OpenPGP mit Webmail und Mailvelope nutzen

Wie verwende ich OpenPGP mit einem Webmailer und dem Browser-Plugin Mailvelope?

Mailvelope einrichten

Falls Sie Ihr E-Mail-Postfach mittels eines Webmailers mit einem der Browser Firefox, Chrome, Edge oder Brave verwalten, dann haben Sie auch hiermit die Möglichkeit, Ihre E-Mails per OpenPGP digital zu signieren und zu verschlüsseln. Sie benötigen dazu das Browser-Plugin Mailvelope, dessen kostenlose Community-Version Sie über die Add-on-Verwaltung Ihres Browsers installieren können. Zum Einrichten sind die nachfolgend aufgeführten Schritte nötig. Beim erstmaligen Aufruf von Mailvelope gelangt man direkt in den Dialog zum Erstellen eines Schlüsselpaares.

Schlüssel generieren

Generieren Sie nun das Schlüsselpaar für Ihre persönliche @fau.de-Adresse und schützen Sie dabei den privaten Schlüssel mit einem möglichst sicheren Passwort.

Das Hochladen Ihres Schlüssels auf den Mailvelope-Schlüsselserver ist optional. Das erzeugte Schlüsselpaar wird Ihnen wie nachfolgend dargestellt angezeigt.

Das Schlüsselpaar kann nun exportiert werden, wobei der geheime Schlüssel sicher verwahrt werden muss.

Der öffentliche Schlüssel kann nun z.B. im FAU-Schlüsselverzeichnis publiziert werden, um ihn den E-Mail-Programmen Ihrer Kommunikationspartner auch per WKD-Protokoll zugänglich zu machen.

FAUMail und FAUGroupware bei Mailvelope autorisieren

Sie können die Mailvelope-Konfiguration so anpassen, dass Sie Mailvelope auch für die vom RRZE bereit gestellten Webmailer  (FAUMail-Webinterface, Outlook Web App) verwenden können. Im Hauptmenü von Mailvelope finden Sie unter Optionen >> Autorisierte Domains die vorkonfigurierten Webmailer. Hier klicken Sie auf Neuen Eintrag hinzufügen und geben bei Seite den Wert FAUMail ein, und bei Domänenmuster die Werte *.faumail.uni-erlangen.de und *.faumail.fau.de. Analog tragen Sie für die Seite FAUGroupware den Wert *.groupware.fau.de ein.

Schlüsselverzeichnisse festlegen

Unter Optionen >> Schlüsselverzeichnisse können Sie festlegen, wo Mailvelope nach Schlüsseln von Kommunikationspartnern suchen soll. Sinnvoll sind die nachstehend abgebildeten Einstellungen.

Diese Einstellungen wirken sich auf die Schlüsselsuche wie unter Schlüsselverwaltung nach Klick auf Suche ersichtlich wie folgt aus:

Mit FAUMail-Webinterface eine E-Mail signiert und verschlüsselt versenden

Öffnen Sie im FAUMail-Webinterface den Dialog zum Schreiben einer E-Mail. Sie sehen über der rechten oberen Ecke des Eingabefensters für den Inhalt der E-Mail das Mailvelope-Logo.

Wenn Sie dieses anklicken, sehen Sie rechts daneben den Text Sichere E-Mail schreiben und es öffnet sich ein entsprechendes Dialog-Fenster mit dem von Ihnen bei der Mailvelope-Einrichtung gewählten Hintergrund.

Wenn Sie die E-Mail-Adresse der gewünschten Adressatin ins Adressfeld eingeben, wird Ihnen im Falle, dass Sie deren öffentlichen Schlüssel bereits in Ihrer Mailvelope-Schlüsselverwaltung vorliegen haben oder dieser auf einem der konfigurierten Schlüsselserver gefunden wird, Name, E-Mail-Adresse und Schlüssel-Id sofort eingeblendet und Sie können die Angaben direkt übernehmen. Die Adresse der Empfängerin wird Ihnen dann in grün dargestellt, andernfalls in rot mit einem zusätzlichen Hinweis, dass der Versand einer verschlüsselten E-Mail an die Adressatin nicht möglich ist.

 

Wenn Sie nun auf die Schaltfläche Verschlüsseln klicken, dann wird Ihnen der Text der E-Mail PGP/INLINE-verschlüsselt dargestellt.

