Zertifikate in der GSI

Ein elektronisches Zertifikat garantiert die Integrität der signierten elektronischen Dokumente.

In der GSI sind Zertifikate für unterschiedliche Zwecke im Einsatz:

  • DFN-Zertifikate zum Signieren von E-Mails
  • GSI Sicherheitszertifikate für Browser & E-Mail-Clients
  • GSI Zertifikate zum Signieren von ausführbarem Code (z.B. bat, exe, VBA, Powershell, usw.)

Die unten aufgeführten Zertifikate werden zum sicheren Arbeiten in der GSI benötigt. Je nach Browser-Typ oder E-Mail-Client (Internet Explorer, Outlook, Firefox, Thunderbird) sind sie bereits vorhanden oder müssen nachinstalliert werden.

Alle erforderlichen Zertifikate findet man auf den Webseiten beim DFN.

Achtung: Die für Citrix erforderlichen Zertifikate finden Sie unter dieser DFN-Webseite.

Zum Signieren von E-Mails an externe Empfänger können GSI-Mitarbeiter vom DFN beglaubigte Zertifikate einsetzen. Diese können auf der folgenden Webseite beantragt werden:

https://pki.pca.dfn.de/gsi-ca-g2/pub

https://www.gsi.de/fileadmin/IT/Screenshots/Zertifikate/Zertifikat_PKI.png
GSI Zertifikate
Beantragung eines GSI-Zertifikats
K. Mader, IT-Sec, GSI Helmholtzzentrum für Schwerionenforschung GmbH

Im obigen Beispiel ist der Antrag für ein Gruppenzertifikat zu sehen, für ein persönliches Zertifikat muss Ihrem Namen kein Kürzel vorangestellt werden.

Bitte beachten Sie, dass Titel wie etwa Dr. nur in das Zertifikat aufgenommen werden können, wenn diese in Ihrem Ausweis eingetragen sind.

Den ausgedruckten Antrag reichen Sie persönlich unter Vorlage eines gültigen Ausweispapiers bei einem der GSI-Registrierungsmitarbeiter ein. Dies sind derzeit:

  • Katharina Mader (BK1.3.028, - 3181)
  • Ilona Neis (BK1.3.028, - 3038)
  • Bastian Neuburger (BK1.3.027, -1740)
  • Matthias Pausch (BK1.3.027, -1985)

Nachdem das Zertifikat von der Zertifizierungsstelle angelegt wurde, erhalten Sie eine E-Mail mit einem Link zum Herunterladen des Zertifikats in den Speicher Ihres Browsers.

Beachten Sie, dass Sie für das Herunterladen dasselbe Gerät und Browser verwenden müssen wie bei der Beantragung.

Für die spätere Verwendung des Zertifikats zum Signieren von E-Mails müssen Sie es zuerst in eine Datei exportieren.

  • Export aus IE
  • Export aus FireFox

Installation im Mozilla Firefox

Falls die Zertifikate manuell  installiert werden, finden Sie die Links für den Download der einzelnen Zertifikaten auf den Webseiten beim DFN.

Dazu müssen Sie die Zertifikate öffnen bzw. mit "Seite speichern unter" auf die Festplatte speichern. Anschließend mit Doppelklick öffnen und im nachfolgenden Fenster die beiden Häkchen setzen:

  • Dieser CA vertrauen, um Websites zu identifizieren
  • Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren

Anschließend mit OK bestätigen.

Damit ist der Import abgeschlossen.

https://www.gsi.de/fileadmin/IT/Screenshots/Zertifikate/Zertifikat_FF_01.jpg

Installation im Internet Explorer

Sie erhalten eine Mail mit einem Link zum Herunterladen, sobald Ihr beantragtes Zertifikat von der Zertifizierungsstelle angelegt wurde.

Folgen Sie den Anweisungen und importieren das Zertifikat in Ihren Browser: 

https://www.gsi.de/fileadmin/IT/Screenshots/Zertifikate/Zertifikat_BrowserImport_01.png
https://www.gsi.de/fileadmin/IT/Screenshots/Zertifikate/Zertifikat_BrowserImport_02.png
https://www.gsi.de/fileadmin/IT/Screenshots/Zertifikate/Zertifikat_BrowserImport_03.png

Zum sicheren Umgang mit Mails wird das Signieren von Mails grundsätzlich empfohlen. Dazu benötigen Sie zunächst ein entsprechendes (persönliches) Zertifikat. (siehe oben)

Die Verwendung dieses Zertifikates kann dann in dem jeweiligen Mailprogramm konfiguriert werden.

