Wurzel-Zertifikate importieren

Der Hashalgorithmus SHA-1 wird mittlerweile nicht mehr als sicher betrachtet. Microsoft-Produkte werden ab Anfang 2017 Zertifikate mit SHA-1 nicht mehr als gültig erkennen. Bis Ende 2016 müssen daher alle Zertifikate gegen SHA-2 signierte Zertifikate ausgetauscht werden. Siehe Fragen und Antworten zur Umstellung von SHA-1 auf SHA-2 in der DFN-PKI.

Wurzelzertifikat der DFN-PKI Global importieren

In der Regel sollte es nicht nötig sein das Wurzelzertifikat der Deutschen Telekom in neueren Web-Browsern zu importieren. In einigen älteren Anwendungsprogrammen (insbesondere ältere Versionen von Firefox, SeaMonkey oder Thunderbird) kann es erforderlich sein, dass Sie das Wurzelzertifikats T-Telesec Global Root Class 2 manuell importieren, damit Zertifikate der TUHH als gültig erkannt werden.

Weitere Hinweise zum Importieren in Firefox und Thunderbird finden Sie unten.

Importieren: T-Telesec Global Root Class 2
(Wurzelzertifikat der DFN-PKI Global)

SHA1 Fingerprint
59:0D:2D:7D:88:4F:40:2E:61:7E:A5:62:32:17:65:CF:17:D8:94:E9
SHA256 Fingerprint
91:E2:F5:78:8D:58:10:EB:A7:BA:58:73:7D:E1:54:8A:8E:CA:CD:01:45:98:BC:0B:14:3E:04:1B:17:05:25:52
Weitere Informationen zu dem Wurzelzertifikat T-Telesec Global Root Class 2 auf den Seiten der DFN-PKI

Alle Zertifikate der DFN-Verein Certification Authority 2 sind unterhalb des Wurzelzertifikates T-Telesec Global Root Class 2 angeordnet. Die T-Telesec Global Root Class 2 wird betrieben von T-TeleSec dem Trust Center der Deutschen Telekom. Dadurch ergibt sich eine vierstufige Zertifikatskette wie in der nachfolgenden Abbildung. Hierarchie nach der Global Policy der DFN-PCA Generation 2

Weitere Informationen zum Wurzel- und CA-Zertifikate im Sicherheitsniveau Global Generation 2 finden Sie auf den Webseiten der DFN PCA.

Die Zertifikate der DFN-Verein Global Issuing CA

Wie man der Abbildung oben entnehmen kann, ist das Zertifikat der DFN-Verein Global Issuing CA in der Zertifikatskette ein Bindeglied zwischen dem Wurzelzertifikat DFN-Verein Certification Authority 2 und dem Zertifikat des Webservers. Um die Zertifikatskette überprüfen zu können, müssen die Anwendungsprogramme also auch das Zertifikat der DFN-Verein Global Issuing CA kennen. In der Regel sollten alle Server aber so konfiguriert sein, dass bei jeder Anfrage die gesamte Zertifikatskette (also auch das Zertifikat der DFN-Verein Global Issuing CA) ausgeliefert wird.

Wenn ein SSL-Server richtig konfiguriert ist, sollte es nie nötig sein, das Zertifikat der DFN-Verein Global Issuing CA importieren zu müssen um Zertifikatswarnungen zu vermeiden.

Zur Kontrolle und für Server-Administratoren (die das Zertifikat zur Konfiguration ihres SSL-Servers benötigen) finden Sie hier die DFN-Verein Global Issuing CA Zertifikate :

  • für Zertifikate mit SHA-2 (sha256): DFN-Verein Global Issuing CA Zertifikate
    (SHA1 Prüfsumme: C9:DC:B0:47:AC:8C:5F:09:05:ED:77:52:8C:BD:4B:84:D9:46:3C:45)
    (SHA-256 Prüfsumme:
    12:57:AA:C2:F4:EE:AC:6C:A4:94:2C:2C:83:F0:B6:7B:41:A3:B4:71:20:C4:D5:34:29:92:95:13:AC:AD:46:8C)

Weitere Informationen zu den Zertifikate auf den Seiten der DFN-PKI

Warum müssen beim Importieren die Prüfsummen verglichen werden?

Wenn Sie ein Wurzelzertifikat im Webbrowser importieren, bedeutet das für den Webbrowser, dass Sie dem Wurzelzertifikat und allen darunter ausgestellten Zertifikaten vertrauen. Jedes Zertifikat, dass sich über eine Zertifikatskette auf ein installiertes (vorintegriert oder manuell importiertes) Wurzelzertifikat zurückführen lässt, wird dann als vertrauenswürdig eingestuft.

Sie müssen beim manuellen Importieren von Wurzelzertifikate sorgfältig vorgehen, damit Sie kein falsches Zertifikat importieren. Es ist denkbar, dass ein böswilliger Angreifer versucht, Sie zum installieren eines gefälschten Wurzelzertifikats zu verleiten.