Wenn Sie einen schützenswerten Anhang beifügen möchten, dann müssen Sie diesen verschlüsselt beifügen, da Mailvelope in der kostenlosen Community-Version kein PGP/MIME unterstützt. Ein Werkzeug zum Signieren und Verschlüsseln von Dateien via OpenPGP liefert Mailvelope unter dem Hauptmenüpunkt Verschlüsseln mit, ein analoges Werkzeug zum Entschlüsseln von Dateien über den Hauptmenüpunkt Entschlüsseln.

Über die Schaltfläche Senden schicken Sie die E-Mail ab.

Mit FAUMail-Webinterface signierte und verschlüsselte E-Mail empfangen

Wenn Sie eine E-Mail, die wie im vorstehenden Abschnitt beschrieben an Sie gesandt wurde, im FAUMail-Webinterface öffnen, dann sehen Sie zunächst statt des Inhalts der E-Mail den in Mailvelope eingestellten Sicherheitshintergrund sowie darübergelegt ein helles Feld mit dem Mailvelope-Logo über dem Text Nachricht anzeigen.

Um den Inhalt der E-Mail zu entschlüsseln und deren Signatur zu prüfen, klicken Sie in dieses Feld. Es öffnet sich ein Dialogfenster, welches die Passphrase zum Entsperren Ihres privaten Schlüssels abfragt.

Nach erfolgreicher Entsperrung sehen Sie den entschlüsselten Inhalt der E-Mail sowie unterhalb des Inhaltsfensters bei erfolgreicher Signaturprüfung einen grünen Punkt neben dem Text Signiert und E-Mail-Adresse mit Schlüssel-Id des Signaturschlüssels.

Hinweis:

Mailvelope hat in der Version 4.6.1 einen Bug, aufgrund dessen trotz korrekter Signatur „Signatur unbekannt … Schlüssel … nicht gefunden“ angezeigt wird, wenn unter Optionen >> Allgemein als Backend OpenPGP.js verwendet wird. Dieses Problem sollte in der Nachfolgeversion behoben sein.

OpenPGP-Schlüsselverzeichnis für FAU-Mitglieder

Was ist das OpenPGP-Schlüsselverzeichnis für FAU-Mitglieder?

Als Alternative zu den X.509-Nutzerzertifikaten für das S/MIME-Verfahren unterstützt das RRZE für die Ende-zu-Ende-Verschlüsselung von E-Mails nun auch den Einsatz von OpenPGP. Um den eigenen OpenPGP-Schlüssel potenziellen Kommunikationspartnern auf sichere Weise bekannt zu machen, betreibt das RRZE einen Verifying Key Server (VKS), auf dem FAU-Mitglieder den Schlüssel für ihre persönliche @fau.de-Adresse sowie für in ihrer Verantwortung befindlicher, nicht personenbezogener Adressen (Funktionsadressen) unter @fau.de im FAU-Schlüsselverzeichnis veröffentlichen können. Damit der Schlüssel über die zugehörige Identität (E-Mail-Adresse) gefunden werden kann, müssen die Adressinhaber:innen zunächst über einen Link in einer Bestätigungsmail ihre E-Mail-Adresse verifizieren. Danach kann der Schlüssel durch eine Suche nach der E-Mail-Adresse gefunden und heruntergeladen werden, und ist zusätzlich von E-Mail-Programmen via WKD-Protokoll abrufbar. Zu den WKD-fähigen E-Mail-Programmen zählen z.B. Mozilla Thunderbird und Microsoft Outlook. Letzteres erhält die entsprechende Funktionalität über das Plugin GpgOL, welches Teil des Gpg4win-Pakets ist.

Wichtiger Hinweis:

Es ist grundsätzlich möglich, auch OpenPGP-Schlüssel für auf .fau.de oder .uni-erlangen.de endende E-Mail-Adressen im FAU-Schlüsselverzeichnis zu veröffentlichen. Via HKP-Protokoll (z.B. Schlüsselsuche im Selfservice oder über HKP-fähige E-Mail-Clients) werden auch solche Schlüssel gefunden. Der Schlüsselabruf mit E-Mail-Clients über das WKD-Protokoll ist allerdings auf E-Mail-Adressen unter @fau.de beschränkt.

OpenPGP-Schlüssel im FAU-Schlüsselverzeichnis verwalten

Wie verwalte ich meine OpenPGP-Schlüssel im FAU-Schlüsselverzeichnis?

