPs einer Zertifizierungsinstanz Chipkarte Plastikkarte mit integriertem Computerchip Telefonkarten sind ein Beispiel daf r Ist der Computerchip dazu in der Lage Berechnungen durchzuf hren so spricht man auch von einer Smartcard Smartcards k nnen auch f r kryptografische Anwendungen eingesetzt werden CP S ehe Certificate Policy CPS S ehe Certification Practice Statement CRL Certificate Revocation List Siehe Sperrliste Data Recovery Mechanismus zur Datenwiederherstellung Diese kann notwendig sein wenn eine Datei nicht mit dem entsprechenden Benutzerschl ssel entschl sselt werden kann
29. PSES ooooccnncccccnccccnccononnnoonnnnncnncnnnnnonnnnnnnnnnnnos 15 5 1 3 Dezentrale Registrierung ber die Web Schnittstelle beim Einsatz von Smartcards 16 9 1 4 Dezentrale Registrierung ber die Web Schnittstelle beim Einsatz von Software PSESs 23 5 1 5 Dezentrale Registrierung ber die Mail Request Schnittstelle ccocccccccnnnnnnnnononononcnnnnnnnnnos 30 5 2 Sperren emes Zertiikals ara Ringes 31 A Sperren eines Zertifikats ber die eingeschr nkte Benutzer Web Schnittstelle 31 BETT MS RATEN Seite 2 von 86 09 08 2002 zz Sperren eines Zertifikats ber den Sub Registrator cccccoooooooooooononcnnnnnnnnnnonononononnnonononnnnnnnnnnnnnnnos 39 SNS Sperren eines Zertifikats ber die SpertHo Me ui a 39 5 3 Erneuern eines Zertifikats an AR A a s 40 33 1 Einsatz von Smartcards sans ai aloja 40 IL Einsatz von Sottware ES ES 44 5 4 Weitere O 56 5 4 1 al A aa EEE TEE 57 5 4 2 ZA e O 58 5 4 3 SPESE AA A ln 59 5 4 4 Telekom Rod a do ed e 64 5 4 5 MailPass CAZA ses 66 5 4 6 Richtlinien laden sans he 66 5 5 Export emer PRCSF12 Daten cnt 66 32 1 Detseape NIVE Orr ee cds 66 3 9 2 Microsoft Internet Explorer di a aana as 68 5 6 Hinweise zum Einsatz des Internet Explorers 00000000000000000000000000000000000000 0000000000000 000000000 000000000 73 6 SICHERTMEITSHINWEISE ss 78 6 1 INTE Mancarda tdci dd ias 78 6 2 E A a E EEA E ETE E ORA e K a a O
30. Pass Verantwortlicher des Domain Betreibers zur Verf gung Die einzelnen Komponenten werden in diesem Kapitel beschrieben 4 1 Voraussetzungen Um die Web Schnittstellen f r die Zertifikatsdienste von T TeleSec MailPass nutzen zu k nnen muss Ihr Arbeitsplatz folgende Voraussetzungen erf llen e Web Browser e Smartcard Leser nur wenn Smartcards zum Einsatz kommen e E Mail Account Genaue Informationen zu den eingesetzten Produkten erfahren S e von Ihrem MailPass Verantwortlichen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 8 von 86 4 2 Benutzer Web Schnittstelle 3 muai Camin Hrani Inn Tepe Malis wan E rie Dies im der Feriehrienungesengi dur T Teie er P arl F mea Hi Hih iwi Onima F ilan binin Se la darikai beardragen an rach atog Zerifiziesute ao bag inf hr pmm Srhimsal n ream s H nde gelarafir Daran k nser E hier umgehend hi Forti aparar var Abai dar Gala en ie Tak kom Trusi Comer par E Mad deras erinmarl des ceri dca zu amarem Le Cremna kinn je ben densa One Firma adim ER nera Abbildung 2 Startseite der Benutzer Web Schnittstelle Die Benutzer Web Schnittstelle steht Ihnen zur Verf gung wenn Ihr Domain Betreiber das dezentrale Registrierungsmodell gew hlt hat Diese Komponente k nnen Sie mit Ihrem Browser aufrufen Dabei werden Sie aufgefordert einen Benutzernamen und ein Passwort einzugeben Die erforderlichen Daten k nnen Sie dem Informationsblatt entnehmen
31. T TeleSec MailPass Trust Center Service f r sichere E Mail MailPass email Zertifikate Benutzerhandbuch Version 0 5 Stand 09 08 2002 T Systems MV Systems T TeleSec Untere Industriestra e 20 57238 Netphen Deutsche N N y Telekom INHALTSVERZEICHNIS 1 EINCEHITUNG leads 4 2 PREGRUNDLAGEN u u een 5 2 1 Schl ssel und Zertilik tesan ssussansaunnnnanesn ner sans EENES EE 5 24 2 Das Trust Center und der Domain Betreiber cossssssssssssssssssssssnnnnnsssssnnnnnnnnnnsssssssnnnnnnssssssnnns 5 2 3 Smartcards und SOllWwareRSES iii ia 6 2 4 Single Key DualKevia sense seien id 6 3 AUFGABEN DES BENUTZERS sscccscasacasiasasiaa acacia tennis 7 KOMPONENTEN 32 424322 42 8 4 1 N OTAusSetzungen nee 8 4 2 Ben tzer Web Schmittstelle sauna EIER RA HEIM Ra 9 4 3 Eingeschr nkte Benutzer Web Schnittstelle 0 ssss0s0s0000000000000000000000000000n0nnn00nnnnssnnnnsssnnnnns 10 4 4 Mail Request Schnittstelle u oo a noe eaaa 11 4 5 LDAP Schnittstelle 2 u sesaseesasssesen ans ssnaaeser O 11 4 6 OC SP Schnittstelle ua a 11 4 7 Sub Repistr afor ar ni a 11 4 8 Zentrale Sperr Hotline sea een 12 4 9 Mailbass Verantwortlicher scheisse 12 9 PROZESSE instant 13 5 1 Be ntracen eines Zertifikats ea 13 5 1 1 Zentrale Registrierung beim Einsatz von Smartcards oooooooonnnncnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnos 14 a Zentrale Registrierung beim Einsatz von Software
32. a Zertifikate registrieren wWolen Sie dah Smart Rep die Zertifikate auf Ihrer Chipkarte automatisch registriert Abbildung 101 Klicken Sie Ja zum Import Ihres Zertifikats 8 Geben Sie nun die PIN Ihrer Smartcard am Smartcard Terminal ein und dr cken Sie an der Tastatur des Terminals die Best tigungstaste Sichere PIN Emgabe Abbildung 102 Sie miissen Ihre PIN an der Tastatur des Smartcard Terminals eingeben 9 Ihr Zertifikat wird von der Smartcard gelesen und in den Browser importiert Lese Zertifikat aus TCOS certificate DO MOBIL SMART LE Abbildung 103 Automatisches Auslesen des Zertifikats 10 Auf Ihrer Smartcard befinden sich mehrere Speicherbereiche f r Zertifikate Das verwendete Tool versucht nun aus allen Speicherpl tzen die Zertifikate herauszulesen Da Ihre Smartcard aber nur Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 76 von 86 ein Zertifikat bei Single Key bzw zwei Zertifikate bei Dual Key enth lt erscheint beim Versuch die anderen Speicherpl tze auszulesen eine Fehlermeldung Klicken Sie auf Abbrechen TCOS certificate 01894901 7230000025391 n l ed Lan not register cert Do pon want bo rety 7 Abbrechen Abbildung 104 Fehlermeldung beim Versuch weitere Zertifikate von der Smartcard zu lesen Ihr Zertifikat ist nun in der Browser Datenbank gespeichert Der private Schl ssel befindet sich jedoch ausschlie lich auf der Smartcard Sie
33. aE AES 78 6 3 Weitere Richt inie ari 80 7 PROBLEME UND L SUNGEN zunnnssnannsnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnen 81 GLOSSAR taaan oasis casan eee E 83 Dokument MailPass_BenutzerHB 0 5 doc S e it e 3 von 86 Version 0 5 09 08 2002 1 EINLEITUNG Viele Unternehmen und Organisationen nutzen heute die Vorteile die sich aus Anwendungen wie dem Informationsaustausch mittels E Mail dem Dateitransfer oder Web Services zum Beispiel ber Portale ergeben Die Vorteile die mit der Nutzung elektronischer Medien einhergehen werden h ufig durch Gefahren und Einschr nkungen gemindert oder gar aufgehoben So wird gesch ftliche Korrespondenz oft unverschl sselt mittels E Mail abgewickelt Bestellungen werden nicht elektronisch signiert und Benutzer von Web Seiten k nnen nicht eindeutig identifiziert werden Vergleicht man diese neuen elektronischen Gesch ftsprozesse mit den konventionellen werden die Risiken augenscheinlich Niemand k me auf die Idee Gesch ftsbriefe in Klarsichth llen oder auf Postkarten zu versenden Eine Bestellung ohne Unterschrift und eindeutigen Absender w rde wohl niemand bearbeiten Es ist daher erforderlich L sungen zu finden welche die zentralen Sicherheitsziele eines Unternehmens f r elektronische Gesch ftsprozesse erf llen e Vertraulichkeit Daten sollen vor unberechtigter Einsichtnahme gesch tzt werden Dies kann durch sichere Verschl sselung erreicht werden e Integrit t D
34. aten sollen vor Manipulation gesch tzt werden Mit Hilfe digitaler Signaturen k nnen nderungen an Daten erkannt werden e Authentizit t Die Herkunft von Daten soll zweifelsfrei erkannt werden k nnen Mit Hilfe digitaler Signaturen k nnen Daten bestimmten Personen zugeordnet werden Ebenso k nnen Personen beim Zugriff auf gesch tzte Web Seiten identifiziert werden Mit dem Einsatz von Public Key Verfahren auf Bas s digitaler Zertifikate k nnen diese Ziele erreicht werden Mit T TeleSec MailPass bietet die Deutsche Telekom die Infrastruktur und den Service f r die Ausstellung und die Verwaltung entsprechender digitaler Zertifikate an Das vorliegende Handbuch wendet sich an die Benutzer des MailPass Service der Deutschen Telekom TeleSec Neben einer kurzen Einf hrung werden die dem Benutzer zur Verf gung stehenden Komponenten und deren Bedienung erl utert Hauptbestandteil dieses Handbuchs ist eine detaillierte Beschreibung der vom Benutzer auszuf hrenden Aufgaben Weitere Kapitel widmen sich Hinweisen zur Sicherheit sowie der Behandlung h ufig auftretender Probleme Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 4 von 86 2 PKI GRUNDLAGEN 2 1 Schliissel und Zertifikate F r den sinnvollen Einsatz von Verschl sselungs Signatur und Authentifizierungsverfahren werden digitale Zertifikate ben tigt Ein Zertifikat ist eine Art elektronischer Ausweis mit dem die Identit t des Inhabers berpr ft werde
35. atum oder sechsmal dieselbe Ziffer e W hlen Sie nach M glichkeit keine Zahl die Sie auch an anderer Stelle als Geheimzahl oder PIN verwenden e ndern Sie Ihre PIN nach M glichkeit mindestens einmal j hrlich e Achten Sie darauf dass niemand Ihre PIN bei der Eingabe ersp hen kann e Teilen Sie Ihre PIN auf keinen Fall einem Anderen mit Auch Mitarbeiter der T TeleSec werden Sie nie nach Ihrer PIN fragen e Notieren Sie Ihre PIN nach M glichkeit nicht sondern merken Sie sich Ihre PIN e Falls Sie sich Ihre PIN doch notieren bewahren Sie die Notiz unbedingt getrennt von Ihrer Smartcard auf und achten Sie darauf dass niemand Zugang dazu hat 6 2 Ihr Software PSE Falls Sie keine Smartcard als Speicher f r den privaten Schl ssel einsetzen wird dieser in einem so genannten Software PSE gespeichert Dabei handelt es sich um eine verschl sselte Datei pl2 oder pfx die mit einem Passwort gesch tzt ist Im Vergleich zu einer Smartcard bietet ein Software PSE eine geringere Sicherheit Es ist daher noch mehr als bei einer Smartcard notwendig dass Sie Ihr Software PSE durch geeignete Ma nahmen sch tzen Grunds tzlich sind dabei zwei Belange zu Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 1 8 von 86 beachten Zum einen darf niemand Zugang zu ihrem PSE haben und zum anderen darf niemand Ihr Passwort erfahren Ein Missbrauch ist zwar nur m glich wenn ein Angreifer PSE und Passwort besitzt Um eine gr
