Zertifikat-Import

Import der Wurzelzertifikate der DFN-Hierarchie fuer mobile Endgeräte und ältere Versionen von Firefox, Thunderbird ...

Zertifikatimport

Import der Wurzelzertifikate

Browser nutzen Zertifikate, um die Iden­ti­tät von Ser­vern zu veri­­fi­zieren. Mail­pro­gramme prüfen damit digi­tale Unter­schriften und ver- bzw. ent­schlüs­seln einzelne Nachrichten.

Browser und Mail­pro­gramme mobiler Endgeräte / Smartphones (sowie veraltete Programme aus der Mozilla-Familie) re­a­gie­ren mit Feh­ler­mel­dun­gen bezüg­lich un­be­kann­ter und nicht ver­trau­ens­wür­di­ger Zer­tifi­kate auf die Ver­wen­dung von Zer­tifi­ka­ten aus der DFN- Hier­archie, wenn das Wur­zel­zer­tifi­kat "Deutsche Telekom Root CA 2" nicht bekannt ist.

Abhilfe schafft ein manu­eller Import der Wurzel­zer­tifi­kate

Kurzfassung: Bitte fol­gen Sie den Anwei­sun­gen auf dieser Seite des DFN-Vereins.

Veraltete Beispiele

Das Wur­zel­zer­tifi­kat "Deutsche Telekom Root CA 2" ist derzeit in den meisten Geräten vorinstalliert. Daher beziehen sich die Beispiele auf veraltete Software.

Nachfolgend wird der Zertifikat­import anhand zwischen­zeitlich veralteter Pro­gramme demon­striert. Andere Browser und Mail­pro­gramme bieten analoge Möglich­keiten zum Zertifkat­import. Die nach­folgenden Programme sollten nicht mehr einge­setzt werden, da sie sicher­heits­kritische Fehler ent­halten und durch neuere Versionen abge­löst wurden.

Firefox 3.0 und älter (veraltete Browser aus der Mozilla-Familie)

Sukzessiv die fol­genden drei Links anklicken:

  1. Wurzelzertifikat (Deutsche Telekom Root CA 2)
  2. DFN-PCA Zertifikat (DFN-Verein PCA Global - G01)
  3. UniBwM-CA Zertifikat (UniBwM CA-G01)

Dazu müssen Sie die War­nun­gen ( … nicht ver­trauens­wür­diger Aus­stel­ler / … untrusted issuer) Ihres Browsers vor den Zer­ti­fi­ka­ten von pki.pca.dfn.de (ein letz­tes Mal) igno­rie­ren. Im an­schließen­den Dia­log müs­sen Sie den damit ver­bun­de­nen Zer­ti­fi­zie­rungs­stel­len (CA) ver­trauen, um Websites und Mail-Nutzer zu iden­ti­fizieren.

Thunderbird 2.x (Mailprogramm)

Nötig, um die Gültig­keit digi­taler Unter­schrif­ten zu prü­fen und um ver­schlüs­sel­te Nach­rich­ten zu sen­den und zu lesen.

Unter "Einstellungen" → "Erweitert" → "Zertifikate" → "Zertifikate …" → "Zertifizierungsstellen" die Datei UniBwMCA-G01.crt mit dem Button "Importieren" importieren. (Vorher muss diese Datei mit einem Brow­ser herunter­geladen werden.)

Dazu müssen Sie die War­nun­gen ( … nicht ver­trauens­wür­diger Aus­steller / … untrusted issuer) Ihres Browsers vor den Zer­ti­fi­ka­ten von pki.pca.dfn.de (ein letztes Mal) igno­rie­ren. Im an­schließen­den Dia­log müs­sen Sie den da­mit ver­bun­de­nen Zer­ti­fi­zie­rungs­stel­len (CA) ver­trau­en, um Websites und Mail- Nutzer zu iden­ti­fizieren.

Kontrollmöglichkeit für obige Mozilla-Programme

Im soge­nann­ten Zerti­fikat­mana­ger (er­reich­bar via "Einstellungen" → "Erweitert" → "Zertifikate" → "Zertifikate …" → "Zertifizierungsstellen") kann man nach den oben ge­nann­ten Zer­tifi­katen suchen und über­prü­fen, ob die beiden für den vor­ge­sehe­nen Ge­brauch not­wen­di­gen Funk­tio­nen Website- und Mail-Benutzer-Iden­ti­fi­zie­rung zu­ge­las­sen sind. Dazu dient die Funk­tion / Button "Bearbeiten".

Popup-Fenster des Zertifikats "Deutsche Telekom Root CA 2"

Bildschirmfoto-CA-Zertifikat-Vertrauenseinstellungen bearbeiten.png

An­son­sten wird bei­spiels­wei­se bei sig­nier­ten Mails im Mozilla- Pro­gramm Thunderbird ne­ben­ste­hen­des Icon sicht­bar, das einen sti­li­sier­ten ge­sie­gel­ten Brief dar­stellt, der rechts unten mit einem weis­sen Kreuz in einem ro­ten Kreis über­la­gert ist.

thunderbird-sig-broken