Schlüssel veröffentlichen

Der aus der Schlüsselverwaltung des verwendeten E-Mail-Programms exportierte öffentliche Schlüssel kann wie folgt im FAU-Schlüsselverzeichnis veröffentlicht werden. Rufen Sie im Selfservice-Bereich des IdM-Portals die OpenPGP-Schlüsselverwaltung auf, kopieren durch Cut & Paste den Inhalt der exportierten Schlüsseldatei (ASCII-Format) ins Eingabefeld und klicken auf die Schaltfläche Absenden. Alternativ können Sie die Schlüsseldatei direkt hochladen. Der hochgeladene Schlüssel wird in der rechten Spalte durch Angabe seines 40-stelligen Fingerabdrucks angezeigt. Die dem Schlüssel zugeordneten E-Mail-Adressen werden jeweils darunter mit dem Status Unveröffentlicht dargestellt.

Im nächsten Schritt klicken Sie auf das grün unterlegte Haken-Symbol Überprüfen im Menü rechts oben, um die Verifikation der zugeordneten E-Mail-Adresse durchzuführen. Mit dieser Aktion wird eine E-Mail mit einem Bestätigungslink an diese Adresse gesandt.

Wenn Sie Eigentümer dieser E-Mail-Adresse sind, können Sie jeweils den Bestätigungslink anklicken, wodurch der Schlüssel samt zugeordneter E-Mail-Adresse im FAU-Schlüsselverzeichnis veröffentlicht wird.

Links neben dem Fingerabdruck des Schlüssels sehen Sie nun ein grün unterlegtes Schlüssel-Symbol, welches den Status Veröffentlicht darstellt. Nun ist Ihr Schlüssel samt der jeweiligen Identität (E-Mail-Adresse) im Schlüsselverzeichnis veröffentlicht und kann über die Schlüsselsuche im Selfservice gefunden werden. Für E-Mail-Adressen unter @fau.de wird der so veröffentlichte Schlüssel zusätzlich von WKD-fähigen E-Mail-Programmen gefunden (siehe hierzu die Anleitung für Thunderbird und die Anleitung für Outlook).

Veröffentlichten Schlüssel ersetzen

Um einen veröffentlichten Schlüssel durch einen neuen zu ersetzen, laden Sie den neuen Schlüssel hoch und führen für diesen die Verifizierung der zuzuordnenden E-Mail-Adresse(n) wie oben beschrieben durch.

Veröffentlichten Schlüssel für ungültig erklären

Um einen veröffentlichten Schlüssel für ungültig zu erklären, widerrufen Sie diesen z.B. mit Hilfe der Schlüsselverwaltung Ihres E-Mail-Programms und laden den widerrufenen Schlüssel hoch. Dadurch werden die personenbezogenen Informationen (E-Mail-Adressen) des Schlüssels aus dem FAU-Schlüsselverzeichnis entfernt.

Funktionsprinzip von OpenPGP

Was muss ich tun, um OpenPGP zu benutzen?

Um OpenPGP zu benutzen, müssen Sie sich mit Hilfe der Schlüsselverwaltung Ihres E-Mail-Programms zunächst ein OpenPGP-Schlüsselpaar erzeugen, welches aus einem geheimen und einem öffentlichen Schlüssel besteht. Den geheimen Schlüssel müssen Sie sicher verwahren. Damit entschlüsseln Sie an Sie gerichtete, verschlüsselte E-Mails und versehen Ihre ausgehenden E-Mails mit einer digitalen Signatur. Durch dieses „Siegel“ kann der Empfänger überprüfen, ob die E-Mail tatsächlich von Ihnen stammt (Authentizität) und auf dem Übertragungsweg nicht verfälscht wurde (Integrität).

Den öffentlichen Schlüssel müssen Sie ihren Kommunikationspartnern bekannt machen, damit diese Ihnen verschlüsselte E-Mails senden und Ihre digitale Signatur prüfen können. Am einfachsten geht das Veröffentlichen, indem Sie Ihren Schlüssel ins FAU-Schlüsselverzeichnis hochladen. Von dort kann ihn das E-Mail-Programm Ihres Kommunikationspartners beim verschlüsselten Versand an Sie mehr oder weniger automatisch abrufen, je nachdem, wie gut dieses den WKD-Standard unterstützt.

Microsoft Office 365 Lizenz ändern (Kurzanleitung)

Kurzanleitung für Studierende, die Office 365 bereits über StudiSoft bezogen haben

Die Bereitstellung von Microsoft 365 hat sich am 1. April 2022 geändert.