36. ch f r Hacker schwer zu erraten gelten beispielsweise Passw rter die aus zwei voneinander unabh ngigen W rtern bestehen die durch ein zus tzliches Zeichen getrennt sind Beispiele daf r sind etwa hype Sonne oder unna Steckdose hnlich sicher sind Kunstw rter die sich aus den Anfangsbuchstaben eines Satzes ergeben also etwa MH dh4E Mein Hut der hat 4 Ecken Achten Sie darauf dass niemand Ihr Passwort bei der Eingabe ersp hen kann ndern Sie Ihr Passwort nach M glichkeit mindestens einmal j hrlich Teilen Sie Ihr Passwort auf keinen Fall einem Anderen mit Notieren Sie Ihr Passwort nach M glichkeit nicht sondern merken Sie sich Ihr Passwort Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 79 von 86 e Falls Sie sich Ihr Passwort doch notieren bewahren Sie die Notiz unbedingt getrennt von dem Computer bzw der Diskette auf welcher Ihr Software PSE enth lt und achten Sie darauf dass niemand Zugang zu dem notierten Passwort hat 6 3 Weitere Richtlinien Bitte beachten Sie zus tzlich folgende weitere Richtlinien e Bewahren Sie die Telefonnummer oder die E Mail Adresse f r die Sperrung so auf dass Sie sie m Bedarfsfall greifbar haben e Ihr MailPass Zertifikat ist ausschlie lich f r die Verschl sselung und Signatur von E Mails und Dateien sowie zur Authentifizierung gegen ber Web Servern bestimmt F r weitere Anwendungen stellt Ihnen das Telekom Trust Center die daf r
37. de Abbildung 9 Antrag f r Benutzerzertifikat Gehen Sie bitte wie folgt vor a Stecken Sie Ihre Smartcard in den Smartcard Leser ein b F llen Sie die Datenfelder aus Beachten Sie dabei bitte die Vorgaben ihres MailPass Verantwortlichen Beachten Sie des Weiteren dass Vor und Nachname keine Umlaute enthalten d rfen G ltige Zeichen sind a z A Z 0 9 c Tragen Sie die Authentifizierungsdaten ein Von besonderer Wichtigkeit ist das Sperrpasswort Dieses m ssen Sie sich gut merken da es abgefragt wird wenn Sie Ihr Zertifikat sperren lassen d F r das Feld zur Auswahl des Schl sselgenerators w hlen Sie bitte folgende Einstellungen e Netscape Navigator 1024 Verschl sselung hoher Komplexit t Informationen zum ffentlichen Schl ssel Public Key 1024 verschl sselung hoher Komplexit t Abbildung 10 Einstellen der Schliissell nge Netscape e MS Internet Explorer Kobil Smart CSP Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 18 von 86 Informationen zur Schl ssell nge Kobil Smart CSP v1 0 Abbildung 11 Auswahl der Smartcard zur Schl sselgenerierung Internet Explorer e Klicken Sie auf den Button Absenden Wenn Sie den Netscape Navigator verwenden erscheint ein neues Fenster in dem Sie die Smartcard ausw hlen m ssen siehe Abbildung 12 Y Private Key erstellen Netscape amp Private Ke
38. des Zertifikate konnen in verschiedenen Formaten exportiert werden Wahlen Sie das gewunschte Exportformat E DER codietes binas a aa ie Y enn moglich alle Zertifikate im Zertifizierungspfad einbeziehen Yerst rkte Sicherheit aktivieren erfordert IE5 oder NTS oder h her lt Zuruck Abbrechen Abbildung 92 W hlen Sie die Optionen wie angegeben 6 Geben Sie nun ein Passwort ein mit dem die Datei gesch tzt wird in der Sie Ihren privaten Schl ssel und das Zertifikat speichern Beachten Sie dabei bitte die Passwortregeln in Kapitel 6 2 Best tigen Sie das Passwort Klicken Sie auf Weiter Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 71 von 86 Export Assistent fur die Zertifikatsverwaltung Abbildung 93 Geben Sie ein Passwort ein 7 Geben Sie die Datei an in der hr privater Schl ssel und das Zertifikat gespeichert werden sollen Klicken Sie auf Weiter Export Assistent fur die Zertifikatsvermwaltung a zertifik at pre Abbildung 94 Angabe des Speicherorts 8 Klicken Sie auf Fertig stellen Dokument MailPass_BenutzerHB 0 5 do0 oo c n 7a og 09 08 2002 Version 0 5 Seite 72 von 86 Export Assistent fur die Zertifikatsverwaltung Fertigstellen des Assistenten Der Esport Assistent fur die Zertifikatzvermaltung wurde ordnungsgemali fertig gestellt Sie haben Folgendes f r den Exportrorgang ausgew hlt Dateiname CIZE E sportechlussel Ja Alle Zertif
39. e diese Aufgaben wahrnehmen k nnen und welche Komponenten Ihnen daf r zur Verf gung stehen ist in den Kapiteln 4 und 5 beschrieben Das Sicherheitsniveau h ngt auch wesentlich von der Sorgfalt beim Umgang mit Ihrem privaten Schl ssel ab Kapitel 6 enth lt einige Hinweise die Sie zur Gew hrleistung eines hohen Sicherheitsniveaus beachten m ssen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 7 von 86 4 KOMPONENTEN F r die Aufgaben welche Sie im Umgang mit Ihrem Zertifikat haben stehen Ihnen verschiedene Komponenten zur Verf gung Je nach dem von Ihrem Domain Betreiber gew hlten Registrierungsmodell steht Ihnen die Benutzer Web Schnittstelle oder die eingeschr nkte Benutzer Web Schnittstelle zur Verf gung Dies sind Web Seiten auf denen Sie wichtige Funktionen rund um Ihr Zertifikat finden Weiterhin besteht die M glichkeit ber die Mail Request Schnittstelle Zertifikate zu beantragen Die LDAP Schnittstelle bietet Ihnen die M glichkeit Zertifikate und Sperrlisten vom Verzeichnisdienst abzurufen Die OCSP Schnittstelle bietet Ihnen die M glichkeit Zertifikate online zu pr fen Bei Ihrem Domain Betreiber gibt es au erdem einen Sub Registrator welcher f r das Management Ihres Zertifikats verantwortlich ist Auch ber diesen k nnen Sie verschiedene Aktionen veranlassen F r Notf lle gibt es eine Hotline ber die Sie Ihr Zertifikat sperren lassen k nnen F r weitere Fragen steht Ihnen ein Mail
40. en Ablauf 5 3 Erneuern eines Zertifikats Ihr Zertifikat hat eine begrenzte G ltigkeitsdauer Vor Ablauf dieser Zeit werden Sie per E Mail daran erinnert Ihr Zertifikat zu erneuern Hierf r steht Ihnen die Benutzer Web Schnittstelle bzw die eingeschr nkte Benutzer Web Schnittstelle zur Verf gung Die Prozesse der Erneuerung eines Zertifikats bei Verwendung von Smartcards und Verwendung von Software PSEs unterscheiden sich Sie brauchen nur das f r Sie relevante Kapitel betrachten 5 3 1 Einsatz von Smartcards Dieser Ablauf kann nur durchgef hrt werden wenn Ihr zu erneuerndes Zertifikat g ltig ist und mit dem zugeh rigen privaten Schl ssel auf einer Smartcard vorliegt Wenn Sie als Browser den Internet Explorer einsetzen dann m ssen Sie Ihr Zertifikat welches sich auf der Smartcard befindet zun chst dem Browser bekannt machen Falls dies noch nicht geschehen ist befolgen Sie bitte den Ablauf in Kapitel 5 5 Um Ihr Zertifikat zu erneuern gehen Sie wie folgt vor 1 Sie erhalten vom Telekom Trust Center eine E Mail in der Sie ber den Ablauf Ihres Zertifikats informiert werden 2 Rufen Sie mit Ihrem Browser die Web Seite der Benutzer Web Schnittstelle bzw der eingeschr nkten Benutzer Web Schnittstelle auf Dabei werden Sie aufgefordert einen Benutzernamen und ein Passwort anzugeben Diese Daten k nnen S e dem Informationsblatt entnehmen welches Sie bei der Registrierung erhalten haben Dokument MailPass_BenutzerH
41. en Sie einen Benutzernamen und ein Passwort angeben Diese Daten erhalten S e von Ihrem MailPass Verantwortlichen e Telekom Root laden Hier k nnen Sie das Zertifikat der Zertifizierungsinstanz laden welche das MailPass CA Zertifikat ausgestellt hat e MailPass CA laden Hier k nnen Sie das Zertifikat der Zertifizierungsinstanz laden welche Ihr Zertifikat ausstellt e Dokumente laden Hier steht Ihnen ein Dokument mit den Zertifizierungsrichtlinien CPS der Deutschen Telekom f r den MailPass Service sowie das Benutzerhandbuch zur Verf gung 4 4 Mail Request Schnittstelle Die Mail Request Schnittstelle erlaubt Ihnen die dezentrale Registrierung per E Mail Zu diesem Zweck m ssen S e zun chst mit einer geeigneten Client Anwendung einen Zertifikatsantrag im Format PKCS 10 erzeugen Diesen schicken Sie dann per E Mail an das Telekom Trust Center Die E Mail Adresse erhalten Sie von Ihrem MailPass Verantwortlichen Anschlie end nehmen Sie Kontakt mit Ihrem Sub Registrator auf und handeln ein Sperrpasswort aus Bei erfolgreicher Bearbeitung Ihres Antrags wird Ihnen dann das Zertifikat direkt per E Mail zugeschickt 4 5 LDAP Schnittstelle Es besteht die M glichkeit mit einem LDAP f higen Client zum Beispiel einer geeigneten E Mail L sung Zertifikate und Sperrlisten ber das LDAP Protokoll vom Verzeichnisdienst direkt abzurufen Weitere Informationen zu dieser Schnittstelle erhalten Sie von Ihrem MailPass Verantwortlichen 4 6 OCSP
42. en und sperrlisten gespeichert werden Klicken S e auf Weiter um den Yorgang fortzusetzen oder auf Abbrechen um den Assistenten zu beenden 4 AUCE Abbrechen Abbildung 55 Import Assistent e Es erscheint der Import Assistent f r die Zertifikatsverwaltung Klicken Sie auf Weiter Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 49 von 86 ffnen E 3 Diskelte A et ss haoffrmann pl 2 hoffmann pl e Alle Dateien Abbildung 56 Auswahl der zu importierenden Datei f W hlen Sie die Datei aus die Ihren privaten Schl ssel und das zugeh rige Zertifikat enth lt Klicken Sie auf ffnen Import Assistent f r die Zertifikatsverwaltung Acho mann pl 2 Abbildung 57 Auswahl best tigen mit Weiter g Klicken S e auf Weiter h Geben Sie das Passwort der Datei ein W hlen Sie die Option Privaten Schl ssel als exportierbar markieren Klicken Sie auf Weiter Dokument MailPass BenutzerHB05 dce QA EN Lon 09 08 2002 Version 0 5 Seite 50 von 86 Import Assistent fur die Zertifikatsrerwaltung Kennwortschutz fur private Schlussel Der private Schlussel ist geheim und muss mit einem Kennwort gesch tzt werden um die Sicherheit zu garantieren Geben Sie ein Kennwort fur den Zugnff auf diese Datei an Kennwort 5 Yerst rkte Sicherheit f r den privaten Schl ssel aktivieren M Privaten Schl ssel als esportierbar markieren