  • Outlook: siehe Webseite
     
  • Thunderbird: siehe Doku (Punkt 7.4.)

Bei Fragen zum Signieren von ausführbarem Code (außer VBA), z.B. für Powershell oder LabView,  wenden Sie sich bitte an das Windows-Team.

 

Signieren von VBA Code

Seit Office 2016 werden bei GSI/FAIR nur noch digital signierte VBA Projekte zugelassen. Alle anderen Makros werden automatisch deaktiviert.

Zum Signieren von VBA Makros benötigen Sie eine SmartCard (und ein Lesegerät) mit einem Zertifikat speziell auch für Codesigning. Für die Ausstellung einer solchen SmartCard wenden Sie sich an das User Help Desk.

Für die reine Anwendung der Makros wird kein Zertifikat benötigt.

https://www.gsi.de/fileadmin/IT/Screenshots/VBA/VBACodeSigning07_NurSignierteMakros.png
VBA Makros digital signieren, Optionen
VBA Makros digital signieren, Optionen Makrosicherheit
Screenshot: GSI Helmholtzzentrum für Schwerionenforschung, IT Abteilung

Wie geht es?

Starten Sie den VBA-Editors in einem MS Office-Programm über die Tastenkombination ALT + F11 und wählen das VBA Projekt aus. Über Extras - digitale Signatur ... gelangen Sie in das entsprechende Menü.

https://www.gsi.de/fileadmin/IT/Screenshots/VBA/VBACodeSigning01_VBAEditor.png
https://www.gsi.de/fileadmin/IT/Screenshots/VBA/VBACodeSigning02_Extras.png
VBA Makros digital signieren, Start des VBA Editors
VBA Makros digital signieren, Menü Extra
VBA Makros digital signieren, Start des VBA Editors
VBA Makros digital signieren, Menü Extra
Screenshot: GSI Helmholtzzentrum für Schwerionenforschung, IT Abteilung
Screenshot: GSI Helmholtzzentrum für Schwerionenforschung, IT Abteilung

Wählen Sie das zu nutzende Zertifikat aus. Prüfen Sie evtl. die Details.

https://www.gsi.de/fileadmin/IT/Screenshots/VBA/VBACodeSigning03_SignaturWaehlen.png
https://www.gsi.de/fileadmin/IT/Screenshots/VBA/VBACodeSigning04_SignaturWaehlen.png
https://www.gsi.de/fileadmin/IT/Screenshots/VBA/VBACodeSigning05_ZertifikatDetails.png
VBA Makros digital signieren, Auswahl
VBA Makros digital signieren, Auswahl
VBA Makros digital signieren, Anzeige der Details des Zertifikats
VBA Makros digital signieren, Auswahl
VBA Makros digital signieren, Auswahl
VBA Makros digital signieren, Anzeige der Details des Zertifikats
Screenshot: GSI Helmholtzzentrum für Schwerionenforschung, IT Abteilung
Screenshot: GSI Helmholtzzentrum für Schwerionenforschung, IT Abteilung
Screenshot: GSI Helmholtzzentrum für Schwerionenforschung, IT Abteilung

Es erscheint ein Fenster vom SafeNet Authentication Service. Geben Sie das zur Karte gehörende Passwort ein. Dieses hatten Sie bei der Erstellung des Zertifikats verwendet.

https://www.gsi.de/fileadmin/IT/Screenshots/VBA/VBACodeSigning06_KartenCredentials.png
VBA Makros digital signieren, Zugangsdaten der Karte
VBA Makros digital signieren, Zugangsdaten der Karte
Screenshot: GSI Helmholtzzentrum für Schwerionenforschung, IT Abteilung

Speichern Sie nun die Datei.

Beachten Sie, dass mit einer jeglichen Änderung des VBA Codes die Signatur ungültig wird und Sie somit den Code neu signieren müssen.

https://www.gsi.de/fileadmin/IT/Screenshots/VBA/VBACodeSigning08_MeldungNichtSignierteMakros.png
VBA Makros digital signieren, Fehlermeldung
VBA Makros digital signieren, Fehlermeldung bei nicht signiertem Code
Screenshot: GSI Helmholtzzentrum für Schwerionenforschung, IT Abteilung

Haben Sie noch weiterführende Fragen, so senden Sie bitte eine E-Mail an it-service.