Die ab sofort für Microsoft-Software einheitlich zu verwendende Kennung setzt sich aus der persönlichen IdM-Kennung gefolgt von @fauad.fau.de zusammen:
Ihre Idm-Kennung@fauad.fau.de

Umstieg auf die neue Kennung @fauad.fau.de

Die bisher über StudiSoft bereitgestellte Extra-Kennung zur Nutzung von Office 365 (@FAUERLNUE.onmicrosoft.com) entfällt ab 31.08.2022,

  • alle Benutzerkonten werden durch Microsoft unwiederbringlich gelöscht,
  • die Programme sind nicht mehr nutzbar und
  • gegebenenfalls zu diesem Benutzerkonto gehörende Daten in der Microsoft-Cloud werden ebenso gelöscht.

Schritt 1: Wie beantrage ich die neue Kennung für Microsoft Office 365 (und Microsoft Teams)

Falls noch nicht geschehen, müssen Sie im IdM-Portal > SELF SERVICE > Allgemeine Einstellungen die „Zustimmung zur Datenübertragung an Cloud-Dienste“ erteilen, sonst ist keine weitere Nutzung möglich.

  • Mit dem über Microsoft Azure angelegten Benutzerkonto sind Studierende und Promovierende automatisch berechtigt, die M365 A3-Lizenz in der Form von lokalen Desktop-Anwendungen (on premise) zu nutzen (Word, Excel, PowerPoint etc.).
  • Bei Wahl der Microsoft 365 Cloud-Dienstleistungen können u. a. Microsoft Teams und Office365 Web-Anwendungen genutzt werden.

Erst nach der Zustimmung wird das Microsoft-Benutzerkonto angelegt.

Es ist mit ca. 2 Stunden Wartezeit zu rechnen, bis die Kennung aktiv wird und Sie Microsoft Office 365 oder Microsoft Teams nutzen können.

Zustimmung zur Datenübertragung an Cloud-Dienste

Schritt 2: Wie kann ich die Lizenzierung von Office 365 auf den neuen Account umstellen? (Windows)

  1. Achtung: Es dauert ca. 2 Stunden bis die Kennung aktiv wird, nachdem Sie die Zustimmung zur Datenübertragung für „Microsoft Azure“ erteilt haben.
  2. Anschließend können Sie sich mit der neuen Kennung (Ihre Idm-Kennung@fauad.fau.de) an Office anmelden.

  • Öffnen Sie eine Office Anwendung, z.B. Word:
    • Datei
    • Konto
    • Produktinformationen
    • Lizenz ändern

3. Überprüfen Sie, ob Sie noch Zugriff auf Ihre Dateien haben, insbesondere Ihre OneNote-Notizbücher! Öffnen Sie dazu die Dateien und prüfen Sie die Inhalte und die Funktionalität.

Schritt 2: Wie kann ich die Lizenzierung von Office 365 auf den neuen Account umstellen? (macOS)

  1. Achtung: Es dauert ca. 2 Stunden bis die Kennung aktiv wird, nachdem Sie die Zustimmung zur Datenübertragung für „Microsoft Azure“ erteilt haben.
  2. Anschließend können Sie sich mit der neuen Kennung (Ihre Idm-Kennung@fauad.fau.de) an Office anmelden.
  • Öffnen Sie eine Office Anwendung, z.B. Word:
    • Datei -> Neu aus Vorlage
    • Links oben auf das Konto klicken -> Abmelden
    • Anmelden mit der neuen Kennung

3. Überprüfen Sie, ob Sie noch Zugriff auf Ihre Dateien haben, insbesondere Ihre OneNote-Notizbücher! Öffnen Sie dazu die Dateien und prüfen Sie die Inhalte und die Funktionalität.

Die Lizenz lässt sich nicht ändern?

Falls das ändern der Lizenz nicht funktioniert, unter

  • Windows -> Microsoft Edge starten
  • macOS -> Safari starten

und die Webseite portal.office.com aufrufen. Mit <Ihre Idm-Kennung@fauad.fau.de>

anmelden und „Office (drüber) installieren“.

Ihre Office-Einstellungen bleiben dabei erhalten.

Was ist mit meinen Daten in der Microsoft Cloud?

In Kontext von FAUERLNUE waren OneDrive, Sharepoint und andere Microsoft Cloud-Dienste nicht freigegeben. Jedoch lassen sich für die Gewährleistung der Funktionalität nicht alle Cloud-Komponenten bei der Bereitstellung von Office 365 deaktivieren. Auf diese Datenbereiche und die dort gespeicherten Dateien können Sie als Anwender nicht direkt zugreifen. Auch das RRZE als Plattformadministrator kann nicht ermitteln, ob Sie Daten in der Microsoft Cloud gespeichert haben und kann Ihnen beim Umzug der Daten nicht helfen!

