Probebetrieb: Das Verfahren zur Beantragung und Erstellung von Gruppenzertifikaten mittels des Anbieters Sectigo wurde im Februar 2024 eingeführt und befindet sich zur Zeit im Probebetrieb.

Ein Gruppenzertifikat ist erforderlich, wenn Sie gemeinsam mit anderen einen E-Mail-Account nutzen und daher mehrere Personen Zugriff auf den privaten Schlüssel des Zertifikats benötigen.

Inhalt des Gruppenzertifikats ist nur die E-Mail-Adresse des Gruppenkontos. Vor- und Nachname sowie der Gruppenname sind nicht Bestandteil des Zertifikats (Stand Feb. 2024). Wenn man die Signatur einer mit dem Gruppenzertifikat signierten E-Mail prüft, sieht man nur die E-Mail-Adresse der Gruppe sowie den Namen der Organisation "Universität Ulm". Unabhängig vom Inhalt des Zertifikats zeigen E-Mail-Programme natürlich auch weiterhin den Gruppennamen im Absender-Feld "Gesendet von" an, sofern der Gruppenname in diesem Feld beim Versenden der E-Mail richtig angegeben wurde.

Die folgende Dokumentation beschreibt die Voraussetzungen zum Bezug eines Gruppenzertifikats sowie alle weiteren Schritte bis hin zur Erstellung und zum Download des Zertifikats. Abschließend werden einige mögliche Einsatzszenarien geschildert. Der hier angebotene Dienst umfasst die Zertifikatserzeugung, jedoch nicht den darüber hinaus gehenden Einsatz des Zertifikats.

Der Beantragungsprozess (Abschnitt (A) bis (C)) muss nur ein einziges Mal durchlaufen werden. Danach kann man selbständig für die beantragte E-Mail-Adresse neue Gruppenzertifikate erzeugen und herunterladen (Abschnitt (D)). Aufgrund des höheren Aufwands und der größeren Komplexität von Gruppenzertifikaten ist eine Vergabe nur in gut begründeten Fällen möglich.

Bitte beachten Sie auch den Abschnitt "(G) Weitere wichtige Hinweise zu Gruppenzertifikaten" am Ende dieser Webseite sowie Abschnitt "(E) Hinweise zum Einsatz des Gruppenzertifikats" weiter unten.

(A) Voraussetzungen und Beantragung:

1. Sie bestimmen innerhalb der Gruppe mit Zugriff auf die Gruppen E-Mail eine für das Gruppenzertifikat hauptverantwortliche Person. Diese Person ist dafür zuständig, dass alle für das Gruppenzertifikat erforderlichen Regeln und Vorschriften eingehalten werden (z.B. Wahrung der Integrität des Zertifikats, Schutz des privaten Schlüssels).
2. Wenn diese Person nicht selbst die personelle Verantwortung für die Gruppenmitglieder trägt, so muss die hauptverantwortliche Person durch eine/n Vorgesetzte/n ernannt werden. Es reicht aus, wenn die Ernennung uns gegenüber mittels einer persönlichen signierten E-Mail durch die hauptverantwortliche Person selbst, mit CC an den/die Vorgesetzte/n, dokumentiert wird (siehe Punkt 4 in diesem Abschnitt).
3. Die für das Gruppenzertifikat hauptverantwortliche Person muss ein persönliches Nutzerzertifikat zur E-Mail Signatur besitzen.
4. Die hauptverantwortliche Person beantragt das Gruppenzertifikat mit einer persönlich signierten E-Mail an ra(at)uni-ulm.de. Die E-Mail muss folgenden Inhalt umfassen und Antworten zu den entsprechenden Unterpunkten liefern:

(B) Inhalt der E-Mail zur Beantragung eines Gruppenzertifikats:

• Titel/Subject: Beantragung eines Gruppenzertifikates
• Empfänger/To: ra(at)uni-ulm.de
• Carbon-Copy: CC an den/die Vorgesetzte/n, sofern dies die hauptverantwortliche Person nicht selbst ist.
• Inhalt der E-Mail:
  • Adresse der Gruppen E-Mail: E-Mail-Adresse der Gruppen E-Mail (muss mit "@uni-ulm.de" enden), für die das Gruppenzertifikat beantragt wird.
  • Hauptverantwortliche Person: Vor- und Nachname der hauptverantwortlichen Person.
  • Ernennung durch Vorgesetzte/n: "Mein/e Vorgesetzte/r, Herr/Frau ..... ....., hat mich zur hauptverantwortlichen Person ernannt." - Wenn Sie selbst der/die Vorgesetzte sind und die personelle Verantwortung für die Gruppenmitglieder tragen, dann vermerken Sie das bitte an dieser Stelle, z.B. "Ich besitze die personelle Verantwortung für alle Gruppenmitglieder."
  • Einsatz der Gruppen E-Mail: Bitte beschreiben Sie, aus welchem Grund für diese Gruppe signierte E-Mails erforderlich sind, sowie die vorgesehene Server- bzw. Client-Software.
  • Schutz des privaten Schlüssels: Bitte erläutern Sie, wie Sie den privaten Schlüssel des Gruppenzertifikats schützen und wie Sie vorgehen, wenn ein Mitglied die Gruppe verlässt. Bitte beachten Sie hierbei, dass das ausgeschiedene Gruppenmitglied keine Möglichkeit mehr besitzen darf, im Namen der Gruppe Signaturen zu erstellen. Beispiele für mögliche Szenarien finden Sie im Abschnitt "(E) Hinweise zum Einsatz des Gruppenzertifikats" weiter unten.

(C) Zugangsdaten zum Gruppen E-Mail-Account bei Sectigo:

Nachdem wir Ihren Antrag erhalten haben prüfen wir, ob ein Gruppenzertifikat für den von Ihnen geschilderten Einsatz geeignet ist.

Nach positivem Ergebnis werden wir für die Gruppen E-Mail bei Sectigo einen Account anlegen und Ihnen die Zugangsdaten (URL, Account Name und Secret ID) mittels einer signierten und verschlüsselten E-Mail schicken. Nun können Sie ohne unser weiteres Zutun selbst Gruppenzertifikate für diese E-Mail erzeugen und herunterladen.

(D) Erstellen eines Gruppenzertifikats auf den Servern von Sectigo:

Sie können jederzeit und je nach Bedarf selbstständig für die von Ihnen beantragte Gruppen E-Mail-Adresse Gruppenzertifikate erstellen und herunterladen. Der Vorgang dauert nur wenige Minuten.

1. Einloggen bei Sectigo:
   Öffnen Sie die in der E-Mail genannte URL in einem Web Browser und loggen Sie sich mit dem Account Namen und der Secret ID ein.
2. Gruppenzertifikat erstellen:
   Sie befinden sich jetzt auf der Webseite "Client Certificate Enrollment". Ändern Sie keines der Felder, auch nicht Ihren Namen oder Vornamen. In das Gruppenzertifikat wird nur die E-Mail-Adresse übernommen. Bestätigen Sie die EULA und klicken Sie auf "Submit":
   -> [v] I have read and agree to the terms of the Sectigo Client Certificate EULA.
   -> Submit - klicken Sie nur ein einziges Mal, selbst wenn das Formular zu hängen scheint.
3. Warten Sie, bis das Zertifikat erstellt wurde. Schließen Sie nicht das Fenster des Web Browsers.
4. Herunterladen des Gruppenzertifikats:
   Sobald die Meldung "Make sure to save your Certificate in a secure place" angezeigt wird, kann das Zertifikat heruntergeladen werden. Verwenden Sie ein gutes Passwort zum Schutz der Zertifikatsdatei. Am besten verwenden Sie dafür einen Passwortmanager.

   Formular-Element:	Ihre Auswahl/Eingaben:
   Choose key protection algorithm:	-> Compatible TripleDES-SHA1
   PKCS#12 Password:	-> Passwort zum Schutz des heruntergeladenen Zertifikats mit dem privaten Schlüssel
   Confirm PKCS#12 Password:	-> Wiederholen Sie das Passwort
   Formular Button:	-> Download

5. Speichern der Datei unter einem sinnvollen Namen:
   Abhängig von den Einstellungen Ihres Web Browsers wird das Zertifikat (im Format einer p12-Datei) automatisch im Default Download Verzeichnis gespeichert oder ein "Datei speichern unter" Dialog wird geöffnet und erlaubt Ihnen den Speicherort selbst zu wählen.
   Der von Sectigo vorgeschlagene Dateiname ist sehr kryptisch. Bitte speichern Sie die Datei an einem sicheren Ort unter einem aussagekräftigen Namen bzw. benennen Sie die Datei entsprechend um.
   • Vorschlag für Aufbau des Dateinamens mit Datum der Erstellung:
     Sectigo-Gruppenzertifikat_<GRUPPEN-EMAIL>_<JJJJ-MM-TT>_<NACHNAME-VORNAME>.p12
   • Beispiel:
     Sectigo-Gruppenzertifikat_support@uni-ulm.de_2024-02-23_Verantwortliche-Person.p12

