Abteilung Technische Infrastruktur
Dies hier soll keine allgemeine Einführung in SSL sein, sondern lediglich pragmatisch die wichtigsten Fragen abdecken. Eine tiefergehende Einführung in SSL finden Sie auf den ATIS-Seiten unter SSL-Dokumentation sowie auf den Seiten des Rechenzentrums unter http://www.rz.uni-karlsruhe.de/dienste/992.php - dort ist insbesondere der Link http://www.rz.uni-karlsruhe.de/dienste/2678.php als Einsteig sehr nützlich.

Wieso bekomme ich Warnungen/Fehlermeldungen vom Browser/Email-Client wegen Zertifikaten ?

Die Zertifikate der ATIS-Server sind von dem Rechnenzentrum der Uni Karlsruhe ausgestellt. Dies wiederum ist vom DFN (Deutsches Forschungs Netz) dazu authorisiert worden. Sie müssen Ihrem Browser/Mailer mitteilen, dass Sie den Zertikaten über die Kette DFN -> RZ -> ATIS vertrauen. Wie dies konkret geht siehe unten.

Und warum bekomme ich diese Meldung bei anderen SSL-verschlüsselten Seiten nicht ?

Die gängigen Browser haben schon "ab Werk" das Vertrauen in viele grossen kommerzielle Zertifizierungsinstanzen eingebaut. Diese werden von Ihrem Browser als vertrauenswürdig eingestuft und entsprechende Warnungen erscheinen nicht. Welche das sind, können Sie z.B. im Mozilla unter "Edit" -> "Preferences..." -> "Privacy & Security" -> "Certificates" -> "Manage Certificates" -> Reiter "Authorities" nachlesen.
Im Internet Explorer finden Sie dies unter "Extras" -> "Internet Optionen" -> Reiter "Inhalte" (nicht "Sicherheit"!) ->"Zertifikate" -> Reiter ganz rechts (ggfs. Rechtspfeil drücken) "Vertrauenswürdige Stammzertifizierungsstellen".

Wie muss ich meinen Browser/Mailer konfigurieren ?

Kommen wir nun zum interessanten Teil: wie füge ich die Zertifikatskette DFN -> RZ -> ATIS meinem Browser als vertrauenswürdig hinzu ?

Mozilla / Netscape

Gehen Sie auf die Seite http://www.rz.uni-karlsruhe.de/dienste/4772.php des RZ und dann den Link DFN PCA DER (binär) klicken.
  • Fenster kommt hoch
  • "Trust this CA to identify web sites" markieren
  • OK
  • Ebenso verfährt man mit "UNIKA-CA (2005-2008)", DER
  • und nun noch "UNIKA-S-06 (2006-2007)" genauso

MS Outlook oder MS Internet Explorer

Wer bei dem Mailerver SSL aktiviert hat oder im Internet Explorer Warnungen bzgl. der Sicherheitszertifikate bekommt, kann das wie folgt abstellen :
  1. Im WWW auf http://www.rz.uni-karlsruhe.de/dienste/4772.php gehen. Dort findet man alle nötigen Sicherheitszertifikate, über die der Mailserver zertifiziert ist.
  2. Den ersten Link DER (binär) bei "DFN PCA" anklicken und gleich ÖFFNEN (OPEN) -- speichern unnötig!
    • Zertifikat-Fenster kommt hoch
    • Zertifikat installieren
    • weiter
    • alle Zertifikate in folgendem Speicher speichern
    • Durchsuchen
    • Vertrauenswürdige Stammzertifizierungsstellen
    • weiter
    • Fertig stellen.
    • Ja
    • OK
    • OK
  3. Die andern zwei Zertifikate UNIKA-CA (2005-2008) und UNIKA-S-06 (2006-2007) (Spalte DER) ebenfalls installieren, allerdings reicht es bei denen aus, den Zertifikatspeicher automatisch wählen zu lassen :
    • Zertifikat-Fenster kommt hoch
    • Zertifikat installieren
    • weiter
    • Zertifikatspeicher automatisch auswählen
    • weiter
    • Fertig stellen
    • OK
    • OK