  • Bislang sind nur Fälle bekannt geworden, in denen OneNote-Benutzende ihre Notizbücher in einem nicht direkt zugreifbaren Bereich von Sharepoint speichern konnten und nach der Umstellung der Kennung keinen Zugriff mehr auf die Notizbücher hatten.
Nur mit dem aktiven FAUERLNUE-Benutzeraccount und der zugehörigen Anwendung können Sie – und nur Sie selbst – Dokumente sichern.

Wie kann ich meine OneNote-Notizbücher umziehen?

Ein einfaches Kopieren oder Verschieben dieser Notizbücher als Ganzes ist nicht möglich. Sie müssen die Inhalte des Notizbuchs abschnittsweise auf einen neuen Speicherort umziehen.

Umziehen eines OneNote-Notizbuchs auf ein anderes Microsoft Konto

  1. Mit der @fauerlnue-Kennung an der OneNote App (macOS oder Windows) anmelden
  2. Das zu übertragende Notizbuch (Quelle) öffnen
  3. Ein zweites Microsoft-Konto (Ziel) über „verbundene Dienste“ einbinden
  4. Das Ziel-Notizbuch im zweiten Microsoft-Konto neu anlegen bzw. öffnen
  5. Mit der rechten Maustaste die einzelnen Abschnitte des Quell-Notizbuchs in das Ziel-Notizbuch kopieren
  6. mit der @FAUERLNUE Kennung abmelden und vom zweiten Microsoft Konto trennen
  7. mit dem zweiten Microsoft-Konto anmelden und prüfen, ob das neue Notizbuch vollständig und funktionsfähig ist
  8. Es ist empfehlenswert, das Quell-Notizbuch nach der zufriedenstellenden Übertragung  zu löschen.

Relevante Hilfen aus der Microsoft Community:

In gleicher Art und Weise:

Umziehen eines OneNote-Notizbuchs auf einen neuen Speicherort auf Ihrem Computer

Wenn Sie die Inhalte aus Ihrem Notizbuch beibehalten möchten, können Sie das Notizbuch in ein neues Notizbuch auf Ihren Computer verschieben. Ein Notizbuch kann jedoch nicht als Ganzes, sondern nur abschnittsweise an den neuen Speicherort übertragen werden.

  1. Dazu müssen Sie zuerst ein neues Notizbuch auf Ihrem Computer erstellen.
  2. Anschließend können Sie die Inhalte in das neue Notizbuch abschnittsweise kopieren und einfügen sowie
  3. danach das alte Notizbuch von OneDrive löschen.
Bitte prüfen Sie die verwendeten Benutzerkennungen, bevor Sie sich bei Fragen und Problemen an software@fau.de wenden.

Antworten auf weitere Fragen finden Sie in der vollständigen Microsoft (Office) 365 Anleitung.

Serverzertifikate (Géant TCS ab 2022)

Diese Seite beschreibt die neue Géant TCS CA – bis zum 31.12.2022 ist es weiterhin möglich, Zertifikate über die bisherige DFN CA auszustellen. Wir empfehlen aber in fast allen Fällen, die neue CA zu verwenden.

Um ein Serverzertifikat zu beantragen, müssen Sie in Ihrer Position autorisiert sein, ein Zertifikat für einen Dienst bzw. Server zu beantragen. Insbesondere müssen alle beantragten DNS-Namen im DNS der FAU angelegt und ihrer Organisationseinheit zugeordnet sein.
Das Serverzertifikat ist maximal 12 Monate gültig.

Damit Sie ihr Serverzertifikat nutzen können, müssen Sie:

  1. Einen digitalen PKCS#10-Zertifikatsantrag im PEM-Format erstellen.
  2. Den Antrag über die Webschnittstelle hochladen
  3. Das Zertifikat auf Ihrem Server einbinden

1.PKCS#10-Zertifikatsantrag im PEM-Format generieren

Open SSL ist ein fertiges Paket, welches bei den meisten Linux-Distributionen mitgeliefert wird. Falls Sie auf ein Windows Betriebssystem angewiesen sind, gibt es auch ein OpenSSL Windows Installationspaket. Diese OpenSSL-Programme sind Kommandozeilen orientiert, d.h. es gibt keine grafische Oberfläche.