43. enachrichtigt dass Sie ein Zertifikat beantragen k nnen Dabei wird Ihnen der verantwortliche Sub Registrator genannt 2 Sie m ssen pers nlich beim Sub Registrator erscheinen Dort wird Ihre Identit t anhand eines Ausweisdokuments gepr ft Au erdem pr ft der Sub Registrator Ihre Berechtigung zur Zertifikatsbeantragung anhand einer ihm vorliegenden Liste 3 Der Sub Registrator f llt den Zertifikatsantrag ber ein Web Formular aus und sendet ihn anschlie end an das Trust Center ab Dabei legen Sie ein Sperrpasswort fest Dieses m ssen Sie sich gut merken da es abgefragt wird wenn Sie Ihr Zertifikat sperren lassen 4 Im Telekom Trust Center wird Ihr Zertifikat erzeugt und in einem Verzeichnisdienst gespeichert 5 Der Sub Registrator speichert Ihr Zertifikat und den privaten Schl ssel in einer Datei p12 auf einer Diskette Die Datei ist mit einem Passwort gesch tzt welches Sie festlegen und eingeben m ssen beachten Sie dabei bitte die Hinweise in Kapitel 6 2 Dieses Passwort m ssen Sie sich gut merken da es beim Import Ihres privaten Schl ssels und des Zertifikats in ihre Client Software abgefragt wird und Sie es auch sp ter noch ben tigen 6 Der Sub Registrator bergibt Ihnen die Diskette und ein Informationsblatt Dieses enth lt e die Web Adresse der eingeschr nkten Benutzer Web Schnittstelle ber die Sie Ihr Zertifikat sperren und erneuern k nnen sowie einen dazugeh rigen Benutzernamen und ein Passwort e die E
44. ers wird abgefragt Klicken Sie anschlie end auf OK 6 Geben Sie nun ein Passwort ein mit dem die Datei gesch tzt wird in der Sie Ihren privaten Schl ssel und das Zertifikat speichern Beachten Sie dabei bitte die Passwortregeln in Kapitel 6 2 Klicken S e anschlie end auf OK Kennwort Eingabefenster Geben Sie zum Schutz der exportierten Daten ein Kennwort ein Abbrechen Abbildung 85 Eingabe des Passworts f r die Datei 7 Best tigen Sie das zuletzt eingegebene Passwort und klicken Sie anschlie end auf OK 8 Geben Sie die Datei an in der hr privater Schl ssel und das Zertifikat gespeichert werden sollen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 67 von 86 Name der zu exportierenden Datei Speichern in de Desktop El Arbeitsplatz Hetzwerkumgebung Aktenkoffer Dateiname IM alfass Zertifikat Dateityp PECS12 Dateien Abbrechen Abbildung 86 Angabe des Dateinamen und Speicherortes 5 5 2 Microsoft Internet Explorer 1 W hlen Sie im Browser Men Extras den Punkt nternetoptionen 53 Benutzerzertifikat beantragen Microsoft Internet Explorer Date Bearbeiten Ansicht Favoriten Extras 7 Mail und News H q T my T x E ah 3 A E Sinchronisienen Zuruck omar Abbrechen UE C Ando Update Adesse fe https yuwyca telesec dercase MSN Messenger Service Verwandte Links anzeigen F TeleSec Net2Phone Internetoptianen Abb
45. ert wurde Ihre Smartcard bzw Ihr Software PSE ist defekt und Sie k nnen deshalb Ihren Schl ssel nicht mehr nutzen S e haben die PIN f r Ihre Smartcard bzw das Passwort f r Ihr Software PSE vergessen Die Angaben in Ihrem Zertifikat sind nicht mehr aktuell Dies kann zum Beispiel der Fall sein wenn die m Zertifikat angegebene E Mail Adresse nicht mehr g ltig ist oder wenn Sie einem neuen Zust ndigkeitsbereich zugeordnet werden Um Ihr Zertifikat sperren zu lassen stehen Ihnen verschiedene M glichkeiten zur Verf gung Benutzer Web Schnittstelle eingeschr nkte Benutzer Web Schnittstelle Die Adresse dieser Web Seite k nnen Sie dem Informationsblatt entnehmen welches Sie von Ihrem MailPass Verantwortlichen bzw Ihrem Sub Registrator erhalten haben Sub Registrator Sie k nnen per E Mail oder Telefon ggf auch pers nlich bei Ihrem Sub Registrator die Sperrung Ihres Zertifikats anfordern Die E Mail Adresse und die Telefonnummer k nnen Sie ebenfalls dem Informationsblatt entnehmen Des Weiteren sind diese Daten ber die Funktion Zertifikat sperren der Benutzer Web Schnittstelle einsehbar Sperr Hotline Unter der m Informationsblatt angegebenen Rufnummer k nnen Sie telefonisch die vorl ufige Sperrung Ihres Zertifikats veranlassen Die Rufnummer kann au erdem der Benutzer Web Schnittstelle entnommen werden 5 2 1 Sperren eines Zertifikats ber die eingeschr nkte Benutzer Web Schnittstelle Voraussetzung des nachfo
46. es gilt f r eine Verwendung der Smartcard ohne PIN Eingabe oder das Kopieren der Smartcard Das Erraten einer PIN durch blo es Durchprobieren ist ebenfalls so gut wie ausgeschlossen da sich die Karte nach drei hintereinander eingegebenen falschen PINs selbst sperrt Trotz dieser Sicherheitsvorkehrungen kann nat rlich auch eine Smartcard keine perfekte Sicherheit bieten und muss daher gesch tzt werden Grunds tzlich sind dabei zwei Belange zu beachten Zum einen darf niemand Zugang zu ihrer Smartcard erhalten und zum anderen darf niemand ihre PIN erfahren Ein Missbrauch ist zwar nur m glich wenn ein Angreifer auf Smartcard und PIN gleichzeitig zugreifen kann Um eine gr tm gliche Sicherheit zu erreichen sollten Sie jedoch sowohl den Zugang zur Smartcard als auch zur PIN sch tzen F r den Schutz der Smartcard gelten folgende Richtlinien e Halten Sie Ihre Smartcard unter Verschluss und sch tzen Sie sie vor Diebstahl e Entfernen Sie Ihre Smartcard aus dem Leser wenn Sie sie nicht mehr verwenden e Geben Sie Ihre Smartcard nicht an andere weiter auch nicht leihweise e Lassen Sie nach Verlust Ihrer Smartcard das Zertifikat bzw die Zertifikate unverz glich sperren Die PIN mit der Ihre Smartcard gesch tzt ist ist eine sechsstellige Geheimzahl die Sie selbst w hlen und ver ndern k nnen Beachten Sie bitte folgende Richtlinien f r den Schutz der PIN e W hlen Sie keine leicht zu erratende Zahl wie zum Beispiel Ihr Geburtsd
47. etscape 3 Private Key erstellen Klicken Sie auf OK F r Ihr Zertifikat wird nun ein Private Key erstellt Dies kann einige Minuten dauern Wichtig Wird dieser Yorgang unterbrochen m ssen Sie das Zertifikat erneut anfordern W hlen Sie die Karte oder Datenbank mit der der Schl ssel generiert werden soll ea ia u 7 Mehr Info JK Abbrechen Abbildung 45 Auswahl des Zertifikatsspeichers Smartcard c Auf der Antwortseite in Ihrem Browser werden die Zertifikatsdaten angezeigt Mit Klicken auf den Button Zertifikat abholen wird Ihr erneuertes Zertifikat auf die Smartcard geschrieben Bitte beachten Sie dass es zu kurzen zeitlichen Verz gerungen kommen kann da dies ein Online Prozess ist Dokument _ MailPass BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 43 von 86 J mita ARA Mara cali mirer Epa A AAA a ui 4 E et El Druk Aaksuchen em ran Yai Luchar Fa arar Der Had l de l un acento ii hiipr i LET Fr a a Hafer Dann 2 mlinda FASS i him m Ui id y 2 a abe AB BEA fai A AAA AAA A PLILZIEERTE eat ira laden Antwort Hs Pa LA Lia Hold Lada Edan Sa au den Button Zatika aha um br Zerifibaa in don Erose zu iretalleren Zerthssstediaten Mustafa GmbH musierfinma de 85585 Musa a des Buchhalung LE HTA Harnenn holmarna de Abbildung 46 Laden des Zertifikats 6 Sie k nnen nun die Smartcard aus dem Smartcard Leser entfernen Beim Einsatz
48. geeigneten Zertifikate zur Verf gung F r n here Informationen wenden Sie sich bitte an Ihren MailPass Verantwortlichen e Das Ihnen ausgeh ndigte Passwort f r Sperrungen darf nicht an andere weitergegeben werden e Das Ihnen ausgeh ndigte Passwort f r den Zugang zur Benutzer Web Schnittstelle und zur eingeschr nkten Benutzer Web Schnittstelle darf nicht an andere weitergegeben werden Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 0 von 86 7 PROBLEME UND L SUNGEN Sie haben ber die Benutzer Web Schnittstelle ein Zertifikat beantragt und warten vergeblich auf die Meldung zur Abholung des Zertifikats Es gibt zwei m gliche Ursachen Entweder ist die von Ihnen im Zertifikatsantrag angegebene E Mail Adresse nicht korrekt oder Ihr Sub Registrator hat Ihren Zertifikatsantrag noch nicht bearbeitet Wenden Sie sich in beiden F llen bitte an Ihren Sub Registrator Bei der Erneuerung Ihres Zertifikats ber die eingeschr nkte Benutzer Web Schnittstelle wird vom Browser Ihr Zertifikat nicht zur Auswahl angeboten Beim Einsatz von Smartcards Pr fen Sie ob der Smartcard Leser korrekt angeschlossen ist Pr fen Sie ob Ihre Smartcard richtig im Smartcard Leser eingesteckt ist M glicherweise wird die Smartcard von einer anderen Anwendung blockiert Bei Verwendung des Internet Explorer muss Ihr Zertifikat vor erstmaliger Verwendung dem Browser bekannt gemacht werden Befolgen Sie hierf r die Hinweise in Ka
49. gkeitsbereich aus der Auswahlliste Mar j m H Indra 1 ar l HE Farid ad pa Ji riii E eris i E hay Perra des Pe ca Ps Dl pe rc ERES hard a ee n haa LA A A gras ATA AE Spike Ub Lankal ipani Epa Ihr ero kann gespart werden wann Dom Feiern nommen Do o dol o babiichban data le gaharra Sehin pon E Maira LA Labor do nd won enberochigien Persana paur Mirit migm lada semndes bisnes Durch des Sperren wird en Lenik H abf de o ara paria gaiari Daie sl Pos de Sharma en aiik de ye Aba rar regul ren Gjlighst f r ung bg ekian wurden Sue haban ce M gdchkei Jeria nach der rather Ha zu paran ber die SATA es aia werden Se daran ger E fAal nda rrr s rl Abbildung 30 Zertifikat sperren 4 Sie haben verschiedene Kriterien zur Auswahl ber die Sie Ihr zu sperrendes Zertifikat angeben k nnen e Referenznummer Hier m ssen Sie die Referenznummer Ihres Zertifikatsantrags und Ihr Sperrpasswort eingeben Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 32 von 86 E ES A il HHI rimni inii T 1 prp de aa s T m M a T i JT l A ru iden Jl trigo rre kalasar da carro Pis Carat Epa tri DESE hard 2 FWechee Lei Zu gen ar z E g inr rE en deiri a Epa Ear neu b Bamia ma Uma di aE ca prie Eee Sperren ber Refarenzrummer Urin SZ hepe Seite geriya au Iren hr Jenti ber die Ree recurra Tu Mp Pyp CA Liam Spada Fi rk m iur laser aa TG Abbi
50. h bei Ihrem Sub Registrator erscheinen Dieser pr ft dann Ihre Identit t anhand eines Ausweisdokumentes und veranlasst die Sperrung Ihres Zertifikats 5 2 3 Sperren eines Zertifikats ber die Sperr Hotline Bei der Registrierung haben Sie die Telefonnummer einer Sperr Hotline erhalten Diese Telefonnummer k nnen Sie au erdem ber die Funktion Zertifikat sperren der Benutzer Web Schnittstelle erhalten Zum Sperren Ihres Zertifikats k nnen Sie dort anrufen Folgende Angaben werden zwingend ben tigt e Ihr Name Name des Telekom Services hier also T TeleSec MailPass Name Ihres Domain Betreibers Art des zu sperrenden Zertifikats in diesem Fall Benutzerzertifikat Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 39 von 86 e Referenznummer Ihres Zertifikatsantrages Seriennummer Ihres Zertifikats oder die E Mail Adresse aus Ihrem Zertifikat e Grund f r die Sperrung Ihres Zertifikats e Rufnummer unter welcher Sie f r R ckfragen zur Verf gung stehen Das Hotline Personal n mmt Ihren Sperrantrag entgegen Wenn die von Ihnen angegebenen Daten auf ein Zertifikat zutreffen wird eine vorl ufige Sperrung Ihres Zertifikats veranlasst Eventuell erfolgt noch ein R ckruf durch einen Sperr Hotline Operator um unkorrekte Angaben berichtigen zu k nnen Um das Zertifikat endg ltig sperren zu lassen m ssen Sie sich an Ihren Sub Registrator wenden Befolgen S e daf r bitte den n Kapitel 5 2 2 beschrieben
