Zertifikat Best Practice
Die hier aufgeführten Punkte stellen zumindest für die Mitarbeitenden der DHBW Ravensburg eine dringende Empfehlung dar, von denen nicht ohne gute Gründe abgewichen werden soll.
Originaldateien
Das Zertifikat stellt Ihren Ausweis in der digitalen Welt dar.
Dieser ist einzigartig und kann bei Verlust im Normalfall nicht wiederhergestellt werden.
Auch das Kennwort zu Ihrem Zertifikat kann im Verlustfall nicht wiederhergestellt werden, ein Kennwortverlust macht Ihr Zertifikat unbrauchbar!
Der Dateiname besteht beim DFN aus dem Benutzernamen und einer eindeutigen Zufallsfolge.
Die Zufallsfolge können Sie zwecks besserer Übersicht durch das Ausstellungsjahr (z.B. 2023) ersetzen, den Benutzernamen bitte im Dateinamen belassen.
Speicherort
Legen Sie für die Speicherung Ihrer Originaldatei (*.pfx bzw. *.p12) einen entsprechend benannten Ordner innerhalb des Dokumentenverzeichnisses Ihres Benutzerverzeichnisses an.
Also z.B.
Dokumente\Zertifikat\
oder
Dokumente\Zertifikate\
Bei PCs innerhalb unserer Domäne kann Ihnen dieser Ordner auch mit den folgenden Namen angezeigt werden:
- "Y:\Eigene Dateien\Zertifikat"
- "Y:\Eigene Dateien\Zertifikate"
- "Username$ (\\srvvwfs01)(Y:)\Dokumente\Zertifikat"
- "Username$ (\\srvvwfs01)(Y:)\Dokumente\Zertifikate"
Durch die Speicherung in Ihrem Benutzerverzeichnis wird sichergestellt, dass Sie und unser Support im Zweifelsfall die Originaldateien schnell finden.
Da Ihr Y-Verzeichnis durch das IT.S regelmäßig gesichert wird, ist hiermit auch ein gewisser Schutz vor Verlust der Originaldateien gegeben.
Zusätzliche Kopien
Das IT.S empfiehlt das Anlegen mindestens einer weiteren Kopie der Originaldateien auf einem externen Medium, z.B. auch auf einem privaten USB-Stick.
Löschen
Es gibt im Normalfall keinen Grund ein Benutzerzertifikat zu Löschen.
Die Weitergabe des jeweiligen Speichermediums (z.B. USB-Stick), oder des PCs (bei lokaler Speicherung) an Dritte bildet hierbei eine Ausnahme.
Auch abgelaufene Benutzerzertifikate können z.B. zum Lesen von älteren Mails noch relevant sein.
Verlust
Sollte Ihr Benutzerzertifikat in die Hände Dritter gelangen, können Sie dieses für DFN-Zertifikate über die Seite des DFN mit dem von Ihnen vergebenen Sperrkennwort unwiederuflich sperren.
Für die neuen Sectigo/Geant-Zertifikate wird es eine entsprechende Funktion innerhalb Ihres Zuganges auf der Sectigo-Seite geben.
Sollten Sie Ihr Sperrkennwort, oder Ihren Sectigo-Zugang nicht mehr finden, melden Sie sich für die Zertifikatssperrung bitte beim IT.S.
Zertifikatsspeicher
Exportierbar speichern
Speichern Sie Ihr Zertifikat bitte immer als "Exportierbar", auf diese weise besteht im Falle eines Verlustes der Originaldatei die Chance eine "neue" Originaldatei zu erstellen.
Erhöhte Sicherheit
Durch das Setzen des Hakens bei "Erhöhte Sicherheit" und Anpassen der anschließend angezeigten Sicherheitsrichtlinien[1] lässt sich die Freigabe jeder einzelnen Zertifikatsverwendung durch Passworteingabe erzwingen.
Dies kann z.B. bei öffentlich zugänglichen PCs, oder PCs die häufiger unbeaufsichtigt bleiben, sinnvoll sein.
Löschen
Da alte Zertifikate z.B. für die Entschlüsselung älterer Mails durchaus noch relevant sein können, bitte keine Abgelaufenen Zertifikate aus dem Zertifikatsspeicher löschen (Ausnahmen siehe oben).
Signierte Dokumente
Namensgebung
Bei Dokumenten die mehrere Signaturprozesse durchlaufen, empfiehlt es sich die jeweiligen Signaturschritte durch das Anhängen der Kennung "_sig$$" zu kennzeichnen.
Das $$ steht hierbei für die Initialen des jeweils signierenden Benutzers.
Medienbrüche
Die sichtbare Komponente der Signatur dient "nur" als Hinweis für uns Menschen, die eigentliche Signatur (Prüfsummenbildung und Verschlüsselung) findet unsichtbar im Hintergrund statt.
Diese Information geht beim Ausdrucken und wieder Einscannen verloren, daher sind Medienbrüche zu vermeiden.
Erläuterungen
- ↑ Seit einem Update, vermutlich Win10 22H2, reicht das alleinige Setzen des Hakens "Erhöhte Sicherheit" nicht mehr in allen Fällen aus.