  • Schlüsselpaar und Zertifikatsrequest erzeugen und privaten Schlüssel mit einem Passwort versehen:
    • openssl req -newkey rsa:4096 -keyout <Servername>.key -out <Servername>.csr
      • Erklärungen:
      • openssl req  Ruft den Unterbefehl req auf, der zur Erzeugung und Verarbeitung von Zertifikatsanträgen verwendet wird.
      • -newkey rsa:4096  Erzeugt ein neues Schlüsselpaar mit 4096 bit Länge nach dem RSA-Verfahren. Es können natürlich auch kürzere (2048 Bit) oder längere Schlüssel erzeugt werden.
      • -keyout <Servername>.key  Speichert den geheimen Schlüssel (private key) verschlüsselt in einer PEM-Datei. Sie dürfen diesen Schlüssel weder verlieren, noch darf dieser in fremde Hände gelangen, andernfalls müssen Sie ihr Zertifikat sofort sperren.
      • -out <Servername>.csr  Der digitale Zertifikatsantrag PKCS#10 im PEM-Format.
      • Zusätzliche Felder:
      • -nodes – Der private Schlüssel wird nicht mittels DES Passphrase verschlüsselt, dies ist bei vielen Servern notwendig.
      • -config <Dateiname> – Verwendet eine Konfigurationsdatei (Beispielkonfigurationsdatei zum Download) für einige Voreinstellungen und weitere Namen die im Zertifikat enthalten sein sollen (SANs).
      • Weiterführende Informationen zur Nutzung von OpenSSL finden sich auch in dieser Anleitung für OpenSSL.
  • Abfragen beantworten
    • Country Name: DE
    • State or Province Name: Bayern
    • Locality Name: Erlangen
    • Organization Name: Friedrich-Alexander-Universitaet Erlangen-Nuernberg
    • Organizational Unit Name: Dieses Feld bitte leer lassen. In Zukunft werden keine OU-Angaben policygemäß mehr in die Zertifikate übernommen.
    • Common Name: Der für den Server eingetragene vollständige DNS-Name (Fully Qualified Domain Name, FQDN)

Alternativ zu OpenSSL können Sie zum Erstellen des CSR und zur Verwaltung der Zertifikate unter einer grafischen Oberfläche auch das OpenSource Tool XCA verwenden: https://hohnstaedt.de/xca/

2. Zertifikatantrag hochladen

  • PKCS#10-Zertifikatsantrag (Dateiendung .csr) auf lokalen Rechner übertragen.
  • Webschnittstelle der CA aufrufen ( https://cert-manager.com/customer/DFN/ssl/FAU-Serverzertifikate-beantragen/ )
    • Melden Sie sich mit ihrem SSO-Account an
    • Falls eine Liste von Zertifikaten angezeigt wird, klicken Sie rechts oben auf „Enroll“
    • Füllen Sie das Formular wie folgt aus:
      • E-Mail: Dieses Feld ist mit Ihrer IdM-E-Mail Adresse vorbelegt und kann nicht geändert werden
      • Certificate Profile: OV Multi Domain
      • Certificate: 1 Year
      • CSR: kopieren Sie hier ihren CSR hinein oder laden Sie hier ihre CSR Datei hoch
      • Common Name: tragen Sie hier den Hauptnamen Ihres Zertifikats ein, wie im CSR angegeben – Wird aus dem CSR ausgelesen
      • Subject Alternative Names: Hier können Sie bei Bedarf weitere DNS Namen für das Zertifikat eintragen. Bitte trennen Sie die Namen mit Kommas. Wichtig: Der Hauptname sollte hier auch noch einmal mit aufgeführt werden.
      • External Requester: Hier können Sie eine oder mehrere E-Mail-Adressen hinterlegen, die vor dem Ablauf des Zertifikats benachrichtigt werden sollen. Hier empfiehlt es sich, z.B. Gruppen- oder Funktions-E-Mail-Adressen einzutragen.
      • Comments: hier muss nichts eingetragen werden. Sie können dieses Feld aber für Notizen verwenden.
      • Auto Renew: wenn Sie dies wünschen, kann das Zertifikat automatisch verlängert werden. Sie müssen sich zum Abrufen aber wieder per SSO anmelden
    • Klicken Sie auf „Submit“ um den Antrag abzusenden

3. Zertifikat einbinden

Nachdem der Antrag von der Zertifizierungsstelle bearbeitet wurde, erhalten Sie eine E-Mail mit Links zu Ihrem neuen Serverzertifikat.

