Laden des Wurzelzertifikats

Das in der DFN-PKI Hierarchie im Sicherheitsniveau GLOBAL maßgebliche Wurzelzertifikat der Deutsche Telekom Root CA 2 ist bereits in den aktuellen Windowsversionen sowie allen aktuellen Versionen der gängigen Browser (Internet Explorer, Mozilla Firefox, Mozilla SeaMonkey, Safari) sowie Mailclients (Outlook, Outlook Express, Thunderbird) integriert. Anwendungen, welche die von Windows bereitgestellten Mechanismen zur Zertifikatsverwaltung nutzen, können somit direkt die Gültigkeit eines unter der DFN-PKI Hierarchie ausgestellten Zertifikats überprüfen. In Anwendungen mit einer eigenen Zertifikatsverwaltung bzw. alternativen Betriebssystemen wie Unix oder Linux muss das Wurzelzertifikat manuell eingespielt werden. Es ist davon auszugehen, dass das Wurzelzertifikat im Laufe der Zeit in weitere Anwendungen und Betriebssysteme standardmäßig integriert sein wird.

Sollten Sie nicht über einen Browser oder Mailclient verfügen, in denen das erforderliche Wurzelzertifikat bereits integriert ist, und sollte ein Upgrade auf eine Version, bei der dies der Fall ist, nicht möglich sein, dann gehen Sie wie folgt vor.

Um das neue Wurzelzertifikat zu importieren, genügt es bei Browsern (z.B. Firefox) folgenden Link zum Wurzelzertifikat zu besuchen. Im danach erscheinden Dialogfenster müssen Sie angeben, dass Sie der neuen Zertifizierungsstelle vertrauen. Dazu ist es notwendig, dieses Vertrauen durch explizites Setzen von Häkchen für die möglichen Einsatzgebiete zu bestätigen:


Beim Import des Wurzelzertifikats ist darauf zu achten, dass der beim Import angezeigte Fingerprint/Fingerabdruck des Zertifikats korrekt ist. Nur bei einem passenden Fingerprint können Sie sich sicher sein, dass es sich um das korrekte Zertifikat handelt. Je nachdem, wem Sie bei der Überprüfung dieser Fingerprints vertrauen wollen, verlassen Sie sich auf die Angaben unten, sehen auf der Homepage des Ausstellers nach oder kontaktieren Sie den Aussteller direkt und erfragen den Fingerprint. Den Fingerprint des gerade importierten Wurzelzertifikats können Sie sich anzeigen lassen, indem Sie auf die Schaltfläche "Ansicht" gehen. Dann erscheint folgendes Fenster:


Der Fingerprint für das Wurzelzertifikat Deutsche Telekom Root CA 2 (Gültigkeit: 9.7.1999 - 10.7.2019) der Deutschen Telekom lautet:

SHA1 Fingerprint = 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF

MD5 Fingerprint = 74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08

Hinweis: Beim Mozilla Thunderbird empfiehlt es sich, bei obigem Link per rechter Maustaste und "Ziel speichern unter" das Wurzelzertifikat zuerst lokal abzuspeichern und anschließend im entsprechenden Zertifikatsdialog (Thunderbird-Menü >> Extras >> Einstellungen >> Erweitert >> (Reiter) Zertifikate >> Zertifikate >> (Reiter) Zertifizierungsstellen >> Importieren) dieses Zertifikat zu importieren. Nun werden durch Zertifikate der Universität Bayreuth signierte E-Mails beim Empfänger als vertrauenswürdig angezeigt.


Laden von Zwischenzertifikaten

Um mit einem Browser wie Mozilla Firefox fehlerfrei auf Webseiten zugreifen zu können, die mit einem Zertifikat der UNIBT-CA versehen sind  (z.B. Webmailer, Warenkorb des RZ etc.) oder sich von Clients wie Mozilla Thunderbird mit dem UNIBT-CA- Zertifikat bzw. DFN-PCA-Zertifikat signierte E-Mails als vertrauenswürdig anzeigen zu lassen, reicht es aus, wie oben beschrieben nur das Wurzelzertifikat  Deutsche Telekom Root CA 2 in der Liste der Zertifizierungsstellen aufgeführt zu haben.

Für gewisse andere Anwendungen wie beispielsweise E-Mail-Verschlüsselung und/oder -Signierung mit einem zuvor beantragten Nutzerzertifikat muss die gesamte Zertifikatskette Deutsche Telekom Root CA 2 <> DFN-PCA <> UNIBT-CA in der entprechenden Anwendung importiert sein. Aus diesem Grund ist es empfehlenswert, diese Zertifikatskette auch in den Browser bzw. Mailclient zu importieren. Die Zertifikate der DFN-PCA und der UNIBT-CA finden Sie auf der Infoseite der UNIBT-CA. Bitte importieren Sie die beiden Zertifikate mittels Klick auf den jeweiligen Namen. Auch hier sollten Sie zuerst die Fingerprints des zu importierenden Zertifikats mit denen unterhalb dieser Anleitung aufgeführten vergleichen, indem Sie auf die Schaltfläche "Ansicht" gehen. Stimmen diese überein, setzen Sie im vorherigen Fenster alle 3 Häkchen, um diesem Zertifikat zu vertrauen. Bestätigen Sie schließlich mit einem Klick auf die Schaltfläche "OK". Die korrekten Fingerprints der Zwischenzertifikate lauten:

für das Zertifikat der DFN-PCA (Gültigkeit: 19.12.2006 - 1.7.2019):

SHA1 Fingerprint = F0:28:8F:DA:C6:3A:F7:9A:31:9A:E9:72:F3:95:09:0E:A3:EF:E9:45

MD5 Fingerprint = CA:5A:00:CF:78:D1:4B:A7:E1:7F:DE:59:67:71:3A:BC

für das Zertifikat der UNIBT-CA (Gültigkeit: 4.11.2009 - 30.6.2019):

SHA1 Fingerprint = 5A:E2:0D:93:92:8E:66:EE:E9:40:12:77:05:CC:56:D3:B3:18:7D:16

MD5 Fingerprint = E7:B0:7D:54:CC:23:51:BA:11:A5:C2:91:48:96:87:1C