51. ikat ist g btig Abbildung 72 Statusinformationen des Zertifikats 5 4 3 Sperrlisten abholen Die Sperrung von Zertifikaten wird ber eine Sperrliste bekannt gemacht Mit der Funktion Sperrliste abholen k nnen Sie eine aktuelle Version der Sperrliste von gesperrten Benutzerzertifikaten CRL Certificate Revocation List und gesperrten CA Zertifikaten ARL Authority Revocation List downloaden Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 59 von 86 W hlen Sie zun chst aus ob Sie die ARL Deutsche Telekom Root CA oder die CRL Mail Pass CA laden wollen Klicken Sie zum Laden der Sperrliste auf den Button Sperrliste abholen Hinweis Der Netscape Navigator 4 x kann keine ARLs auswerten Beim Versuch die ARL zu laden erscheint eine Fehlermeldung 3 TE sms palnie dibran Micican iman Dl pd O A A a Ae pE hag rr in de aos De TEL bobadas ERES hia Senn atado A AE uber dira f cil ii Her konnen Se die ke Wenn der Lipje won gana mien Derl ikslen la o Ade An Finn aden Eita wahka Ele des Uinanaechns dar Eparrbclo asa enn Se de Pad ale riera bra wih ertallen Sie de AAL Die AHL berhabal ale gesperrien Zerldkie che won der Rosi vrSerzeicheet warden in danar Lota w ra a da er CA anihila vnn e Heap rde Wenn Se de hiyifass LA shs Unterzeichner when ashen Se de CAL Dis CEL bertabel ale gasperi n Zed de von der CA unet rc nel aden In dioses Licio nd ao gasperion Bimini ikae ariba
52. ikate im Zerbhzierungspfad einbeziehen Mein Dateiformat Priv Zur ck Abbildung 95 Fertigstellung des Exports 9 Die Dateiendung muss nun noch von pfx in p12 umbenannt werden Verwenden Sie hierf r Ihr Date1 Verwaltungsprogramm wie zum Beispiel den Windows Explorer Die exportierte PKCS 12 Datei p12 k nnen Sie nun f r Ihre Client Anwendung verwenden 5 6 Hinweise zum Einsatz des Internet Explorers Wenn Sie als Browser den Internet Explorer einsetzen dann m ssen Sie vor der ersten Benutzung Ihr Zertifikat welches sich auf der Smartcard befindet dem Browser bekannt machen Wenn Sie selbst das Zertifikat mit diesem Browser beantragt bzw erneuert haben dann ist dies nicht mehr n tig Um Ihr Zertifikat dem Browser bekannt zu machen steht Ihnen ein spezielles Tool zur Verf gung welches mit der Treiber Software f r den Smartcard Leser auf Ihrem Arbeitsplatzrechner installiert wurde Gehen Sie bitte wie folgt vor 1 Stecken Sie Ihre Smartcard in den Smartcard Leser ein 2 Rufen Sie im Windows Startmen unter Programme gt KOBIL Systems gt KOBIL Smart Key die Funktion Registrierung der Zertifikate auf Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 73 von 86 A Neues Office Dokument ES KEOBIL Systems KG KOBIL Smart Key IE Outlook CLA check E Office Dokument offnen a Microsoft Nachschlagewerke fc KOBIL s Finest d a RA Manager A int dt La Microsoft TechMet Chi
53. iko Mosh an lader Deam Eresgem anes Zerifkne wr en neas daith ausgerieHi Ca den gleschen Inhalt hal wis das ju ameuemde Zerlhkni Des su aer rd Jarik a beinhaltet f olgesdu Mitan Land DE Betrenbia Firma kurdlerira GmbH Estres Dom 10811 musica de Ausi ndsgeeriebereich OLE esman mumera de Ahiedarg 015 Buchhslusg Benuize mame Hara Hom rr E kiyh gresua kai nu erir de LE Abbildung 64 Anzeige des zu erneuernden Zertifikats Gehen Sie bitte wie folgt vor a F r das Feld zur Auswahl des Schl sselgenerators w hlen Sie bitte folgende Einstellungen e Netscape Navigator 1024 Verschl sselung hoher Komplexit t Informationen zum ffentlichen Schl ssel Public Key 1024 Verschl sselung hoher Komplexit t Abbildung 65 Einstellen der Schl ssell nge Netscape e MS Internet Explorer Microsoft Enhanced Cryptographic Provider v1 0 Informationen zur Schl ssell nge Microsoft Enhanced Cryptographic Provider 1 0 Abbildung 66 Einstellen der Schl ssell nge Internet Explorer b Klicken Sie auf den Button Absenden Wenn S e den Netscape Navigator verwenden erscheint ein neues Fenster in dem Sie die Erzeugung Ihres privaten Schl ssels mit OK best tigen m ssen Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 54 von 86 c Dokument Private Key erstellen Netscape Abbildung 67 Start der Schl sselgenerierung Auf der Antwortseite in Ihrem Browser
54. il entnehmen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 27 von 86 AAA AA Speer LA Dira a o CECE CATA ESS ie gd Abbildung 26 Tragen Sie die Referenznummer Ihres Zertifikatantrags ein Er i zi abh zhe ri P a coli idame E apis Fr MailPass email Zertifikate Lanikai Ada Eite gehen Se de A rferenzregrmener bras arica gs an um Ihr Fr Tre bon Wee aad hran den Elanus his Iikeli sitakin und Sie sehen de Moqhchkea Ihr Derio abraholen Eesterea3nemmner his Aulrage b Nach Klicken auf den 4bsenden Button wird Ihr Zertifikat angezeigt c Klicken Sie auf den Button Zertifikat abholen Dokument Version MailPass_BenutzerHB 0 5 doc 0 5 Seite 28 von 86 09 08 2002 EE iii hhi hara Ha sali irira apum a DB A 3 E NATA FIE e acia ma wi me Al qu ol nz Achern ET vn Parra e Ps era Abre ESS hard 5 S ge aur ani Ha lPass mal Fertifikerte Faser abba T O T mpy EAA pE er E E Laika Adin Dif aa ECEN ETE Antwort Ela F am LA lader F ifik sinn laden Das Zertifikat wurde erfolgreich gerierlert arihikaisdaban DE Ritama GmbH mustarfinma de assan mustarina da Buchhaltung Hanna Hoffmann hoafiriennmustorhrma de Klicken S5 auf gen Button Fartfikat abialeo um br forillos in dan Erin Fu ia CE Abbildung 27 Zertifikat im Browser speichern Damit wird Ihr Zertifikat in Ihrem Browser gespeichert Beim Einsatz von Dua
55. ildung 87 W hlen Sie im Men Extras den Punkt Internetoptionen 2 Gehen Sie zum Men nhalt und klicken Sie auf den Button Zertifikate Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 68 von 86 Internetoptionen EEE H Te E TE P D ETETEN Abbildung 88 Klicken Sie im Men nhalt auf den Button Zertifikate Sie befinden sich nun in der Zertifikatsverwaltung Markieren Sie in der Liste Eigene Zertifikate das von der MailPass CA aktuell ausgestellte Zertifikat und klicken Sie auf den Button Exportieren Dokument MailPass BenutzerHB O5 deco UN san og JJ 09 08 2002 Version 0 5 o Seite 69 von 86 zertifik atsverwaltung Ei ES Geplanter Zweck g ller z Eigene Zertifikate Andere Personen Zwischenzertifizierungsstellen ertrauenswurdige SIA Ausgestellk f r Ausgestellt von Giltig biz Angezeigter Name Hanna Hoffmann MailF ass Demo LA 01 06 02 Keme Exportieren Entfernen Erweitert Beabsichtigte Zwecke des Zertifikats lt Alle gt Anzeigen Schlie en Abbildung 89 W hlen Sie das zu exportierende Zertifikat 3 Es erscheint der Export Assistent f r die Zertifikatsverwaltung Klicken Sie auf Weiter Export Assistent fur die Zertifikatsverwaltung Willkommen Dieser Assistent kopiert Zertifikate Zzertifikatsvertrauenslisten und sperrlisten vom Zertifikatespelcher auf Ihren Datentr ger Was it eim Zertifikat Ein Zertifikat wi
56. insbesondere Sperrlisten erm glicht Variante eines Zertifikatsantrags bei dem die Daten ber ein Web Formular an die Zertifizierungsinstanz bermittelt werden Oberste Zertifizierungsinstanz einer CA Hierarchie deren Zertifikat somit nicht von einer anderen Zertifizierungsinstanz ausgestellt wurde sondern selbstsigniert ist Standard dessen wichtigster Bestandteil ein Format f r digitale Zertifikate ist Zertifikate der Version X 509v3 werden in allen g ngigen Public Key Infrastrukturen unterst tzt Siehe digitales Zertifikat Komponente die digitale Zertifikate ausstellt indem sie einen Datensatz bestehend aus ffentlichem Schl ssel Name und verschiedenen anderen Daten digital signiert Ebenso werden von der Zertifizierungsinstanz Sperrinformationen herausgegeben Teilbereich einer Betreiber Domain Master Dokument MailPass_BenutzerHB 0 5 doc Version 0 5 09 08 2002 Seite 86 von 86
57. inzugeben Die erforderlichen Daten k nnen Sie dem Informationsblatt entnehmen welches Ihnen der Sub Registrator bergeben hat Auf diesen Web Seiten stehen Ihnen folgende Funktionen zur Verf gung Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 o Seite 10 von 86 e Zertifikat abholen Nach erfolgter Zertifikatserneuerung werden Sie vom Telekom Trust Center per E Mail dar ber informiert dass Sie Ihr Zertifikat abholen k nnen Daf r steht Ihnen diese Funktion zur Verf gung e Zertifikat sperren Wenn Ihr privater Schl ssel in falsche H nde gelangt ist oder ein anderer wichtiger Grund vorliegt k nnen S e ber diesen Men punkt die Sperrung Ihres Zertifikats veranlassen e Zertifikat erneuern Ihr Zertifikat hat eine begrenzte G ltigkeitsdauer Bevor diese abl uft werden Sie vom Telekom Trust Center per E Mail daran erinnert das Zertifikat zu erneuern Die Erneuerung k nnen Sie ber dieses Online Formular anfordern e Zertifikat pr fen Hier k nnen Sie pr fen ob Ihr Zertifikat g ltig ist e Sperrlisten abholen Die Sperrung von Zertifikaten wird ber eine Sperrliste bekannt gemacht Mit dieser Funktion k nnen Sie eine aktuelle Liste der gesperrten Benutzerzertifikate CRL Certificate Revocation List bzw der gesperrten CA Zertifikate ARL Authority Revocation List anfordern e Zertifikat suchen Hier k nnen Sie ein Zertifikat im Verzeichnisdienst suchen Ist das Verzeichnis zugriffsgesch tzt m ss