Über diese Links können Sie das Zertifikat in verschiedenen Formaten herunter laden. In den meisten Fällen empfiehlt sich der Eintrag:

  • „as Certificate only, PEM encoded:“ um das Zertifikat einzeln als Datei herunterladen zu können.
  • „as Certificate (w/ issuer after), PEM encoded:“ um das Zertifikat zusammen mit der Zertifikatskette gemeinsam in einer Datei herunterzuladen

Anschließend müssen Sie das Zertifikat und den privaten Schlüssel auf den Server übertragen und zusammen mit der Zertifikatskette in die jeweilige Applikation einbinden.

Zertifikate verwalten

Wenn Sie ein vorhandenes Zertifikat sperren, verlängern oder erneut herunterladen wollen, können Sie das über die folgende Schnittstelle tun:

https://cert-manager.com/customer/DFN/ssl/FAU-Serverzertifikate-beantragen

OpenPGP

Mit K-9 Mail eine OpenPGP-signierte und -verschlüsselte E-Mail senden

Wie sende ich mit K-9 Mail eine OpenPGP-signierte und -verschlüsselte E-Mail?

Wir gehen davon aus, dass Sie K-9 Mail und OpenKeychain für die OpenPGP-Nutzung eingerichtet haben.

Erstellen Sie eine neue E-Mail, indem Sie in K-9 Mail über das Stift-Symbol den Verfassen-Dialog öffnen. Beginnen Sie, die E-Mail-Adresse der Empfänger:in einzutippen. Die Autovervollständigung schlägt Ihnen die in Frage kommenden Empfänger:innen vor. Für Empfänger:innen, deren OpenPGP-Schlüssel bereits in OpenKeychain importiert wurde, erscheint am rechten Rand ein Schloss-Symbol und bei Ihrer Absenderadresse sehen Sie ein durchgestrichenes Schloss-Symbol. Dieses zeigt an, dass Ende-zu-Ende-Verschlüsselung für diese Empfänger:in möglich ist. Wenn Sie dieses Symbol anklicken, wird es zu einem grünen Schloss-Symbol, welches eine nun aktivierte Ende-zu-Ende-Verschlüsselung signalisiert. Wenn der Absender verifiziert wurde, dann wird dies rechts neben dem grünen Schloss-Symbol beim Absender durch drei vertikal angeordnete grüne Punkte dargestellt.

Bei der Empfängeradresse sehen Sie gleichzeitig rechts oben eine grüne Ecke. Klicken Sie nun auf den Rechtspfeil im Menü rechts oben, um die E-Mail abzusenden. Nun wird die Passphrase zum Entsperren Ihres geheimen Schlüssels abgefragt, der zum Signieren der E-Mail benötigt wird. Wenn die Entsperrung erfolgreich war, wird die E-Mail signiert und verschlüsselt abgeschickt.

 

K-9 Mail und OpenKeychain für OpenPGP-Nutzung einrichten

Wie richte ich K-9 Mail und OpenKeychain für die OpenPGP-Nutzung ein?

Unter Android stellt K-9 Mail einen der beliebtesten und zudem kostenlos verfügbaren E-Mail-Clients dar. Zusammen mit der ebenso kostenfreien App OpenKeychain für die Schlüsselverwaltung steht eine komfortable OpenPGP-Verwaltung bereit. Beide Apps können über den Google Play Store oder über F-Droid bezogen werden.

In K-9 Mail muss zunächst die Verbindung zu OpenKeychain hergestellt werden. Unter Einstellungen wählen Sie das konfigurierte E-Mail-Konto an und gehen dann auf Ende-zu-Ende-Verschlüsselung. Ist OpenKeychain installiert, dann können Sie dort die Option OpenPGP-Unterstützung aktivieren einschalten.

In OpenKeychain sollten Sie unter Einstellungen zunächst die Schlüsselsuche konfigurieren, indem Sie dort die gewünschten Schlüsselserver angeben. Um nach Schlüsseln von FAU-Mitgliedern im FAU-Schlüsselverzeichnis zu suchen, geben Sie als obersten Server hkps://openpgpkey.fau.de an. Zunächst wird per WKD-Protokoll im Web Key Directory der Domain @fau.de gesucht, das ebenfalls vom FAU-Schlüsselverzeichnis bereitgestellt wird. Anschließend wird über den ganz oben aufgelisteten Schlüsselserver per HKP-Protokoll gesucht, weitere angegebene Server werden (anders als die Beschreibung vermuten lässt) ignoriert.

