Häufig gestellte Fragen zu Zertifikaten & eToken

Fragen zum Nutzerzertifikat

1. Wie sicher ist die Prüfungsanmeldung mit dem persönlichen Zertifikat?

Nur Sie besitzen Ihr persönliches, signiertes Zertifikat und wissen das dazu gehörige Passwort. Dadurch ist eine sehr hohe Sicherheit gegeben. (siehe auch Frage 14!)

2. Ich habe das Zertifikat beantragt. Muss ich das an jedem Rechner tun?

Nein, Sie benötigen ausschließlich Ihr gültiges Zertifikat (z.B. im eToken). Sie müssen nur dann ein neues Zertifikat beantragen, wenn Ihr Altes abgelaufen ist oder sie es ungültig erklären wollen. (Siehe auch Frage 3, 4 und 6.)

3. Was muss ich tun, wenn ich das Zertifikat auch an einem anderen Rechner nutzen möchte?

Sie müssen das Zertifikat exportieren und an einem anderen System importieren. Eine detailierte Beschreibung dazu finden Sie hier.

4. Ich habe das Zertifikat zu hause beantragt, kann mich aber von keinem anderen System anmelden

Ihr Zertifikat ist dem Browser nicht bekannt. Wahrscheinlich haben Sie Ihr Zertifikat in den Browser importiert, an dem Sie es beantragt haben.

Sie können zur Speicherung Ihres Zertifikates den eToken nutzen, dann haben Sie es überall dabei. (Siehe „Fragen zum eToken:“, speziell Frage 30.)

5. Ich habe an meinem Rechner das Zertifikat eines Kommilitonen beantragt. Jetzt kann ich mich nur noch mit seinen Daten anmelden.

Beantragen Sie Ihr persönliches Zertifikat. Löschen Sie ggf. das fremde Zertifikat.

6. Was passiert wenn ich ein neues Zertifikat beantrage?

Sobald Sie ein neues Zertifikat beantragen, wird das alte ungültig. Sie sollten es dennoch aufbewahren, wenn Sie damit E-Mails oder andere Daten verschlüsselt haben.

6b. Wenn ich mein Zertifikat vorlege, wird es als "widerrufen" abgelehnt.

Genaue Fehlermeldung: Die SSL-Gegenstelle hat Ihr Zertifikat als "widerrufen" abgelehnt. Fehlercode: SSL_ERROR_REVOKED_CERT_ALERT
Es ist immer nur das zuletzt beantragte persönliche Nutzerzertifikat gültig. Sollten Sie nicht wissen, wo sich Ihr gültiges Zertifikat befindet, beantragen Sie bitte nach Anleitung ein Neues.

Siehe auch Frage 6.

7. Warum kann ich keine Nachrichten verschlüsseln / signieren (Mozilla)?

Das Wurzelzerifikat wurde nicht für diesen Zweck importiert. Wählen Sie "Bearbeiten -> Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen -> Zertifizierungsstellen" und dort die Zertifikate unter "DFN-Verein". Sie können für jedes Zertifikat mit "Bearbeiten" die erforderlichen Einstellungen machen.

8. Ich erhalte meine Bestätigungsmail nicht.

Die Zertifikatsmail wird grundsätzlich innerhalb weniger Minuten an die FH-Mailadresse verschickt. Ist eine Weiterleitung eingetragen, werden Mails direkt dorthin geschickt. Prüfen Sie bitte, ob Ihre Weiterleitungsadresse korrekt ist und Mails angenommen werden. Bei einigen Mail-Providern werden die Mails irrtümlich als Spam behandelt. Bitte prüfen Sie hier die Filtereinstellungen. Wenn diese Hinweise nicht weiter führen, löschen Sie bitte im Virtuellen Service Center die Weiterleitung und stoßen den Vorgang nach 15 Minuten erneut an. Sie können dann die Mail mit Ihren bekannten Zugangsdaten über unseren Webmailer abrufen.

9. Wofür ist die Datei, die ich im Anhang der Bestätigungsmail erhalten habe?

Diese Datei stellt ebenfalls Ihr Zertifikat dar. Allerdings im "PEM"-Format (ASCII, Base64). Dieses Format kann man in einigen Anwendungen auch direkt nutzen. Die meisten Anwendungen, wie auch die Mozilla-Browser, benötigen jedoch das "PKCS#12"-Format (Binär).

10. Ich erhalte den Fehler "403 Request failed" wenn ich auf den Link in der E-Mail klicke (Arcor).

Der Webmailer von Arcor unterbindet offenbar das Verfolgen einiger Links. Bitte kopieren Sie den Link und fügen Sie ihn manuell in die Adressleiste des Browsers ein.