58. ittstelle oder ber den Sub Registrator zu sperren k nnen Sie die Sperrung auch ber eine Sperr Hotline veranlassen Die Nummer dieser Hotline entnehmen Sie bitte dem Informationsblatt welches Sie bei der Registrierung erhalten haben 4 9 MailPass Werantwortlicher Der MailPass Verantwortliche Ihres Domain Betreibers ist Ihr Ansprechpartner f r MailPass spezifische Probleme Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 12 von 86 5 PROZESSE 5 1 Beantragen eines Zertifikats Wenn Sie ein Zertifikat beantragen wollen m ssen Sie von Ihrem Domain Betreiber registriert werden Hierf r g bt es zwei verschiedene Abl ufe e Zentrale Registrierung Um ein Zertifikat zu erhalten m ssen Sie pers nlich von einem Sub Registrator registriert werden e Dezentrale Registrierung Sie k nnen einen Online Zertifikatsantrag ber die Web oder Mail Request Schnittstelle stellen Dieser wird dann durch einen Sub Registrator bearbeitet Eine weitere Unterscheidung der Abl ufe ergibt sich durch den Einsatz von Smartcards oder Software PSEs als Speichermedium f r das Zertifikat und den privaten Schl ssel Insgesamt gibt es also f r das Beantragen Ihres Zertifikats folgende Alternativen e Zentrale Registrierung beim Einsatz von Smartcards Zentrale Registrierung beim Einsatz von Software PSEs Dezentrale Registrierung ber die Web Schnittstelle beim Einsatz von Smartcards Dezentrale Registrierung ber die Web Sch
59. k nnen und e Vorgaben zum Ausf llen des Zertifikatsantrags 2 Sie rufen mit Ihrem Browser die Web Seite der Benutzer Web Schnittstelle auf Dabei werden Sie aufgefordert einen Benutzernamen und ein Passwort anzugeben Diese Daten k nnen S e dem Informationsblatt entnehmen welches Ihnen der MailPass Verantwortliche bergeben hat Netzwerkkennwort eingeben gt Geben Sie Benutzernamen und Kennwort ein Site waca telesec de Bereich Enterprise Server Benutzername Kennwort Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 16 von 86 3 W hlen Sie die Funktion Zertifikat beantragen Nun m ssen Sie zun chst den Zust ndigkeitsbereich ausw hlen der Ihnen mitgeteilt wurde i Er ili i i B p Hap m H a2 ji Irae mF ta Isiri Telekom Trust Center mal zertulikale UNER Zandka boaniragn AAA Arts Dian pd Sparen en Berta w hlen Sie zumschet Ihren Zuml ndigkeriebarsich mys I ninin i laden essan musiertimade Ela Pan 3 ladr a alba DEL lan Abbildung 8 Ausw hlen des Zust ndigkeitsbereichs 4 Nach Auswahl des Zust ndigkeitsbereiches erscheint ein Online Formular Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 05 Seite 17 von 86 E ida brni aja He ranit Ir mel u liri a 3 5a ZH pA anita tidad dba diria Mia Pan CA laser MEL ET Betraikear Firma Betrebar Doman 6815 Zul ndgjkenlsbarmeh OLA on ira
60. k nnen daher das im Browser eingetragene Zertifikat nur in Verbindung mit Ihrer Smartcard verwenden Wenn auf Ihrem Arbeitsplatzrechner eine neue Version des Internet Explorers installiert wird dann wird unter Umst nden auch eine neue Browser Datenbank angelegt In dieser ist Ihr Zertifikat nicht gespeichert Daher m ssen Sie bei einem Browserwechsel oder bei Verwendung eines neuen Systems Ihr Zertifikat erst wieder dem Browser bekannt machen Wenn Sie auf Ihrer Smartcard Zertifikate f r weitere Anwendungen gespeichert haben werden diese ausgelesen und in Ihrem Browser gespeichert Wenn Sie dies nicht w nschen k nnen Sie die Zertifikate manuell aus Ihrem Browser l schen Men Extras gt nternetoptionen gt nhalt gt Zertifikate gt Eigene Zertifikate Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite TI von 86 6 SICHERHEITSHINWEISE Voraussetzung f r die Sicherheit von T TeleSec MailPass ist dass Sie mit dem Ihnen zur Verf gung gestellten PSE und allen in Zusammenhang mit T TeleSec MailPass stehenden Informationen zum Beispiel PIN Sperrpasswort sachgerecht umgehen Aus diesem Grund sollten Sie auf jeden Fall die m Folgenden aufgef hrten Sicherheitshinweise beachten 6 1 Ihre Smartcard Falls Sie zur Speicherung Ihres privaten Schl ssels eine Smartcard verwenden dann ist dieser in der gegenw rtig bestm glichen Form gesch tzt Ein Auslesen des privaten Schl ssels st nahezu unm glich Gleich
61. l Key ist der Ablauf nahezu identisch Der einzige Unterschied besteht beim Laden des Zertifikats in die Browser Datenbank Hier m ssen beide Zertifikate separat durch Klicken der entsprechenden Buttons abgeholt werden Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 29 von 86 ee en Hirra balorat Lara Zander Mustertrme Emb musterirma de berlin mustemimma da anti Buchhaltung DE Marin Meier maedcmusterrma de Sy napur und Werschl s salungszerifikan wanden jasas durch saparals Jura Heruntargeladen Ficken Ss auf den ansprechenden Bution um des oka den Are zu inside rn Sina kan Signs coartada terchiirselncaran kal er aaa db da ro Ei IS Abbildung 28 Laden der Zertifikate bei Dual Key Wenn Sie Ihr Zertifikat mit dem Internet Explorer beantragt und geladen haben k nnen Sie es nun mit Microsoft Outlook verwenden Wenn Sie Ihr Zertifikat mit dem Netscape Navigator beantragt und geladen haben k nnen Sie es mit dem Netscape Messanger verwenden F r den Fall dass Sie nicht den zum E Mail Programm korrespondierenden Browser verwendet haben oder Ihr Zertifikat mit einer anderen Anwendungssoftware nutzen m chten m ssen S e Ihren privaten Schl ssel und das Zertifikat noch in eine PKCS 12 Datei exportieren Dieser Ablauf ist in Kapitel 5 5 beschrieben 5 1 5 Dezentrale Registrierung ber die Mail Request Schnittstelle Die Mail Request Schnittstelle erlaubt Ihnen die dezentrale Regi
62. l bezeichnet n der Kryptografie eine geheime Information geheimer Schl ssel oder ein ffentliches Gegenst ck dazu ffentlicher Schl ssel Es gibt Verfahren bei denen jeweils mit dem gleichen geheimen Schl ssel ver und entschl sselt wird sowie Verfahren bei denen ein ffentlicher Schl ssel zum Ver und ein geheimer zum Entschl sseln verwendet wird Krypto Protokoll zur Absicherung von Ende zu Ende Verbindungen im Internet Kann ihn vielen F llen statt dem komplexeren IPSec verwendet werden S ehe digitale Signatur Variante von T TeleSec MailPass bei der f r Verschl sselung und S gnatur das selbe Schl sselpaar verwendet wird das hei t ein Benutzer besitzt ein Zertifikat Chipkarte mit Rechenfunktionalit t die f r kryptografische Zwecke verwendet werden kann Im Rahmen von T TeleSec MailPass kommt die NetKey Karte zum Einsatz Durch Verschl sselung gesch tzte Datei zur Speicherung des privaten Schl ssels eines Benutzers Zentrale Hotline f r T TeleSec MailPass die ausschlie lich f r das Sperren von Zertifikaten Benutzer und Sub Registrator Zertifikate Dokument Version 0 5 MailPass_BenutzerHB 0 5 doc 09 08 2002 Seite 85 von 86 Sperr Hotline Operator Sperr Hotline Web Schnittstelle Sperrinstanz Sperrliste SSL Sub Domain Sub RA Sub Registrator Telekom Trust Center TTC TTC Operator TTC RA Verantwortlicher des Domain Betreibers Verzeichnisdienst Web Request Wurzelzertifizie
63. ldung 31 Sperren ber Angabe der Referenznummer e Seriennummer Hier m ssen Sie die Seriennummer Ihres Zertifikats und Ihr Sperrpasswort eingeben Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 33 von 86 BE Cerda pmen M ccardt irde i splei de hipo Error ladrar de carr ca MP Dura Sparda PER hard Fsi urera er MAP PA A 0 A TE EELA ET Uma di E Ca y En Sperren ber Seriennummer Tien Be de Cepa Sera qeriata au en hr lentis ber che Gerienrapm mer zu led Pm Ch mia m af Fi rk m iur laser 0 For MEAT E Abbildung 32 Sperren ber Angabe der Seriennummer e E Mail Adresse e Hier m ssen Sie die im Zertifikat angegebene E Mail Adresse und Ihr Sperrpasswort eintragen Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 34 von 86 E Eee mi N air pn A A Pau A nn m m a gie mean Telekom Trust Center ieii peren Cal iirinn Sperren ber E Mail Adresse Chess Sera geist ae ern hr etilo er de E Bit Ara ee u AAA Abbildung 33 Sperren ber Angabe der E Mail Adresse e W hlen Sie das zu sperrende Zertifikat aus der Liste Dokument MailPass BenutzerHB 05 dcc c n ag og 09 08 2002 Version 0 5 Seite 35 von 86 A il pre cici irdi ir 1 pb er l l l E M E en u N Ni y E 1 Ads Ha me s eaa en wir mi par An darne mem Eiim ALEDO Ea is It FF iy Zertifikatsliste
64. lgend beschriebenen Ablauf ist die Kenntnis Ihres Sperrpassworts Sollten Sie Ihr Sperrpasswort vergessen haben fordern Sie bitte die Sperrung pers nlich bei Ihrem Sub Registrator an 1 2 Sie rufen mit Ihrem Browser die Web Seite der Benutzer Web Schnittstelle bzw der eingeschr nkten Benutzer Web Schnittstelle auf Dabei werden Sie aufgefordert einen Benutzernamen und ein Passwort anzugeben Diese Daten k nnen S e dem Informationsblatt entnehmen welches Ihnen der MailPass Verantwortliche bzw der Sub Registrator bergeben hat W hlen Sie die Funktion Zertifikat sperren Wenn Sie ein Software PSE verwenden und Ihr Zertifikat selbst mit Ihrem Browser geladen haben dann befindet sich ihr privater Schl ssel und das Zertifikat noch im Browser Sie k nnen Ihren Schl ssel und das Zertifikat erneut aus dem Browser in eine Datei p12 speichern In diesem Fall brauchen Sie Ihr Zertifikat nicht sperren zu lassen Wie 1 Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 31 von 86 pur r perp pr li ai pa m Mar sanit hada j api arte aan i b omn n amm a FE Tr Butt Serie Larmi a A rar CATA AE Spike JEW EN Zurich in ne Bitte w hlen Sie zun chst Ihren Zumt ndigkeriebe reich m MEA Eila Man EA laber gaar masiertama is m F ifik ninn ladun Lana panei Abbildung 29 Auswahl des Zust ndigkeitsbereichs 3 W hlen Sie Ihren Zust ndi
65. liche technische und organisatorische Sicherheitsma nahmen sorgen daf r dass Ihr Zertifikat h chsten Sicherheitsanspr chen gen gt Die Organisation welche den MailPass Service des Telekom Trust Centers nutzt wird als Domain Betreiber bezeichnet Der Domain Betreiber ist also Ihr Unternehmen oder Ihre Beh rde Hier gibt es als Ansprechpartner einen MailPass Verantwortlichen Bevor im Trust Center Ihr Zertifikat generiert wird m ssen Sie sich registrieren lassen Dadurch wird verhindert dass eine unberechtigte Person ein Zertifikat in Ihrem Namen erh lt Die Registrierung wird von einem Mitarbeiter des Domain Betreibers dem so genannten Sub Registrator durchgef hrt Hierf r gibt es zwei M glichkeiten Bei einer zentralen Registrierung werden Sie pers nlich von dem Sub Registrator anhand von Ausweisdokumenten identifiziert Danach sendet der Sub Registrator Ihren Zertifikatsantrag an das Trust Center Falls Sie dem Sub Registrator schon bekannt sind zum Beispiel anhand bereits erfasster Personaldaten kann auch eine dezentrale Registrierung durchgef hrt werden In diesem Fall stellen Sie selbst den Zertifikatsantrag an das Trust Center Der Sub Registrator braucht dann nur noch dem Trust Center best tigen dass Sie berechtigt sind dieses Zertifikat zu erhalten Welche dieser Registrierungsm glichkeiten f r Sie in Frage kommt teilt Ihnen Ihr MailPass Verantwortlicher mit Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Versio
