Wurzel-Zertifikate importieren

Wurzelzertifikat der DFN-PKI Global importieren

In der Regel sollte es nicht nötig sein das Wurzelzertifikat der Deutschen Telekom in neueren Web-Browsern zu importieren. In einigen älteren Anwendungsprogrammen (insbesondere ältere Versionen von Firefox, SeaMonkey oder Thunderbird) kann es erforderlich sein, dass Sie das Wurzelzertifikats T-Telesec Global Root Class 2 manuell importieren, damit Zertifikate der TUHH als gültig erkannt werden.

Weitere Hinweise zum Importieren in Firefox und Thunderbird finden Sie unten.

Importieren: T-Telesec Global Root Class 2
(Wurzelzertifikat der DFN-PKI Global)
SHA1 Fingerprint
59:0D:2D:7D:88:4F:40:2E:61:7E:A5:62:32:17:65:CF:17:D8:94:E9
SHA256 Fingerprint
91:E2:F5:78:8D:58:10:EB:A7:BA:58:73:7D:E1:54:8A:8E:CA:CD:01:45:98:BC:0B:14:3E:04:1B:17:05:25:52
Weitere Informationen zu dem Wurzelzertifikat T-Telesec Global Root Class 2 auf den Seiten der DFN-PKI

Alle Zertifikate der DFN-Verein Certification Authority 2 sind unterhalb des Wurzelzertifikates T-Telesec Global Root Class 2 angeordnet. Die T-Telesec Global Root Class 2 wird betrieben von T-TeleSec dem Trust Center der Deutschen Telekom. Dadurch ergibt sich eine vierstufige Zertifikatskette wie in der nachfolgenden Abbildung.

Weitere Informationen zum Wurzel- und CA-Zertifikate im Sicherheitsniveau Global Generation 2 finden Sie auf den Webseiten der DFN PCA.

Die Zertifikate der DFN-Verein Global Issuing CA

Wie man der Abbildung oben entnehmen kann, ist das Zertifikat der DFN-Verein Global Issuing CA in der Zertifikatskette ein Bindeglied zwischen dem Wurzelzertifikat DFN-Verein Certification Authority 2 und dem Zertifikat des Webservers. Um die Zertifikatskette überprüfen zu können, müssen die Anwendungsprogramme also auch das Zertifikat der DFN-Verein Global Issuing CA kennen. In der Regel sollten alle Server aber so konfiguriert sein, dass bei jeder Anfrage die gesamte Zertifikatskette (also auch das Zertifikat der DFN-Verein Global Issuing CA) ausgeliefert wird.

Zur Kontrolle und für Server-Administratoren (die das Zertifikat zur Konfiguration ihres SSL-Servers benötigen) finden Sie hier die DFN-Verein Global Issuing CA Zertifikate :

• für Zertifikate mit SHA-2 (sha256): DFN-Verein Global Issuing CA Zertifikate
  (SHA1 Prüfsumme: C9:DC:B0:47:AC:8C:5F:09:05:ED:77:52:8C:BD:4B:84:D9:46:3C:45)
  (SHA-256 Prüfsumme:
  12:57:AA:C2:F4:EE:AC:6C:A4:94:2C:2C:83:F0:B6:7B:41:A3:B4:71:20:C4:D5:34:29:92:95:13:AC:AD:46:8C)
  

Weitere Informationen zu den Zertifikate auf den Seiten der DFN-PKI

Warum müssen beim Importieren die Prüfsummen verglichen werden?

Wenn Sie ein Wurzelzertifikat im Webbrowser importieren, bedeutet das für den Webbrowser, dass Sie dem Wurzelzertifikat und allen darunter ausgestellten Zertifikaten vertrauen. Jedes Zertifikat, dass sich über eine Zertifikatskette auf ein installiertes (vorintegriert oder manuell importiertes) Wurzelzertifikat zurückführen lässt, wird dann als vertrauenswürdig eingestuft.