Nun können Sie mit OpenKeychain Ihr Schlüsselpaar erzeugen oder dort ein bestehendes importieren. Wenn Sie OpenKeychain erstmals aufrufen, werden Ihnen die entsprechenden Menüpunkte direkt angezeigt. Später erreichen Sie diese, indem Sie das Menü Schlüssel anwählen und dann rechts oben unter dem „Drei-Punkte-Menü“ den Punkt Meine Schlüssel verwalten aufrufen.

Ordnen Sie nun in K-9 Mail Ihren Schlüssel Ihrem E-Mail-Konto zu, indem Sie unter Einstellungen Ihr E-Mail-Konto auswählen und dort unter Ende-zu-Ende-Verschlüsselung den Punkt Using key: … aufrufen und über die weiteren Anweisungen den gewünschten Schlüssel auswählen.

Weiterhin müssen Sie die öffentlichen Schlüssel ihrer Kommunikationspartner importieren. Hierzu klicken Sie im Menü Schlüssel auf das Symbol mit dem Plus-Zeichen. Sie haben nun die Wahl zwischen drei verschiedenen Optionen: (1) QR-Code einscannen, (2) Schlüsselsuche und (3) Aus Datei importieren.

Um den öffentlichen Schlüssel eines anderen FAU-Mitglieds zu finden, wählen Sie Option (2). Wenn dieses seinen Schlüssel im FAU-Schlüsselverzeichnis veröffentlicht hat, finden Sie ihn auf diesem Wege. Andernfalls versuchen Sie es mit externen verifizierenden Schlüsselservern wie keys.openpgp.org oder keys.mailvelope.com.

 

 

 

 

 

Den importierten Schlüssel können Sie z.B. durch Abgleich dessen Fingerabdrucks bestätigen:

 

 

 

 

 

Der bestätigte Schlüssel wird durch einen grün unterlegten Haken gekennzeichnet:

 

Anleitung zur Tokenverwaltung

Tokenverwaltung mittels IdM-Selfservice

Im Bereich Multi-Faktor-Athentifizierung des IdM-Selfservice Portals können MFA-Tokens generiert und gelöscht werden. Eine weitere Funktion ist das Zurücksetzen des Fehlerzählers eines Tokens. Um die Multi-Faktor-Athentifizierung für das IdM-Portal zu aktivieren muss im Rechten Bereich die entsprechende Auswahlbox angeklickt sein.

Generierung:

      1. Bei der Erstellung eines neuen Tokens wird zunächst eine Beschreibung für diesen Token abgefragt. Diese ist später zur Identifikation der Tokens sinnvoll. Im nächsten Schritt wird im Browserfenster ein QR-Code angezeigt. Dieser Code kann in der bevorzugten Authentifizierungs Anwendung (siehe Anwendungs-Empfehlungen) eingescannt werden. Falls eine Desktop Anwendung genutzt wird, in der kein Scannen möglich ist kann der Secret/Key (durch klicken auf Show Secret/Key) angezeigt werden und per Copy&Paste in der Anwendung eingefügt werden. Zur Validierung des Tokens muss ein OTP der von der Authentifizierungs Anwendung generiert wird eingegeben werden.

 

Löschen:

      1. Tokens können in diesem Bereich des IdM-Selfservice gelöscht werden. Das Löschen wird mit einem One-Time-Password bestätigt. Der letzte Token kann nur gelöscht werden, wenn die Multifaktor-Authentifizierung für den IdM-Zugang deaktiviert ist.

 

Fehlerzähler zurücksetzen:

    1. Eine weitere Funktion im Bereicht Multifaktor-Authentifizierung ist das zurücksetzen des Fehlerzählers eines Tokens. Bei einer Fehlgeschlagenen OTP-Validierung wird der Fehlerzähler hochgesetzt. Es erfolgt eine E-Mail-Benachrichtigung über einen fehlgeschlagenen Versuch. Wenn der Fehlerzähler den Wert 50 erreicht wird der Token gesperrt. In diesem Fall erfolgt das entsperren über unseren Service-Theken.

Tokens sollten mit Vorsicht gehandhabt werden. Das QR-Code bzw. der Secret/Key sollten nur einmalig in die Authentifizierungs Anwendung eingepflegt werden, und nicht in Bild- bzw. Textform gespeichert werden. Falls ein Token verloren geht, wird immer empfohlen einen neuen zu generieren.