66. lung und Verwaltung signaturgesetzkonformer Zertifikate Richtlinien die das Sicherheitsniveau f r die Erzeugung und Verwendung von Zertifikaten festlegen Es wird zwischen Certificate Policy CP und Certification Practice Statement CPS unterschieden Personal Security Environment In der pers nlichen Sicherheitsumgebung sind sicherheitsrelevante Informationen wie der private Schl ssel gespeichert Das PSE kann als verschl sselte Datei oder auf einer Smartcard vorliegen und ist durch ein Passwort bzw eine PIN gesch tzt Gesamtheit der Komponenten Prozesse und Konzepte die zur Verwendung von Public Key Verfahren verwendet werden Typischerweise besteht eine Public Key Infrastruktur aus zentralen Komponenten wie einer Zertifizierungsinstanz und einem Verzeichnisdienst und verschiedenen Client Komponenten Registration Authority Siehe Registrierungsinstanz S ehe Registrierungsinstanz Komponente mit der eine Person oder ein System kommunizieren muss um ein digitales Zertifikat zu erhalten S ehe Wurzelzertifizierungsinstanz Verfahren zur Verschl sselung zur digitalen Signatur und zur sicheren bertragung von Schl sseln das nach den drei Kryptografen Rivest Shamir und Adleman benannt ist Secure Multipurpose Internet Mail Extension Erweiterung des E Mail Formats MIME die Zus tze f r kryptografische Dienste beschreibt welche Authentizit t Integrit t und Vertraulichkeit von Nachrichten sicherstellen Ein Schl sse
67. martcard in den Smartcard Leser ein d Klicken Sie auf den Button Zertifikat abholen Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 2 von 86 gt mirad sl abi Lar KHaziccli Inderal I apum O BDB A T me e 5 me m SEE Wu A A A Dun rn rn a nn zu m Parra e Ps era Abre ESS hard e rt r i I i E ac auram Ka lPass mall Zertifikate care bae zu i 1 ATA A aL Abt Laika A Dl e loca e de Antwort Ma Mam A laden AED O laden Das Zertifikat wurde erfolgreich gerierlert arihkaisdaban DE Ritama GmbH miusterfinmna qe assan mustarhimna da Budhram Hanna Hormann hoafiriennmustorhrma de Klicken S5 auf gen Button Zartiikat abi um br forillos in dan Browser Fu intabarer Abbildung 17 Abholen des Zertifikats Damit wird Ihr Zertifikat auf die Smartcard geschrieben 7 Ihre personalisierte Smartcard k nnen Sie nun f r Ihre Client Anwendung verwenden Beim Einsatz von Dual Key ist der Ablauf nahezu identisch Der einzige Unterschied besteht beim Laden des Zertifikats auf die Smartcard Hier m ssen beide Zertifikate separat durch Klicken der entsprechenden Buttons abgeholt werden Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 22 von 86 Je mm p BEEN Wre m i isberras L aHa De hiin duch je Tim 1 T la E E A FE aa A Hipo ms Inder ee mean rra bardo EIS E ple rk TEA dre LEPAA IENE api quepa os pecar
68. n 0 5 Seite 5 von 86 2 3 Smartcards und Software PSEs Das Sicherheitsniveau der MailPass Zertifikate h ngt nicht nur von den Sicherheitsma nahmen des Trust Centers und der Registrierung der Zertifikatsinhaber ab Ein wesentlicher Punkt ist die Geheimhaltung des privaten Schl ssels Hierf r wird dieser in einem speziell gesicherten Bereich gespeichert Eine M glichkeit hierf r sind Software PSEs Ein Software PSE ist eine verschl sselte passwortgesch tzte Datei Um einen maximalen Schutz des privaten Schl ssels zu gew hrleisten sollte dieser jedoch auf einer Smartcard gespeichert werden e34901723000002526 Abbildung 1 Eine Smartcard ist an einer Kontaktfl che aus Metall zu erkennen Eine Smartcard ist eine Plastikkarte im Scheckkartenformat auf der ein Computerchip angebracht ist Dieser Computerchip st an einer Kontaktfl che aus Metall zu erkennen Der Chip einer Smartcard ist ein Computer im Kleinformat der wie ein gr erer Computer auch Daten speichern und mit ihnen rechnen kann Eine Smartcard eignet sich hervorragend um darauf einen privaten Schl ssel zu speichern der anschlie end nicht mehr auslesbar ist Auch die Rechenoperationen f r die der private Schl ssel ben tigt wird lassen sich auf dem Chip durchf hren Die Verwendung von Smartcards ist somit eine besonders sichere Form der Schl sselspeicherung da der Schl ssel nur einmal existiert nicht kopiert werden kann und die Karte nicht verl sst
69. n erscheint ein neues Fenster in dem Sie die Erzeugung Ihres privaten Schl ssels mit OK best tigen m ssen pa Private Key erstellen Netscape 2 Private Key erstellen Klicken Sie auf OK F r Ihr Zertifikat wird nun ein Private Key erstellt Dies kann einige Minuten dauern Wichtig Wird dieser Yorgang unterbrochen m ssen Sie das Zertifikat erneut anfordern Mehr Info JK Abbrecher Abbildung 25 Start der Schl sselgenerierung Sie m ssen anschlie end das Passwort f r die Sicherheitsumgebung Ihres Browsers angeben Falls diese noch nicht durch ein Passwort gesch tzt st werden S e aufgefordert ein Passwort zu setzen Da sich Ihr privater Schl ssel in dieser Sicherheitsumgebung befindet sollten Sie ein starkes Passwort w hlen beachten Sie hierbei bitte die Hinweise im Kapitel 6 2 e Auf der Antwortseite in Ihrem Browser wird die Referenznummer Ihres Zertifikatsantrags angezeigt 5 Nach der Erzeugung Ihres Zertifikats im Telekom Trust Center werden Sie per E Mail benachrichtigt Die E Mail enth lt die Referenznummer Ihres Antrags und die Web Adresse ber die Sie Ihr Zertifikat abholen k nnen 6 Sie rufen mit Ihrem Browser die in der E Mail angegebene Web Seite auf Alternativ k nnen Sie auch ber die Benutzer Web Schnittstelle die Funktion Zertifikat abholen aufrufen a Tragen Sie die Referenznummer Ihres Zertifikatsantrags in das vorgesehene Web Formular ein Die Referenznummer k nnen Sie der E Ma
70. n Sub Registrator Dieser kann Ihr Zertifikat auch ohne Angabe des Sperrpassworts sperren lassen Allerdings m ssen Sie sich gegen ber dem Sub Registrator authentisieren zum Beispiel durch pers nliches Erscheinen Sie sind mit Ihren Browser an einer anderen Web Schnittstelle Master RA Sub RA oder anderer Web Server zum Beispiel f r Online Banking ber ein Zertifikat oder Benutzername Passwort angemeldet und wollen sich nun an der eingeschr nkten Benutzer Web Schnittstelle anmelden Dies erfordert das Beenden und den Neustart des Browsers Anschlie end k nnen Sie die URL der eingeschr nkten Benutzer Web Schnittstelle aufrufen und sich mit Benutzername und Passwort anmelden Bei Problemen welche nicht in dieser bersicht behandelt werden wenden Sie sich bitte an Ihren MailPass Verantwortlichen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 82 von 86 GLOSSAR Additional Decryption Key Zus tzliches Schl sselpaar zur Ver und Entschl sselung von Daten f r den Fall dass der private Benutzerschl ssel nicht zug nglich ist ADK S ehe Additional Decryption Key ARL S ehe Authority Revocation List Authority Revocation List Liste n der gesperrte digitale Zertifikate von Zertifizierungsinstanzen aufgef hrt sind Vor der Verwendung eines digitalen Zertifikats einer Zertifizierungsinstanz sollte anhand der ARL berpr ft werden ob dieses noch verwendet werden darf Benutzer Person die ein
71. n kann Zertifikate kommen zum Beispiel zum Einsatz wenn Sie Ihre E Mails signieren Dateien verschl sseln oder sich an einem Web Server gesichert anmelden Grundlage f r den Einsatz zertifikatsbasierter Verfahren ist ein Schl sselpaar bestehend aus einem privaten Schl ssel und einem ffentlichen Schl ssel Diese beiden Schl ssel sind so voneinander abh ngig dass sie einander eindeutig zugeordnet werden k nnen Der private Schl ssel ist vom Besitzer unbedingt geheim zu halten Der ffentliche Schl ssel hingegen muss dem Kommunikationspartner im Fall von E Mail Verschl sselung und Signatur bzw dem Web Server im Fall einer Authentifizierung bekannt gemacht werden F r die Zuordnung des Schl sselpaares zu einem Besitzer werden digitale Zertifikate verwendet Diese enthalten neben dem Namen und dem ffentlichen Schl ssel des Besitzers einige weitere Angaben wie beispielsweise eine G ltigkeitsdauer Um die korrekte Zuordnung des Schl ssels zum Besitzer zu gew hrleisten werden solche Zertifikate von einer Zertifizierungsinstanz CA einer Art elektronischer Ausweisbeh rde ausgestellt und signiert 2 2 Das Trust Center und der Domain Betreiber Die Zertifizierungsinstanz die Ihr Zertifikat ausstellt hei t MailPass CA und wird von der Deutschen Telekom im Telekom Trust Center betrieben Dies ist ein anerkanntes Trust Center mit langj hrigen Erfahrungen im Bereich Zertifizierungsdienste Qualifiziertes Personal sowie bau
72. nittstelle beim Einsatz von Software PSEs Dezentrale Registrierung ber die Mail Request Schnittstelle beim Einsatz von Smartcards Dezentrale Registrierung ber die Mail Request Schnittstelle beim Einsatz von Software PSEs F r welche dieser Alternativen sich Ihr Domain Betreiber entschieden hat und welche der im Folgenden beschriebenen Abl ufe f r Sie ma geblich sind teilt Ihnen Ihr MailPass Verantwortlicher mit Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 13 von 86 5 1 1 Zentrale Registrierung beim Einsatz von Smartcards Verantwort licher Benutzer Abbildung 4 Beantragung eines Benutzerzertifikats mit Smartcard bei zentraler Registrierung Abbildung 4 verdeutlicht den Ablauf der Beantragung Ihres Zertifikats Es m ssen folgende Schritte ausgef hrt werden 1 Sie werden vom MailPass Verantwortlichen benachrichtigt dass Sie ein Zertifikat beantragen k nnen Dabei wird Ihnen der verantwortliche Sub Registrator genannt 2 Sie m ssen pers nlich beim Sub Registrator erscheinen Dort wird Ihre Identit t anhand eines Ausweisdokuments gepr ft Au erdem pr ft der Sub Registrator Ihre Berechtigung zur Zertifikatsbeantragung anhand einer hm vorliegenden Liste 3 Der Sub Registrator f llt den Zertifikatsantrag ber ein Web Formular aus Dabei legen S e ein Sperrpasswort fest welches mit in den Antrag eingeht Dieses m ssen Sie sich gut merken da es abgefragt wird wenn Sie Ihr Zertifikat s
