Zertifikat Best Practice

Aus ITS-Infowiki
Zur Navigation springen Zur Suche springen

Die hier aufgeführten Punkte stellen zumindest für die Mitarbeitenden der DHBW Ravensburg eine dringende Empfehlung dar, von denen nicht ohne gute Gründe abgewichen werden soll.

Originaldateien

Das Zertifikat stellt Ihren Ausweis in der digitalen Welt dar.
Dieser ist einzigartig und kann bei Verlust im Normalfall nicht wiederhergestellt werden.

Auch das Kennwort zu Ihrem Zertifikat kann im Verlustfall nicht wiederhergestellt werden, ein Kennwortverlust macht Ihr Zertifikat unbrauchbar!

Der Dateiname besteht beim DFN aus dem Benutzernamen und einer eindeutigen Zufallsfolge.
Die Zufallsfolge können Sie zwecks besserer Übersicht durch das Ausstellungsjahr (z.B. 2023) ersetzen, den Benutzernamen bitte im Dateinamen belassen.

Speicherort

Legen Sie für die Speicherung Ihrer Originaldatei (*.pfx bzw. *.p12) einen entsprechend benannten Ordner innerhalb des Dokumentenverzeichnisses Ihres Benutzerverzeichnisses an.

Also z.B.

Dokumente\Zertifikat\

oder

Dokumente\Zertifikate\

Bei PCs innerhalb unserer Domäne kann Ihnen dieser Ordner auch mit den folgenden Namen angezeigt werden:

  • "Y:\Eigene Dateien\Zertifikat"
  • "Y:\Eigene Dateien\Zertifikate"
  • "Username$ (\\srvvwfs01)(Y:)\Dokumente\Zertifikat"
  • "Username$ (\\srvvwfs01)(Y:)\Dokumente\Zertifikate"

Durch die Speicherung in Ihrem Benutzerverzeichnis wird sichergestellt, dass Sie und unser Support im Zweifelsfall die Originaldateien schnell finden.
Da Ihr Y-Verzeichnis durch das IT.S regelmäßig gesichert wird, ist hiermit auch ein gewisser Schutz vor Verlust der Originaldateien gegeben.

Zusätzliche Kopien

Das IT.S empfiehlt das Anlegen mindestens einer weiteren Kopie der Originaldateien auf einem externen Medium, z.B. auch auf einem privaten USB-Stick.

Löschen

Es gibt im Normalfall keinen Grund ein Benutzerzertifikat zu Löschen.

Die Weitergabe des jeweiligen Speichermediums (z.B. USB-Stick), oder des PCs (bei lokaler Speicherung) an Dritte bildet hierbei eine Ausnahme.

Auch abgelaufene Benutzerzertifikate können z.B. zum Lesen von älteren Mails noch relevant sein.

Verlust

Sollte Ihr Benutzerzertifikat in die Hände Dritter gelangen, können Sie dieses für DFN-Zertifikate über die Seite des DFN mit dem von Ihnen vergebenen Sperrkennwort unwiederuflich sperren.
Für die neuen Sectigo/Geant-Zertifikate wird es eine entsprechende Funktion innerhalb Ihres Zuganges auf der Sectigo-Seite geben.
Sollten Sie Ihr Sperrkennwort, oder Ihren Sectigo-Zugang nicht mehr finden, melden Sie sich für die Zertifikatssperrung bitte beim IT.S.

Zertifikatsspeicher

Exportierbar speichern

Speichern Sie Ihr Zertifikat bitte immer als "Exportierbar", auf diese weise besteht im Falle eines Verlustes der Originaldatei die Chance eine "neue" Originaldatei zu erstellen.

Erhöhte Sicherheit

Durch das Setzen des Hakens bei "Erhöhte Sicherheit" und Anpassen der anschließend angezeigten Sicherheitsrichtlinien[1] lässt sich die Freigabe jeder einzelnen Zertifikatsverwendung durch Passworteingabe erzwingen.

Dies kann z.B. bei öffentlich zugänglichen PCs, oder PCs die häufiger unbeaufsichtigt bleiben, sinnvoll sein.

Löschen

Da alte Zertifikate z.B. für die Entschlüsselung älterer Mails durchaus noch relevant sein können, bitte keine Abgelaufenen Zertifikate aus dem Zertifikatsspeicher löschen (Ausnahmen siehe oben).

Signierte Dokumente

Namensgebung

Bei Dokumenten die mehrere Signaturprozesse durchlaufen, empfiehlt es sich die jeweiligen Signaturschritte durch das Anhängen der Kennung "_sig$$" zu kennzeichnen.
Das $$ steht hierbei für die Initialen des jeweils signierenden Benutzers.

Medienbrüche

Die sichtbare Komponente der Signatur dient "nur" als Hinweis für uns Menschen, die eigentliche Signatur (Prüfsummenbildung und Verschlüsselung) findet unsichtbar im Hintergrund statt.

Diese Information geht beim Ausdrucken und wieder Einscannen verloren, daher sind Medienbrüche zu vermeiden.

Erläuterungen

  1. Seit einem Update, vermutlich Win10 22H2, reicht das alleinige Setzen des Hakens "Erhöhte Sicherheit" nicht mehr in allen Fällen aus.