Jedes Wurzelzertifikat wird durch eine kryptographische Prüfsumme auf Basis von MD5, SHA-1 oder aktuell SHA-2 eindeutig identifiziert. Im Browser werden diese besonderen Prüfsummen auch Fingerabdruck, Fingerprint oder Thumbprint genannt. Durch unabhängigen Vergleich dieser Prüfsummen können Sie verifizieren, dass Sie das echte Wurzelzertifikat importieren. Das genaue Vorgehen wird weiter unten für Firefox und den Internet Explorer 6 beschrieben.

Eine Liste aller Wurzelzertifikate und der Prüfsummen der DFN-PKI finden Sie u. a.

Wurzelzertifikate in Firefox importieren

Zum Importieren klicken Sie auf den Link eines Wurzelzertifikats, z.B. oben auf das Wurzelzertifikat und folgen Sie dem Beispiel.

Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:

  • Wurzelzertifikat anklicken Firefox:Wurzelzertifikat anklicken
  • Details des Wurzelzertifikats anzeigen Firefox:Wurzelzertifikat Details
  • SHA-2 Prüfsummen vergleichen Firefox:Wurzelzertifikat Details
  • Wenn der Vergleich erfolgreich war, dem Zertifikat für alle Verwendungszwecke vertrauen und abschließen Firefox:Wurzelzertifikat vertrauen
  • Kontrolle: Öffnen Sie in den Optionen von Firefox das Register Erweitert/Verschlüsselung/Zertifikate anzeigen Firefox:Optionen Security öffnen
  • Kontrolle: Bei den Zertifizierungsstellen sollte nun das importierte Wurzelzertifikat auftauchen Firefox:Optionen Security öffnen

Wurzelzertifikate in Thunderbird importieren

Thunderbird legt Zertifikate an anderer Stelle als Firefox im System ab. Deshalb müssen die Wurzelzertifikate noch einmal extra importiert werden. Das ist etwas umständlicher als bei Firefox, da man das Zertifikat vorübergehend auf der Festplatte speichern muß.

Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:

  • Wurzelzertifikat mit der rechten Maustaste anklicken und Ziel speichern unter… bzw. Save Link as… Thunderbird:Wurzelzertifikat anklicken
  • Wurzelzertifikat vorübergehend auf der Festplatte speichern Thunderbird:Save Link as
  • Öffnen Sie in Thunderbird unter Tools Pfeil Options das Register Privacy Pfeil Security und klicken Sie auf View Certificates Thunderbird:Options Security
  • Im Certificate Manager wechseln Sie auf das Register Authorities. Dort finden sich alle vorinstallierten ("Builtin Object Token") und manuell installierten ("Software Security Device") Wurzelzertifikate. Klicken Sie dort auf Import Thunderbird:Import
  • Öffnen Sie in dem nun folgenden Dialog-Fenster das zuvor auf Festplatte gespeicherte Wurzelzertifikat Thunderbird:Datei mit Wurzelzertifikat auswählen
  • Klicken Sie auf View Thunderbird:Download
  • Vergleichen Sie die SHA-2 Prüfsumme mit dem erwarteten Wert Thunderbird:certificate view
  • Wenn der Vergleich erfolgreich war, dem Zertifikat für alle Verwendungszwecke vertrauen und abschließen Thunderbird:Wurzelzertifikat vertrauen
  • Kontrolle: Unter Authorities sollte sich das gerade importierte Wurzelzertifikat wieder finden Thunderbird:Kontrolle

Windows Vista: Wurzelzertifikate im Internet Explorer 7 oder Outlook importieren

Internet Explorer und Outlook verwenden denselben Speicherbereich für Zertifikate. Deshalb genügt es die Wurzelzertifikate im Internet Explorer zu importieren.

Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:

  • Wurzelzertifikat mit der linke Maustaste anklicken Internet Explorer:Wurzelzertifikat anklicken
  • Es öffnet sich ein Fenster Dateidownload - Sicherheitswarnung. Klicken Sie auf Öffnen Internet Explorer:Dateidownload - Sicherheitshinweis
  • Der nächste Warnhinweis kommt vom Internet Explorer Internet Explorer - Sicherheit und muss mit Zulassen bestätigt werden. Internet Explorer:Dateidownload - Sicherheitshinweis
  • Es öffnet sich daraufhin ein Fenster mit den Details zu dem neuen Wurzelzertifikat. Klicken Sie auf das Register Details Internet Explorer:Informationen zum Zertifikat
  • Vergleichen Sie die SHA1 Prüfsumme (Thumbprint) mit dem erwarteten Wert Internet Explorer:Prüfsumme vergleichen
  • Wenn die Prüfsumme stimmt, dann wechseln Sie wieder auf das Register Allgemein und klicken Sie auf Zertifikat installieren… Internet Explorer:Zertifikat installieren
  • Nun öffnet sich der Zertifikatsimport-Assistent. Klicken Sie auf Weiter Internet Explorer:Zertifikatsimport Assistent
  • Der Speicherort für das neue Wurzelzertifikat soll ausgewählt werden. Unter Windows Vista ist die automatische Voreinstellung des Assistenten falsch. Sie müssen den Speicherort manuell wählen. Wählen Sie dazu Alle Zertifikate in folgendem Speicher speichern aus und klicken Sie auf Durchsuchen. Internet Explorer:Zertifikatsspeicher manuell auswählen
  • Es öffnet sich das Fenster Zertifikatsspeicher auswählen. In diesem Fenster wählen Sie die Vertrauenswürdigen Stammzertifizierungsstellen aus: Internet Explorer:Zertifikatsspeicher auswählen
  • Kontrollieren Sie noch einmal das Ergebnis in Ihrer Auswahl. Das ursprüngliche Fenster sollte wie hier aussehen. Klicken Sie auf Weiter. Internet Explorer:Zertifikatsspeicher ausgewählt
  • Der Import ist fast abgeschlossen und es erscheint das Fenster Fertigstellen des Assistenten. Klicken Sie auf Fertig stellen Internet Explorer:Fertigstellen des Assistenten
  • Eine letzte Sicherheitswarnung erscheint, denn Sie legen durch den Import fest, dass Sie allen von der Zertifizierungsinstanz ausgestellten Zertifikaten vertrauen wollen. Sie können hier auch noch einmal die SHA1 Prüfsumme (Fingerabdruck) vergleichen. Klicken Sie dann auf Ja Internet Explorer:Sicherheitswarnung
  • Es sollte nun der Hinweis erscheinen, dass der Import erfolgreich war Internet Explorer:Import erfolgreich
  • Kontrolle: Öffnen Sie nun im Menü unter Extras die Internetoptionen Internet Explorer:Internetoptionen öffnen
  • Kontrolle: Wechseln Sie dann auf das Register Inhalte und klicken Sie auf Zertifikate… - Herausgeber Internet Explorer:Inhalte
  • Kontrolle: Wechseln Sie zum Register Vertrauenswürdige Stammzertifizierungsstellen Internet Explorer:Zertifikate
  • Kontrolle: Unter Vertrauenswürdige Stammzertifizierungsstellen sollte sich nun das gerade importiert Wurzelzertifikat wieder finden Internet Explorer:Vertrauenswürdige Stammzertifizierungsstellen

Windows XP: Wurzelzertifikate im Internet Explorer 6/7 oder Outlook importieren

Internet Explorer und Outlook verwenden denselben Speicherbereich für Zertifikate. Deshalb genügt es die Wurzelzertifikate im Internet Explorer zu importieren.

Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:

  • Wurzelzertifikat mit der linke Maustaste anklicken Internet Explorer:Wurzelzertifikat anklicken
  • Es öffnet sich ein Fenster Dateidownload - Sicherheitswarnung. Klicken Sie auf Öffnen Internet Explorer:Dateidownload - Sicherheitshinweis
  • Es öffnet sich ein Fenster mit den Details zu dem neuen Wurzelzertifikat. Klicken Sie auf das Register Details Internet Explorer:Informationen zum Zertifikat
  • Vergleichen Sie die SHA1 Prüfsumme (Thumbprint) mit dem erwarteten Wert Internet Explorer:Prüfsumme vergleichen
  • Wenn der Vergleich erfolgreich ist, dann wechseln Sie wieder auf das Register Allgemein und klicken Sie auf Zertifikat installieren… Internet Explorer:Zertifikat installieren
  • Nun öffnet sich der Zertifikatsimport Assistent. Klicken Sie auf Weiter Internet Explorer:Zertifikatsimport Assistent
  • Der Speicherort für das neue Wurzelzertifikat soll ausgewählt werden. Folgen Sie der Voreinstellung des Assistenten, der den Speicherort automatisch auswählen wird. Das Wurzelzertifikat wird dann richtig bei den Vertrauenswürdigen Stammzertifizierungsstellen also den obersten Zertifizierungsinstanzen eingepflegt Internet Explorer:Zertifikatsspeicher automatisch auswählen
  • Der Import ist fast abgeschlossen und es erscheint das Fenster Fertigstellen des Assistenten. Klicken Sie auf Fertig stellen Internet Explorer:Fertigstellen des Assistenten
  • Eine letzte Sicherheitswarnung erscheint, denn Sie legen durch den Import fest, dass Sie allen von der Zertifizierungsinstanz ausgestellten Zertifikaten vertrauen wollen. Sie können hier auch noch einmal die SHA1 Prüfsumme (Fingerabdruck) vergleichen. Klicken Sie dann auf Ja Internet Explorer:Sicherheitswarnung
  • Es sollte nun der Hinweis erscheinen, dass der Import erfolgreich war Internet Explorer:Import erfolgreich
  • Kontrolle: Öffnen Sie nun im Menü unter Extras die Internetoptionen Internet Explorer:Internetoptionen öffnen
  • Kontrolle: Wechseln Sie dann auf das Register Inhalte und klicken Sie auf Zertifikate… Internet Explorer:Inhalte
  • Kontrolle: Wechseln Sie im Fenster Zertifikate auf das Register Vertrauenswürdige Stammzertifizierungsstellen Internet Explorer:Zertifikate
  • Kontrolle: Unter Vertrauenswürdige Stammzertifizierungsstellen sollte sich nun das gerade importiert Wurzelzertifikat wieder finden Internet Explorer:Vertrauenswürdige Stammzertifizierungsstellen