73. onlichen Informationen OF Abbrechen Beeren Abbildung 49 Klicken Sie im Men nhalt auf den Button Zertifikate c W hlen Sie in der Zertifikatsverwaltung den Punkt Eigene Zertifikate d ber den Button Anzeigen k nnen Sie sich die Eigenschaften der dort aufgef hrten Zertifikate anschauen Pr fen Sie anhand der Seriennummer ob sich das zu erneuernde Zertifikat unter den angezeigten Zertifikaten befindet Befindet sich Ihr Zertifikat nicht in Ihrem Browser muss der private Schl ssel ber eine Datei p12 importiert werden Dies ist die Datei die Sie bei der Registrierung erhalten haben e Netscape Navigator a Klicken Sie in der Navigationssymbolleiste Ihres Browsers auf den Button Sicherheit Security Trust Center Netscape File Edt View Go Communicator Help kai a QU o ens 8 Back Eara Reload Home Search Netscape Erin Securit Shop Stop Abbildung 50 Der Button Sicherheit bei Netscape b W hlen Sie in der Men leiste unter Zertifikate den Punkt Eigene c Klicken Sie auf den Button Zertifikat importieren Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 46 von 86 E Mete ape Ihre Zertifikate Sicherbeirsinformatione Se k nnen dere Zeraficale beleh einsetzen um sich gegen ber anderen Denner und Eonnlirieg Me Sabes aisseta Comicos verwendei Ere Zernikaie zur Entichiiaseig ne er de an Se gesendeten Informatiooen Ihre Zeraicale werden von der aussen Mozo ec e
74. ors ber den Sie die Sperrung Ihres Zertifikats veranlassen k nnen e die Nummer der Sperr Hotline ber die Sie die Sperrung Ihres Zertifikats veranlassen k nnen und e Vorgaben zum Ausf llen des Zertifikatsantrags 2 Sie rufen mit Ihrem Browser die Web Seite der Benutzer Web Schnittstelle auf Dabei werden Sie aufgefordert einen Benutzernamen und ein Passwort anzugeben Diese Daten k nnen S e dem Informationsblatt entnehmen welches Ihnen der MailPass Verantwortliche bergeben hat Netzwerkkennwort eingeben gt leben Sie Benutzernamen und Kennwort ein Site waca telezec de Bereich Enterprise Server Benutzername Kennwort Abbrechen Abbildung 20 Anmeldung mit Benutzername und zugeh rigem Passwort 3 W hlen Sie die Funktion Zertifikat beantragen Nun m ssen Sie zun chst den Zust ndigkeitsbereich ausw hlen der Ihnen mitgeteilt wurde Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 24 von 86 l J an dl Eb iii ajari Hi zani Ird at E ag mn waar am ETTET ET a E irati EE AAA Fa dpi akban Bite w hlen Sie zus ctal Ihren Zurl ndigkerjebarsich mys Ca er Tom aia qe musica de Lal Ea am A ladr Lil baranda Abbildung 21 Ausw hlen des Zust ndigkeitsbereichs 4 Nach Auswahl des Zust ndigkeitsbereichs erscheint ein Online Formular Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 25 von 86 E ida brni aja He
75. perren lassen 4 Beim Absenden des Zertifikatsantrags m ssen Sie die PIN f r Ihre Smartcard festlegen und am Smartcard Leser eingeben Die PIN muss sechsstellig sein Diese PIN m ssen Sie sich gut merken da sie bei jeder Benutzung der Smartcard abgefragt wird 5 Im Telekom Trust Center wird Ihr Zertifikat erzeugt und in einem Verzeichnisdienst gespeichert 6 Der Sub Registrator l dt das Zertifikat auf Ihre Smartcard Dabei m ssen Sie Ihre PIN am Smartcard Leser eingeben 7 Der Sub Registrator bergibt Ihnen die Smartcard und ein Informationsblatt Dieses enth lt e die Web Adresse der eingeschr nkten Benutzer Web Schnittstelle ber die Sie Ihr Zertifikat sperren und erneuern k nnen sowie einen dazugeh rigen Benutzernamen und ein Passwort e die E Mail Adresse und ggf eine Telefonnummer des Sub Registrators ber den Sie die Sperrung Ihres Zertifikats veranlassen k nnen und e die Telefonnummer der Sperr Hotline ber die Sie die Sperrung Ihres Zertifikats veranlassen k nnen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 14 von 86 5 1 2 Zentrale Registrierung beim Einsatz von Software PSEs LII Yerantwort licher Benutzer Abbildung 5 Beantragung eines Benutzerzertifikats mit Software PSE bei zentraler Registrierung Abbildung 5 verdeutlicht den Ablauf der Beantragung Ihres Zertifikats Es m ssen folgende Schritte ausgef hrt werden 1 Sie werden vom MailPass Verantwortlichen b
76. pet cr Gabin Be dil din ss een en BET pii CITAR CHA Se den bere Eunos mm ainn Eo gh banagich dor Dori den ich Bird Zeti Werschlasaciurgg Fr Bpa o o o COUNTET NANE E OEOAHZATIOH HAHE rrin Takon AJ fuere CEGANEZATICHAL NTT_HAME T Tes ec Tire Jene SOC IN HaME Maliar Lims E T COUNTRY HAM DE CEOAHIZA TT R_HAME Hurerinma heit QCEGANIAOOAAL_ EHI HAME SmSerET Inhaber OEGANEATIOMAL HIT HAME tnen meter del op COEROANEATICAA L_ OHT Hake puh COMWMETIA_H AME Hassa E Bn AT j A 3 gt A Abbildung 36 Formular zum Sperren eines Zertifikats Zertifikatsdaten a berpr fen Sie ob es sich bei dem angezeigten Zertifikat um das zu sperrende Zertifikat handelt b Tragen Sie m daf r vorgesehenen Feld den Zeitpunkt ein ab dem Ihr Zertifikat als ung ltig erkl rt werden soll c W hlen Sie einen Grund der Sperrung aus d Klicken Sie auf den Button Absenden Weitere Informationen Ung ltgkeitszeitpunkt Das WINMLTTAIIT LAS Methode vom Fertifikatsinhaber initiiert Grund der Sperrung Angaben im Zertifikat nicht aktuell O Zerifikatsinhaber hat Betreiberorganisation verlassen C Schl ssel kompromittiert O Schl ssel nicht mehr nutzbar C andere Abbildung 37 Formular zum Sperren eines Zertifikats Zeitpunkt und Sperrgrund 6 Ihr Zertifikat ist nun gesperrt und kann nicht mehr verwendet werden Die Sperrung wird per E Mail vom Telekom Trust Center best tigt Dokument MailPass_BenutzerHB 0 5 doc
77. pitel 5 6 Beim Einsatz von Software PSEs Ihr Zertifikat und der private Schl ssel m ssen zur Erneuerung in den Browser importiert werden Befolgen Sie hierf r die Hinweise in Kapitel 5 3 2 Bei der Erneuerung wird Ihr Zertifikat nicht akzeptiert Pr fen Sie zun chst ob Sie das richtige Zertifikat ausgew hlt haben Wenn dies der Fall ist ist das Zertifikat entweder abgelaufen oder gesperrt Wenden Sie sich an Ihren Sub Registrator um ein neues Zertifikat zu erhalten Hinweis Um sicherzustellen dass der Grund der Zur ckweisung die Ung ltiskeit Ihres Zertifikats ist sollten Sie zun chst die G ltigkeit des Zertifikats berpr fen Eine entsprechende Anfrage k nnen Sie mit der Funktion Zertifikat pr fen ber die eingeschr nkte Benutzer Web Schnittstelle ausf hren Hierf r m ssen Sie die Seriennummer Ihres Zertifikats angeben Ihr Zertifikat ist ung ltig Entweder st die G ltigkeitsdauer des Zertifikats abgelaufen ohne das es erneuert wurde oder das Zertifikat wurde gesperrt Sollten Sie nicht ber die Sperrung des Zertifikats informiert sein kl ren Sie dies umgehend mit Ihrem Sub Registrator Der Sub Registrator kann Ihnen ein neues Zertifikat ausstellen bzw einen von Ihnen neu gestellten Zertifikatsantrag bearbeiten Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite Sl von 86 Sie m ssen das Zertifikat sperren lassen und wissen das Sperrpasswort nicht mehr Wenden Sie sich an Ihre
78. pk artenterminal Handbuch CardilanagementT ool La MindYlanager 4 0 EOBIL Kartenlesersoftware CSF Hilfe Programme E Dok 7 3 Netscape Communicator Installation des PECS 11 Moduls f r Netscape okumente E Laa Neue Rechtschreibung Registrierung der Zertifikate Es Einstellungen k Such r a Oracle f r windows MT uchen B FGF gt Hilfe LE PC Bibliothek a Yerwaltung Allgemein Ep Beenden fa MINE dt 3 Jinitiator Control Panel 1 1 7 28 Ausfuhren Abbildung 96 Aufruf der Funktion Registrierung der Zertifikate 3 Es erscheint der Import Assistent f r die Zertifikatsverwaltung Klicken S e Weiter Import Ass stent fur die Zertifikatsrerwaltung Willkommen Dieser Assistent hilft Ihnen beim Kopieren von lt ertifik aten Zzertifikatzvertrauenslisten und sperrlisten von Ihrem Datentr ger in den Zertifikatsspeicher Was tem Zertifikat Ein Zertifikat wird von einer Zertifizienungestelle ausgestellt und dient der Best tigung Ihrer Identit t Zertifikate enthalten Informationen fur den Datenschutz oder fur den Aufbau sicherer Netzwerk verbindungen Was stem Zertifikatsspeicher Ein Zertifikatzspeicher izt ein Systernbereich in dem Zertifikate Zertifik atsvertrauenelisten und sperrlisten gespeichert werden Klicken Sle auf Weiter um den Worgang fortzusetzen oder auf Abbrechen um den Assistenten zu beenden UT Abbrechen Abbildung 97
79. ranit Ir mel u liri a a aa ZH EN er ed alias td adn Mia Pan CA laser MEL ET Betraikear Firma Betrebar Doman 6815 Zul ndgjkenlsbarmeh OLA on ira de Abbildung 22 Antrag fiir Benutzerzertifikat Gehen Sie bitte wie folgt vor a F llen Sie die Datenfelder aus Beachten Sie dabei bitte die Vorgaben ihres MailPass Verantwortlichen Beachten Sie des Weiteren dass Vor und Nachname keine Umlaute enthalten d rfen G ltige Zeichen sind a z A Z 0 9 b Tragen S e die Authentifizierungsdaten ein Von besonderer Wichtigkeit ist das Sperrpasswort Dieses m ssen Sie sich gut merken da es abgefragt wird wenn Sie Ihr Zertifikat sperren lassen c F r das Feld zur Auswahl des Schl sselgenerators w hlen Sie bitte folgende Einstellungen e Netscape Navigator 1024 Verschl sselung hoher Komplexit t Informationen zum ffentlichen Schl ssel Public Key 1024 verschl sselung hoher Komplexit t Abbildung 23 Einstellen der Schl ssell nge Netscape e MS Internet Explorer Microsoft Enhanced Cryptographic Provider Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 26 von 86 Informationen zur Schl ssell nge Microsoft Enhanced Cryptographic Provider 1 0 Abbildung 24 Einstellen der Schl ssell nge Internet Explorer d Klicken Sie auf den Button Absenden Wenn Sie den Netscape Navigator verwende
80. rd von einer Zertihzierungsstelle ausgestellt und dient der Best tigung Ihrer Identit t Zertifikate enthalten Informationen f r den Datenschutz oder f r den Aufbau sicherer Netzwerk vrerbindungen Was ist eim Zertifikatsspeicher Ein Zertifikatsspeicher ist ein Systembereich in dem Zertifikate Zertifikatevertravenelisten und sperrlisten gespeichert werden Klicken Sie auf weiter um den Yorgang fortzusetzen oder auf Abbrechen um den Assistenten zu beenden Abbrechen UTA Abbildung 90 Export Assistent 4 W hlen Sie die Option Ja privaten Schl ssel exportieren und klicken Sie auf Weiter Dokument MailPass_BenutzerHB 0 5 doc 09 08 2002 Version 0 5 Seite 70 von 86 Export Assistent fur die ertifikatsverwaltung Privaten Schlussel mit Zertifikat exportieren Geben S e an ob Sie mit Ihrem Zertifikat den privaten Schlussel exportieren mochten Private Schlussel mussen geschutzt werden Wenn Sie den privaten Schlussel f r das ausgew hlte Zertifikat exportieren mochten werden Sie auf der n chsten Seite ein Kennwort eingeben mussen Mochten Sie mit d tikat auch den privaten Schlussel exportieren C Nein privaten Schl ssel nicht exportieren Zuruck Abbrechen Abbildung 91 Option Ja privaten Schl ssel exportieren w hlen 5 W hlen Sie die Optionen wie in Abbildung 92 angegeben und klicken Sie auf Weiter Export Ass stent fur die ertifikatsverwaltung Exportdateiformat