11. Ich erhalte den Fehler "Das Objekt unterstützt diese Eigenschaft oder Methode nicht." (IE).

Je nach Windows- und IE-Version ist es notwendig, unter "Extras" -> "Internetoptionen" -> "Sicherheit" -> "Sites" den CA-Server (https://pki.pca.dfn.de) als vertrauenswürdig einzutragen. Anschließend den Browser neu starten. Der Internet-Explorer bricht sonst beim Generieren des privaten Schlüssels mit o.g. Fehlermeldung ab.

12. Ich habe beim Installieren der CA-Zertifikate vergessen die 3 Haken für die Vertrauensstellung zu setzen. Kann ich das nachträglich ändern?

"Extras -> Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen -> Zertifizierungsstellen" Hier können Sie alle Zertifikate unter "Deutsche Telekom AG" und "DFN-Verein" mit "Bearbeiten..." ansehen und ggf. die Häkchen setzen.

13. Ich habe das Passwort für das "Software-Sicherheitsmodul" vergessen.

Wenn Sie das Zertifikat im Software-Sicherheitsmodul des Mozilla-Bowsers (Firefox/Seamonkey/Netscape) gespeichert haben und das Passwort dafür vergessen haben, können Sie es mit folgender Eingabe in der Adresszeile des Browsers zurücksetzen: "chrome://pippki/content/resetpassword.xul".

14. Wie schütze ich mein Zertifikat vor unberechtigtem Zugriff?

Eine detailierte Beschreibung dazu finden Sie unter Nutzerzertifikat beantragen .

15. Safari verweigert die Verbindung zum Virtuellen Service-Center (Mac OS)

Nach Vorlegen meines persönlichen Zertifikates verweigert der Safari-Browser die Verbindung zum Virtuellen Service-Center. Ursache ist offenbar das ungültige Apple-Zertifikat "com.apple.idms.appleid.prd...". Nach Löschen dieses Zertifikat aus dem Schlüsselbund funktioniert die Anmeldung.

16. Trotz korrekt installiertem Nutzerzertifikat wird dieses beim Besuch des Virtuellen Service-Centers nicht abgefragt

Einige Anti-Viren-Programme (z.B. Kaspersky) installieren einen transparenten Proxy auf Ihrem System, um auch die verschlüsselte Kommunikation zu analysieren! Das Zertifikatshandling ist dabei scheinbar nicht korrekt implementiert. Bitte deaktivieren Sie (testweise) den "Webschutz" des AV-Programmes oder das Programm selbst.

Fragen zum eToken:

17. Ich habe keinen eToken. Wo kann ich ihn erwerben?

Hochschulangehörige können den eToken für z.Zt. 25 EUR in der IT-Services-Benutzerberatung erwerben.

18. Ist der eToken mein Zertifikat?

Nein, der eToken ist ein Zertifikatsspeicher. Wenn Sie ihn erhalten, ist er leer.

19. Ist der eToken ein Speicherstick?

Nein, der eToken ist ein mobiler Zertifikatsspeicher und dient der Speicherung Ihres persönlichen Zertifikats.

20. Gehört mir der eToken?

Wenn Sie den eToken als kostenfreie Leihgabe erhalten haben, bitten wir im Rahmen der Zeugnisaushändigung bzw. Exmatrikulation um Rückgabe im Studierenden-Servicebüro.

21. Ich habe meinen eToken verloren, was nun?

Wenn es nur um das "Gerät" geht, können Sie für z.Zt. 25 EUR in der IT-Services-Benutzerberatung Ihres Standortes einen neuen eToken erwerben.

Haben Sie mit dem eToken auch Ihr Zertifikat verloren, sollten Sie möglichst schnell ein neues Zertifikat beantragen. Dadurch wird das alte Zertifikat ungültig.

22. Kann ich mir den eToken eines Kommilitonen ausleihen / meinen eToken verleihen?

Nein! Auf dem eToken befindet sich das persönliche Zertifikat!

23. Kann ich den eToken einfach heraus ziehen?

Wenn nicht gerade darauf zugegriffen wird - Ja.

24. Kann ich den eToken auch zuhause benutzen?

Ja. Der eToken kann überall dort genutzt werden, wo die eToken-Software installiert ist. In den Mozilla-Browsern muss zusätzlich das Kryptographiemodul (eTpkcs11.dll) eingebunden sein. Hinweise zur Installation finden Sie in der Online Dokumentation.