Jedes Wurzelzertifikat wird durch eine kryptographische Prüfsumme auf Basis von MD5, SHA-1 oder aktuell SHA-2 eindeutig identifiziert. Im Browser werden diese besonderen Prüfsummen auch Fingerabdruck, Fingerprint oder Thumbprint genannt. Durch unabhängigen Vergleich dieser Prüfsummen können Sie verifizieren, dass Sie das echte Wurzelzertifikat importieren. Das genaue Vorgehen wird weiter unten für Firefox und den Internet Explorer 6 beschrieben.

Eine Liste aller Wurzelzertifikate und der Prüfsummen der DFN-PKI finden Sie u. a.

• auf den Webseiten der DFN-PKI
• als als PDF-Dokument
• als Aushang im Rechenzentrum der TUHH (Gebäude SBS95e)
• auf dieser Webseite

Wurzelzertifikate in Firefox importieren

Zum Importieren klicken Sie auf den Link eines Wurzelzertifikats, z.B. oben auf das Wurzelzertifikat und folgen Sie dem Beispiel.

Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:

• Wurzelzertifikat anklicken
• Details des Wurzelzertifikats anzeigen
• SHA-2 Prüfsummen vergleichen
• Wenn der Vergleich erfolgreich war, dem Zertifikat für alle Verwendungszwecke vertrauen und abschließen
• Kontrolle: Öffnen Sie in den Optionen von Firefox das Register Erweitert/Verschlüsselung/Zertifikate anzeigen
• Kontrolle: Bei den Zertifizierungsstellen sollte nun das importierte Wurzelzertifikat auftauchen

Wurzelzertifikate in Thunderbird importieren

Thunderbird legt Zertifikate an anderer Stelle als Firefox im System ab. Deshalb müssen die Wurzelzertifikate noch einmal extra importiert werden. Das ist etwas umständlicher als bei Firefox, da man das Zertifikat vorübergehend auf der Festplatte speichern muß.

Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:

• Wurzelzertifikat mit der rechten Maustaste anklicken und Ziel speichern unter… bzw. Save Link as…
• Wurzelzertifikat vorübergehend auf der Festplatte speichern
• Öffnen Sie in Thunderbird unter Tools Options das Register Privacy Security und klicken Sie auf View Certificates
• Im Certificate Manager wechseln Sie auf das Register Authorities. Dort finden sich alle vorinstallierten ("Builtin Object Token") und manuell installierten ("Software Security Device") Wurzelzertifikate. Klicken Sie dort auf Import
• Öffnen Sie in dem nun folgenden Dialog-Fenster das zuvor auf Festplatte gespeicherte Wurzelzertifikat
• Klicken Sie auf View
• Vergleichen Sie die SHA-2 Prüfsumme mit dem erwarteten Wert
• Wenn der Vergleich erfolgreich war, dem Zertifikat für alle Verwendungszwecke vertrauen und abschließen
• Kontrolle: Unter Authorities sollte sich das gerade importierte Wurzelzertifikat wieder finden

Windows Vista: Wurzelzertifikate im Internet Explorer 7 oder Outlook importieren

Internet Explorer und Outlook verwenden denselben Speicherbereich für Zertifikate. Deshalb genügt es die Wurzelzertifikate im Internet Explorer zu importieren.

Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:

• Wurzelzertifikat mit der linke Maustaste anklicken
• Es öffnet sich ein Fenster Dateidownload - Sicherheitswarnung. Klicken Sie auf Öffnen
• Der nächste Warnhinweis kommt vom Internet Explorer Internet Explorer - Sicherheit und muss mit Zulassen bestätigt werden.
• Es öffnet sich daraufhin ein Fenster mit den Details zu dem neuen Wurzelzertifikat. Klicken Sie auf das Register Details
• Vergleichen Sie die SHA1 Prüfsumme (Thumbprint) mit dem erwarteten Wert
• Wenn die Prüfsumme stimmt, dann wechseln Sie wieder auf das Register Allgemein und klicken Sie auf Zertifikat installieren…
• Nun öffnet sich der Zertifikatsimport-Assistent. Klicken Sie auf Weiter
• Der Speicherort für das neue Wurzelzertifikat soll ausgewählt werden. Unter Windows Vista ist die automatische Voreinstellung des Assistenten falsch. Sie müssen den Speicherort manuell wählen. Wählen Sie dazu Alle Zertifikate in folgendem Speicher speichern aus und klicken Sie auf Durchsuchen.
• Es öffnet sich das Fenster Zertifikatsspeicher auswählen. In diesem Fenster wählen Sie die Vertrauenswürdigen Stammzertifizierungsstellen aus:
• Kontrollieren Sie noch einmal das Ergebnis in Ihrer Auswahl. Das ursprüngliche Fenster sollte wie hier aussehen. Klicken Sie auf Weiter.
• Der Import ist fast abgeschlossen und es erscheint das Fenster Fertigstellen des Assistenten. Klicken Sie auf Fertig stellen
• Eine letzte Sicherheitswarnung erscheint, denn Sie legen durch den Import fest, dass Sie allen von der Zertifizierungsinstanz ausgestellten Zertifikaten vertrauen wollen. Sie können hier auch noch einmal die SHA1 Prüfsumme (Fingerabdruck) vergleichen. Klicken Sie dann auf Ja
• Es sollte nun der Hinweis erscheinen, dass der Import erfolgreich war
• Kontrolle: Öffnen Sie nun im Menü unter Extras die Internetoptionen
• Kontrolle: Wechseln Sie dann auf das Register Inhalte und klicken Sie auf Zertifikate… - Herausgeber
• Kontrolle: Wechseln Sie zum Register Vertrauenswürdige Stammzertifizierungsstellen
• Kontrolle: Unter Vertrauenswürdige Stammzertifizierungsstellen sollte sich nun das gerade importiert Wurzelzertifikat wieder finden

Windows XP: Wurzelzertifikate im Internet Explorer 6/7 oder Outlook importieren

Internet Explorer und Outlook verwenden denselben Speicherbereich für Zertifikate. Deshalb genügt es die Wurzelzertifikate im Internet Explorer zu importieren.

Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:

• Wurzelzertifikat mit der linke Maustaste anklicken
• Es öffnet sich ein Fenster Dateidownload - Sicherheitswarnung. Klicken Sie auf Öffnen
• Es öffnet sich ein Fenster mit den Details zu dem neuen Wurzelzertifikat. Klicken Sie auf das Register Details
• Vergleichen Sie die SHA1 Prüfsumme (Thumbprint) mit dem erwarteten Wert
• Wenn der Vergleich erfolgreich ist, dann wechseln Sie wieder auf das Register Allgemein und klicken Sie auf Zertifikat installieren…
• Nun öffnet sich der Zertifikatsimport Assistent. Klicken Sie auf Weiter
• Der Speicherort für das neue Wurzelzertifikat soll ausgewählt werden. Folgen Sie der Voreinstellung des Assistenten, der den Speicherort automatisch auswählen wird. Das Wurzelzertifikat wird dann richtig bei den Vertrauenswürdigen Stammzertifizierungsstellen also den obersten Zertifizierungsinstanzen eingepflegt
• Der Import ist fast abgeschlossen und es erscheint das Fenster Fertigstellen des Assistenten. Klicken Sie auf Fertig stellen
• Eine letzte Sicherheitswarnung erscheint, denn Sie legen durch den Import fest, dass Sie allen von der Zertifizierungsinstanz ausgestellten Zertifikaten vertrauen wollen. Sie können hier auch noch einmal die SHA1 Prüfsumme (Fingerabdruck) vergleichen. Klicken Sie dann auf Ja
• Es sollte nun der Hinweis erscheinen, dass der Import erfolgreich war
• Kontrolle: Öffnen Sie nun im Menü unter Extras die Internetoptionen
• Kontrolle: Wechseln Sie dann auf das Register Inhalte und klicken Sie auf Zertifikate…
• Kontrolle: Wechseln Sie im Fenster Zertifikate auf das Register Vertrauenswürdige Stammzertifizierungsstellen
• Kontrolle: Unter Vertrauenswürdige Stammzertifizierungsstellen sollte sich nun das gerade importiert Wurzelzertifikat wieder finden