(E) Hinweise zum Einsatz des Gruppenzertifikats:

Beim Einsatz des Gruppenzertifikats ist es entscheidend, dass zu jedem Zeitpunkt nur aktive Gruppenmitglieder den privaten Schlüssel nutzen können. Dies wird insbesondere dann relevant, wenn ein Gruppenmitglied aus der Gruppe ausscheidet. Es gibt verschiedene Möglichkeiten, die Integrität des privaten Schlüssels sicherzustellen. Hier folgen drei Beispiele:

1. Der private Schlüssel des Gruppenzertifikats wird durch eine Server-Software geschützt. Nur der Administrator (hauptverantwortliche Person) hat direkten Zugriff auf den privaten Schlüssel. Die Mitglieder der Gruppe können nur über das Web-Frontend des Servers signierte E-Mails erzeugen, haben jedoch zu keinem Zeitpunkt direkten Zugriff auf den privaten Schlüssel, können diesen also auch nicht kopieren. Wenn ein Gruppenmitglied die Gruppe verlässt und den Zugriff auf das Web-Frontend verliert, dann gibt es auch keine Möglichkeit mehr, auf den privaten Schlüssel zuzugreifen.
2. Das Gruppenzertifikat wird von der hauptverantwortlichen Person auf einem Hardware-Gerät (Krypto-Stick/Token) installiert, das den privaten Schlüssel schützt. Es ist nicht möglich, den privaten Schlüssel von einem Krypto-Stick zu kopieren. Jedes Gruppenmitglied erhält einen Krypto-Stick und kann damit im E-Mail-Programm E-Mails signieren. Beim Verlassen der Gruppe muss das ausscheidende Gruppenmitglied den Krypto-Stick zurückgeben und hat somit keinen Zugriff mehr auf den privaten Schlüssel.
3. In einer kleinen, zeitlich stabilen Gruppe ist es auch möglich, das Gruppenzertifikat einschließlich des privaten Schlüssels direkt an die Gruppenmitglieder zu geben. Diese können das Zertifikat dann jeweils individuell in den Zertifikatsspeicher des genutzten E-Mail-Programms importieren und dem Gruppen-Account zuordnen (siehe Abschnitt (F)). Nachteil dieser Methode ist, dass sobald ein Gruppenmitglied die Gruppe verlässt das aktuelle Gruppenzertifikat gesperrt und ein neues Gruppenzertifikat erstellt und verteilt werden muss. Andernfalls hätte das ausgeschiedene Gruppenmitglied weiterhin Zugriff auf den privaten Schlüssel des noch gültigen Gruppenzertifikats.

(F) Import des Gruppenzertifikats in das E-Mail-Programm:

Die Handhabung von Gruppenzertifikaten ist weitgehend identisch mit der von Nutzerzertifikaten. Beide müssen in den Zertifikatsspeicher des E-Mail-Programms importiert werden. Der wesentliche Unterschied ist, dass das Nutzerzertifikat dem persönlichen E-Mail-Account des/der Nutzer/in, wohingegen das Gruppenzertifikat der Gruppen E-Mail-Adresse zugewiesen wird. Folgen Sie bitte zum Import des Zertifikats der Dokumentation zum Einrichten des E-Mail-Programms für Nutzerzertifikate.

Abweichend von der Dokumentation für Nutzerzertifikate müssen Sie für die Zuweisung des Gruppenzertifikats zur Gruppen E-Mail-Adresse zuerst eine zusätzliche Identität zu Ihrem persönlichem E-Mail-Account hinzufügen. Die dafür erforderlichen Schritte für Thunderbird 115 finden Sie in der folgenden Anleitung:

• Konfiguration:
  • Wählen Sie im Menü
             -> Bearbeiten -> Konten-Einstellungen
    den Bereich Ihres eigene E-Mail-Kontos
             vorname.nachmane@uni-ulm.de
    aus und klicken Sie auf den Button Weitere Identitäten.
  • Legen Sie eine neue Identität (Button Hinzufügen) mit den Daten zur Gruppe an:
             Ihr Name: Gruppenname
             E-Mail-Adresse: Gruppen E-Mail-Adresse
    Speichern Sie die Identität mit Button OK und öffnen Sie die neue Identität
             Gruppenname <Gruppen E-Mail-Adresse>
    nochmals über den Button Editieren.
  • Erst nach dem Speichern und erneuten Öffnen wird ein vierter Tab
             Ende-zu-Ende-Verschlüsselung
    sichtbar. Unter diesem Tab können Sie nun die Zuordnung des Gruppenzertifikats zur Gruppen E-Mail vornehmen (Abschnitt S/MIME). In den Zeilen
             Persönliches Zertifikat für digitales Signieren
             Persönliches Zertifikat für Verschlüsselung
    können Sie über den Button  Auswählen das zuvor importierte Gruppenzertifikat auswählen. Die im Formular darunter angezeigte Standardeinstellung zum
             Senden von Nachrichten - Standardeinstellungen
    darf nicht verändert werden, d.h. dort muss
             (v) Verschlüsselung für neue Nachrichten nicht verwenden
    aktiviert sein.
    Abschließend speichern Sie das Formular mit OK.
• Signierte E-Mail versenden:
  • Beim Erstellen einer neuen für die Gruppe vorgesehenen E-Mail müssen Sie jetzt darauf achten, dass Sie im E-Mail-Editor im Feld
             Von (Absender)
    die richtige Identität auswählen und unter Button
             S/MIME den Eintrag (v) Digital signieren
    aktivieren.
  • Testen können Sie die neue Konfiguration, indem Sie einfach eine signierte E-Mail der Gruppe an sich selbst bzw. an die Gruppen E-Mail schicken.

(G) Weiter wichtige Hinweise zu Gruppenzetifikaten:

• Die Anleitung ist nur für Mitglieder der Universität Ulm geeignet.
• Zertifikate werden nur für "@uni-ulm.de" Gruppen E-Mail-Adressen ausgestellt.
• Nicht jede E-Mail-Adresse ist eine günstige Wahl für ein Gruppenzertifikat. Geeignet sind E-Mail-Adressen, welche den Gruppennamen enthalten. Wenn die E-Mail-Adresse jedoch den persönlichen Namen einer Person enthält, wird ein/e Kommunikationspartner/in in der Regel erwarten, dass die E-Mail auch nur die genannte Person erreicht, nicht eine Gruppe von Personen. Dies wird offensichtlich, wenn man z.B. an eine verschlüsselte, geheime E-Mail denkt.
• Man darf in keinem Fall weiteren Personen Zugriff auf den privaten Schlüssel des persönlichen Zertifikats geben. Selbst wenn mehrere Personen das E-Mail-Postfach betreuen, z.B. das Sekretariat, darf der private Schlüssel eines persönlichen Zertifikats nur im Besitz des/der Eigentümers/in sein. Wenn es erforderlich ist, dass die Mitglieder des Sekretariats auch signierte E-Mails im Namen des/der Abteilungsleiter/in schicken, dann ist auch hier trotz der oben geschilderten Nachteile ein Gruppenzertifikat zwingend erforderlich.
• Elektronische Unterschriften mittels der so erstellten Zertifikate sind nicht rechtsverbindlich.
• Die maximale Laufzeit für Gruppenzertifikate beträgt 2 Jahre (Stand Feb. 2024). Zur Erneuerung muss ein neues Zertifikat erzeugt werden.
• Wenn Sie Ihren privaten Schlüssel verlieren oder Ihr Keystore-Passwort vergessen, dann führt dies zwangsläufig zum Verlust aller Dateien und E-Mails, die mit Ihrem öffentlichen Zertifikat verschlüsselt wurden. Sie sollten daher unbedingt ein Backup Ihres privaten und öffentlichen Schlüssels (am besten im pkcs12-Format mit Endung .p12) erstellen, sobald Sie das Zertifikat erhalten haben. Verwahren Sie das Keystore-Passwort an einem sicheren Ort. Am besten nutzen Sie dafür einen Passwort-Manager und sorgen dafür, dass dessen Datenbank zusätzlich in einem verschlüsselten Backup gesichert wird. Es gibt keine Möglichkeit, Ihren privaten Schlüssel oder Ihre Daten zu rekonstruieren! Selbst wenn die Daten in einem Backup gesichert sind, können diese ohne den privaten Schlüssel und das Keystore-Passwort nicht rekonstruiert werden!
• Sofern E-Mails oder Dateien existieren, die mit einem alten, bereits abgelaufenen oder gesperrten Zertifikat verschlüsselt wurden, darf der alte Schlüssel nicht gelöscht werden. Ohne den alten Schlüssel verlieren Sie den Zugriff auf die entsprechenden E-Mails und Dateien!