25. Wofür benötige ich die „eTpkcs11.dll“ / „libeTPkcs11.so“ / „libeTPkcs11.dylib“?

Diese Datei macht den Mozilla-Browsern den eToken als zusätzliches Kryptographiemodul bekannt. Sie bildet die Schnittstelle zwischen der Anwendung und dem eToken.

26. Wo liegt diese dll/so/dylib-Datei? Wie binde ich diese ein?

Siehe Kryptographiemodul einbinden in der Online Dokumentation. Hinweis: Die Datei ist erst am angegebenen Speicherort vorhanden, wenn Sie die eToken-Software installiert haben.

27. Wo finde ich die eToken-Software?

Unter www.fh-swf.de Studierende->IT-Services->Zertifikate und eToken->Der eToken->Software Download

28. Wie und wo erkenne ich, dass der eToken erkannt wird?

Die eToken-Software muss auf dem System installiert sein!

Bitte wählen Sie unter Start->Programme das Programm SafeNet aus. Wird hier ein eToken erkannt können Sie das darauf geladene Zertifikat nutzen.

29. Windows hat eine neue Hardware erkannt. Muss ich den eToken „installieren“?

Nein! Zur Nutzung müssen Sie lediglich die eToken-Software installieren. (Siehe Frage 26.)

30. Wie erkenne ich, dass sich das Zertifikat auf dem eToken befindet?

Die eToken-Software muss auf dem System installiert sein!

Rufen Sie unter Start->Programme->SafeNet->SafeNet Client die eToken-Software auf. Unter Erweiterte Anischt->eToken PKI Client->Tokens&Readers->User Certifikates werden die Zertifikate angezeigt. Wenn Sie dort ein Zertifikat mit Ihrem persönlichen Namen sehen, ist dies Ihres.

31. Was soll ich tun, wenn sich das beantragte Zertifikat nicht auf dem eToken befindet?

Wenn Sie wissen wo sich das Zertifikat befindet, importieren Sie es in den eToken. (Siehe Zertifikat exportieren/importieren)

32. Ich habe das Passwort für den eToken vergessen. Was nun?

Der eToken ist sicher und wir kennen Ihr Passwort auch nicht!

Wenn Sie das Passwort geändert und vergessen haben, müssen Sie den eToken schlimmstenfalls neu initialisieren. Rufen Sie dazu unter Start->Programme->SafeNet->SafeNet Client die eToken-Software auf und wählen Sie unter "Erweiterte Ansicht" den eToken aus. Klicken Sie auf "eToken initialisieren" und vergeben Sie ein neues Passwort.

ACHTUNG: Sämtliche Zertifikate werden so vom eToken gelöscht!

33. Der eToken meldet er sei gesperrt (locked)! Was nun?

Der eToken ist durch zu viele falsche Passworteingaben gesperrt. Bitte initialisieren Sie ihn (siehe Frage 32.).

ACHTUNG: Sämtliche Zertifikate werden so vom eToken gelöscht!

34. Mein Firefox lässt keine Sicherung des Zertifikats zu. Angeblich sei dies von einer Smart-Card nicht möglich.

Das ist richtig. Sie können das Zertifikat aber mit der eToken-Clientsoftware exportieren:

Öffnen Sie dazu den SafeNet Client und wählen Sie "Erweiterte Ansicht". In der linken Baumstuktur können Sie das gewünschte Zertifikat auswählen und mit "Zertifikat exportieren" sichern.

35. Beim Versuch das Zertifikat zu beantragen erhalte ich folgende Fehlermeldung: „Ihr Browser hat keinen korrekten öffentlichen Schlüssel geschickt. Haben Sie "Abbrechen" in einem Passwort-Prompt betätigt? Bitte versuchen Sie es erneut.“

Antwort A: Bei einigen Ausführungen des eToken kann es notwendig sein, diesen vor der ersten Nutzung zu Initialisieren.

Rufen Sie dazu unter Start->Programme->SafeNet->SafeNet Client die eToken-Software auf und wählen Sie unter "Erweiterte Ansicht" den eToken aus. Klicken Sie auf "eToken initialisieren" und vergeben Sie ein neues Passwort.

ACHTUNG: Sämtliche Zertifikate werden so vom eToken gelöscht!

Antwort B: Ihr Browser unterstützt den Mechanismus "KEYGEN" nicht. Bitte benutzen Sie einen anderen Browser.

36. Beim Versuch das Zertifikat in den eToken zu importieren erhalte ich die Meldung: „This device does not support this key size“

Siehe Frage 35.

Informatik