Wie lange ist ein Zertifikat gültig?

Die Gültigkeit der von der BTU CA Global ausgestellten Zertifikate für Nutzer beträgt drei Jahre. Server-Zertifikate sind 825 Tage gültig.

Was passiert, wenn ein Zertifikat abläuft?

In diesem Fall muss ein neues Zertifikat beantragt werden. Wenn das Zertifikat für Verschlüsselung/digitale Signatur eingesetzt worden ist, darf das alte Zertifikat nicht aus dem Mail-Client entfernt werden, weil sonst alte verschlüsselte Mails nicht mehr lesbar sind.
Wenn das Zertifikat für den WLAN-/VPN-Zugang genutzt wird, sollten abgelaufene Zertifikate aus dem VPN-Client entfernt und dann das neue Zertifikat importiert werden.

Wozu werden die Passworte gebraucht?

Die auf der DFN-Webseite zu vergebende PIN wird gebraucht, um

• evtl. ein Zertifikat sperren zu lassen,
• bei der Auswahl "Zertifikat nicht veröffentlichen" das Zertifikat in den Browser importieren zu können.

In Abhängigkeit vom genutzten Browser:

Microsoft Internet Explorer:

• der private Schlüsselanteil muss durch ein starkes Passwort geschützt werden - dieses Passwort wird jedes Mal, wenn auf den Private Key zugegriffen wird, abgefragt,
• beim Export des Zertifikates muss die Datei, die schließlich Zertifikat und Private Key enthält (die pfx-Datei), durch ein starkes Passwort geschützt werden - dieses Passwort wird jedes Mal, wenn auf die Datei zugegriffen wird, abgefragt.

Mozilla Firefox:

• das Master-Passwort schützt alle Zertifikateinstellungen des Programmes - dieses Passwort wird jedes Mal, wenn auf den Private Key zugegriffen wird, abgefragt,
• beim Export des Zertifikates muss die Datei, die schließlich Zertifikat und Private Key enthält (die *.p12-Datei), durch ein starkes Passwort geschützt werden - dieses Passwort wird jedes Mal, wenn auf die Datei zugegriffen wird, abgefragt.

Was muss beim Umgang mit Zertifikaten beachtet werden?

Der öffentliche Schlüsselanteil (das Zertifikat) kann der Öffentlichkeit zugänglich gemacht werden.

Der private Schlüsselanteil (Private Key, z. B. in der *.p12- oder *.pfx-Datei) darf niemals weitergegeben werden. Der Schlüsselinhaber muss diese Dateien durch starke Passworte schützen und darauf achten, dass sie nicht verloren gehen oder gestohlen werden. Bei der Speicherung auf Rechnern muss darauf geachtet werden, dass kein anderer Nutzer Zugang zu diesen Daten hat.

Was passiert, wenn das Zertifikat mit Private Key (z. B. in der *.p12- oder *.pfx-Datei auf USB-Stick, Laptop usw.) verloren geht oder gestohlen wird und/oder die Passworte kompromittiert wurden?

Das Zertifikat ist umgehend zu sperren. Dazu ist ein Sperrantrag zu stellen oder es sind die Mitarbeiter der BTU CA Global zu benachrichtigen. Es kann problemlos ein neues Zertifikat beantragt werden.

Gibt es Risiken beim Einsatz von Zertifikaten?

Sollten Unbefugte in den Besitz des Private Key (z. B. in *.p12- oder *.pfx-Datei) gelangen, können sie das Zertifikat missbrauchen, um unberechtigt E-Mails zu signieren oder Zugang zu Diensten (z. B. WLAN/VPN) der BTU Cottbus-Senftenberg zu erlangen. In diesem Fall ist das Zertifikat sofort zu sperren. Dazu ist ein Sperrantrag zu stellen oder es sind die Mitarbeiter der BTU CA Global zu benachrichtigen. Es kann problemlos ein neues Zertifikat beantragt werden.

Was ist zu beachten, wenn auf einem Rechner mit mehreren Nutzern Zertifikate eingesetzt werden?

• Jeder Nutzer sollte einen eigenen Account haben.
• Der Account sollte durch ein starkes Passwort geschützt sein.
• Jeder Nutzer muss seine Zertifikats-Einstellungen durch starke Passworte schützen.
• Administrative Accounts sollten nur dann genutzt werden, wenn sie unbedingt gebraucht werden. Beispiel: es sollte niemals mit Administrator-Rechten im Internet gesurft werden.