81. rungs instanz X 509 Zertifikat Zertifizierungsinstanz Zust ndigkeitsbereich Sh E E E zust ndig ist Mitarbeiter der Sperr Hotline der die Sperr Hotline Web Schnittstelle bedient Web basierte Komponente die ausschlie lich dem Sperren von Zertifikaten dient wird von Sperr Hotline Operator genutzt Komponente die Zertifikatssperrungen durchf hrt Liste in der gesperrte digitale Zertifikate aufgef hrt sind Vor der Verwendung eines digitalen Zertifikats sollte anhand einer Sperrliste berpr ft werden ob dieses noch verwendet werden darf Wird auch als Certificate Revocation List CRL bezeichnet Siehe Secure Socket Layer Siehe Zust ndiskeitsbereich Web basierte Komponente zur Verwaltung von Benutzerzertifikaten wird vom Sub Registrator bedient Mitarbeiter des MailPass Domain Betreibers der f r das Management von Benutzerzertifikaten verantwortlich ist Speziell gesch tztes Geb ude in dem unter besonderen S cherheitsvorkehrungen Zertifizierungsinstanzen und weitere PKI Komponenten betrieben werden S ehe Telekom Trust Center Mitarbeiter von T TeleSec der insbesondere f r die Registrierung von Master Registratoren zust ndig ist Web basierte Komponente zum Management von Registratoren wird vom TTC Operator bedient Mitarbeiter des Domain Betreibers der als Ansprechpartner und Gesamtverantwortlicher fungiert Datenspeicher der den Abruf von Zertifikaten und Informationen ber Zertifikate
82. s Verzeichnis zugriffsgesch tzt m ssen Sie einen Benutzernamen und ein Passwort angeben Diese Daten erhalten Sie von Ihrem MailPass Verantwortlichen e Telekom Root laden Hier k nnen Sie das Zertifikat der Zertifizierungsinstanz laden welche das MailPass CA Zertifikat ausgestellt hat e MailPassPass CA laden Hier k nnen Sie das Zertifikat der Zertifizierungsinstanz laden welche Ihr Zertifikat ausstellt e Dokumente laden Hier steht Ihnen ein Dokument mit den Zertifizierungsrichtlinien CPS der Deutschen Telekom f r den MailPass Service sowie das Benutzerhandbuch zur Verf gung 4 3 Eingeschr nkte Benutzer Web Schnittstelle 3 mai Camin o Inden Tepe nenita Ti hi miis Malissa waal E ri Maa Dies im der Zerihrierungessernei fur T Teee A Mi Hihi a Onde Fort la kian Est Ih A il Zara veran Ipeitislen abc caia cb isi arte Schiesel n fremde H nde gelangt SESION Garn k nnen Se her umgehend hr feta sperar AAA 2 ertar A A O ES Far Ab dar orar dan Ele rr Tak kisn Trail Comer par E Mad daras miran de arial zu amgin Os Empire binse Ed be des Urine emgar mider Abbildung 3 Startseite der eingeschr nkten Benutzer Web Schnittstelle Die eingeschr nkte Benutzer Web Schnittstelle steht Ihnen zur Verf gung wenn Ihr Domain Betreiber das zentrale Registrierungsmodell gew hlt hat Diese Komponente k nnen Sie mit Ihrem Browser aufrufen Dabei werden Sie aufgefordert einen Benutzernamen und ein Passwort e
83. schauen Pr fen Sie anhand der Seriennummer ob sich das zu erneuernde Zertifikat unter den angezeigten Zertifikaten befindet e Microsoft Internet Explorer a b Dokument Version W hlen Sie im Browser Men Extras den Punkt nternetoptionen Benutzerzertifikat beantragen Microsoft Internet Explorer Date Bearbeiten Ansicht Favoriten Extras 7 Mail und News T 7 gt 7 e E EEn lt uruck mgnatzjpee Abbrechen k UC A AA ndo Update Adresse e https wwwca teleseo de case MSN Messenger Service Verwandte Links anzeigen TeleSec Net2Phone A A a gt Abbildung 48 W hlen Sie im Men Extras den Punkt Internetoptionen Gehen Sie zum Men nhalt und klicken Sie auf den Button Zertifikate MailPass_B HB 0 5 d 09 08 2002 ne ass_Benutzer oc Seite 45 von 86 Internetoptionen El Allgemein Sicherheit Inhalt verbindungen Programme Erweitert Inhaltzratgeber Filter helfen Ihnen bel der Kontrolle der Internetinhalte die auf diesem Computer angezeigt werden konnen 1 Einslelangen Zertifikate verwenden Sie Zertifikate um sich selbst Zertifizierungs aj agenturen und Herausgeber zuveil ssi dentifizieren Zertifikate Herausgeber Personliche Informationen Mit Autoyervollst ndigen werden Ihre Autoyervollst ndigert Es Eingaben gespeichert und Uberemnstimmungen vorgeschlagen Microsoft Frofl Assistent speichert Profil Ihre pers
84. strierung per E Mail Zu diesem Zweck m ssen Sie zun chst mit einer geeigneten Client Anwendung einen Zertifikatsantrag im Format PKCS 10 erzeugen Diesen schicken Sie dann per E Mail an das Telekom Trust Center Die E Mail Adresse erfahren Sie von Ihrem MailPass Verantwortlichen Anschlie end nehmen Sie Kontakt mit Ihrem Sub Registrator auf und handeln ein Sperrpasswort aus Bei erfolgreicher Bearbeitung Ihres Antrags wird Ihnen dann das Zertifikat direkt per E Mail zugeschickt N here Informationen zum Erzeugen des Zertifikatsantrags im Format PKCS 10 bzw zum Import des erhaltenen Zertifikats in Ihre Client Anwendung entnehmen Sie bitte den entsprechenden Benutzerhandb chern Ihrer Client Anwendung F r weitere Fragen bez glich der dezentralen Registrierung ber die Mail Request Schnittstelle wenden Sie sich bitte an Ihren MailPass Verantwortlichen Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 30 von 86 5 2 Sperren eines Zertifikats In bestimmten F llen ist es erforderlich dass Sie Ihr Zertifikat sperren lassen Dies ist insbesondere dann notwendig wenn Ihr privater Schl ssel in fremde H nde gelangt st Im Folgenden werden alle Gr nde aufgelistet bei denen Sie die Sperrung Ihres Zertifikats veranlassen m ssen Ihr privater Schl ssel ist kompromittiert das hei t eine andere Person ist in den Besitz Ihres privaten Schl ssels gekommen Es besteht der Verdacht dass Ihr privater Schl ssel kompromitti
85. t Floiseiger Dra larasrrpt DOS Eu _Amzegen E WFkspeller Andere L schen Wet Sor Enpre Mrerer c herr Erypiog aphie Module zj Es empbehlt mh Kopien der Zert kate anfertigen und de Zeriikrie an enem acheren Crt aalafbewadres Be Velmi der Zersficale verkeren Sie de Filakia erschhissebe Hacheicheen m desen Auderdem kanan Ha der Ausweisung gegen ber anderen Weh Saes Probleme auri k Abbrechen Hita Abbildung 51 Zertifikat importieren d Geben Sie das Passwort f r die Sicherheitsumgebung Ihres Browsers ein e W hlen Sie die Date aus die Ihren privaten Schl ssel und das zugeh rige Zertifikat enth lt Klicken Sie auf ffnen f Geben Sie das Passwort der Datei ein g Bei erfolgreichem Import erhalten Sie eine entsprechende Meldung e Microsoft Internet Explorer a W hlen Sie im Browser Men Extras den Punkt nternetoptionen 3 Benutzerzertifikat beantragen Microsoft Internet Explorer Date Bearbeiten Ansicht Favoriten Extras 7 Mail und News t T y z 3 ido Y lt uruck vonata Abbrechen u LIE c Windows Update Adresse e https uwwca teleseo de case ooo MSN Messenger Service verwandte Links anzeigen 4b HetzFhane Internetoptianen Abbildung 52 W hlen Sie im Men Extras den Punkt Internetoptionen b Gehen Sie zum Men nhalt und klicken Sie auf den Button Zertifikate Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 47 von 8
86. wa das Einrichten eines Kontexts der ber mehrere Anfragen aufrechterhalten werden kann LDAP wird insbesondere zur Abfrage von digitalen Zertifikaten und Sperrlisten innerhalb von Public Key Infrastrukturen verwendet Zertifizierungsinstanz die im Rahmen von T TeleSec MailPass zum Einsatz kommt Variante eines Zertifikatsantrags bei dem die Daten per E Mail an die Zertifizierungsinstanz bermittelt werden S ehe Betreiber Domain Web basierte Komponente die vor allem dem Management von Sub Registrator Zertifikaten und der Definition von Zust ndigkeitsbereichen dient wird vom Master Registrator verwendet Mitarbeiter des Domain Betreibers der f r das Management von Sub Registrator Zertifikaten verantwortlich ist Das Online Certificate Status Protocol erm glicht die Online Abfrage der G ltigkeit von Zertifikaten Personal Identification Number Geheimzahl wie sie zum Beispiel am Geldautomaten verwendet wird MailPass_BenutzerHB 0 5 doc 09 08 2002 Seite 84 von 86 PKI PKIX PKS Policy PSE Public Key Infrastruktur RA Registration Authority Registrierungsinstanz Root CA RSA S MIME Schl ssel Secure Socket Layer Signatur Single Key Smartcard Software PSE Sperr Hotline E E E E E Siehe Public Key Infrastruktur Public Key Infrastructure X 509 Standard der IETF der alle relevanten Bestandteile einer PKI standardisiert Public Key Service Service von T TeleSec zur Ausstel
87. y erstellen Klicken Sie auf OK F r Ihr Zertifikat wird nun ein Private Key erstellt Dies kann einige Minuten dauern Wichtig Wird dieser Yorgang unterbrochen m ssen Sie das Zertifikat erneut anfordern w hlen Sie die Karte oder Datenbank mit der der Schl ssel generiert werden soll Jrcos 2 0 Chipkarte an COM 1 Mehr Info OK Abbrecher Abbildung 12 Bei Verwendung des Netscape Navigators muss die Smartcard zur Schliisselgenerierung ausgew hlt werden f Beim Absenden des Zertifikatsantrages m ssen Sie die PIN ihrer Smartcard eingeben Bei erstmaliger Verwendung der Smartcard wird der Null PIN Status aufgehoben und Sie m ssen eine neue sechsstellige PIN setzen Abbildung 13 zeigt diesen Vorgang f r den Internet Explorer Bei Verwendung von Netscape erscheinen dazu zwei Fenster wobei Sie ersteres ohne Eingabe durch Klicken von OK bergehen k nnen Abbildung 14 Im zweiten Fenster legen Sie Ihre neue PIN fest Abbildung 15 Die Dialoge unterscheiden sich in Ihrem Aussehen je nach verwendeten Browser Festlegung der FIN E4 KG SMAKT IE mu EEE Bitte 24 die gewunschte FIN Abbruch Abbildung 13 Geben Sie die gew nschte PIN ein Internet Explorer Dokument MailPass_BenutzerHB 0 5 doc e 09 08 2002 Version 0 5 Seite 19 von 86 Lora ado Ferne araor Holaaa Abbildung 14 Dieses Fenster k nnen Sie ohne Eingabe durch Klicken von OK best tigen Netscape Communicator Kennwort einrichten
Download Pdf Manuals
Related Search