Dieser Abschnitt beschreibt, wie Sie die verschiedenen Fenster benutzen, die zu verschiedenen Zeiten vom Zertifikat-Manager angezeigt werden. Die hier gegebenen zusätzlichen Informationen erscheinen, wenn Sie den Hilfe-Button in einem der Fenster anklicken.
Die Zertifikat-Anzeige zeigt Informationen über ein Zertifikat an, das Sie in einem der Tabs des Zertifikats-Managers selektiert haben. Der Tab Allgemeines fasst Informationen darüber zusammen, wer das Zertifikat ausgegeben hat, seinen Verifizierungsstatus, wofür es benutzt werden kann usw. Der Tab Details bietet vollständige Einzelheiten über den Inhalt des Zertifikates.
Wenn Sie derzeit noch nicht die Zertifikat-Anzeige aufgerufen haben, folgen Sie diesen Schritten:
Wenn Sie zuerst die Zertifikat-Anzeige öffnen, zeigt der Tab Allgemeines verschiedene Informationen über das selektierte Zertifikat an:
Ausgestellt für; s. oben) über die Zertifizierungsstelle (CA) zusammen, die das Zertifikat ausgestellt hat.
Klicken Sie auf das Tab Details am Kopf der Zertifikat-Anzeige, um detaillierte Informationen über das gewählte Zertifikat zu sehen. Um Informationen zu irgendeinem Zertifikat im Zertifikats-Hierarchie-Bereich zu untersuchen, selektieren Sie dessen Namen, selektieren Sie das Feld unter Zertifikat-Layout, das Sie untersuchen möchten und lesen Sie den Inhalt des Feldes unter Feld-Wert:
Die Zertifikat-Anzeige zeigt, wann immer möglich, grundlegende ANSI-Typen in menschlich lesbarer Form an. Für Felder, dessen Inhalt der Zertifikat-Manager nicht interpretieren kann, zeigt er die aktuellen Werte, welche in dem Zertifikat enthalten sind.
Eine Sicherheitseinrichtung (manchmal als Token bezeichnet), ist eine Hardware- oder Software-Einrichtung, die kryptografische Dienste wie Ver- und Entschlüsslung bietet und Zertifikate und Schlüssel speichert. Das Fenster Sicherheitseinrichtungen wählen erscheint, wann immer der Zertifkats-Manager Hilfe bei der Entscheidung braucht, welche Sicherheitseinrichtung benutzt werden soll beim Import eines Zertifikats oder der Durchführung einer kryptografischen Operation wie der Erstellung von Schlüsseln für ein neues Zertifikat. Dieses Fenster erlaubt es Ihnen, eine von zwei oder mehreren Sicherheitseinrichtungen zu wählen, die der Zertifikat-Manager auf Ihrem Rechner entdeckt hat.
Eine Smart-Card ist ein Beispiel einer Sicherheitseinrichtung. Wenn z. B. in einem Smart-Card-Leser, der mit Ihrem Computer verbunden ist, eine Smart-Card eingesteckt ist, wird der Name der Smart-Card im DropDown-Menü erscheinen. In diesem Fall müssen Sie den Namen der Smart-Card aus dem Menü wählen, damit der Zertifikat-Manager weiss, dass Sie diese Karte benutzen wollen.
Der Zertifikat-Manager enthält außerdem seine eigene, eingebaute Sicherheitseinrichtung, die immer benutzt werden kann, gleichgültig, welche zusätzlichen Einrichtungen vorhanden sind oder nicht.
Zertifizierungsstellen (CAs), die gesonderte Zertifikate für Email-Signatur und -Verschlüsselung ausstellen, machen typischerweise Sicherungskopien Ihres privaten Verschlüsslungs-Keys während der Zertifkat-Eintragung.
Die Dialogbox Kopie des Verschlüsselungs-Keys erlaubt es Ihnen, der Erstellung einer solchen Sicherung zuzustimmen oder die Zertifizierungsanforderung abzubrechen. Eine Zertifizierungsstelle, die eine Sicherungskopie Ihres Verschlüsselungskeys archiviert hat, hat die potentielle Möglichkeit, jede Nachricht zu entschlüsseln, die mit Ihrem entsprechenden öffentlichen Schlüssel verschlüsselt wurde.
Aus der Dialogbox Kopie des Verschlüsselungskeys können Sie folgende Aktionen wählen:
Wenn Sie nicht sicher sind, ob Sie der CA vertrauen sollen, die eine Sicherungskopie angefordert hat, sprechen Sie mit Ihrem Systemadministrator.
Nachdem Ihre Zertifizierungsstelle eine Sicherungskopie des Verschlüsselungs-Keys gemacht hat, können Sie diesen Schlüssel zum Zugriff auf Ihre verschlüsselte Email benutzen, selbst wenn Sie Ihr Passwort oder Ihre eigene Kopie des Schlüssels verlieren. Wenn keine Sicherungskopie Ihres Verschlüsselungs-Keys existiert und Sie Ihr Passwort oder den Schlüssel verlieren, besteht keine Möglichkeit mehr für Sie, Email zu lesen, die mit diesem Schlüssel verschlüsselt wurden.
Wenn Sie ein Zertifikat erhalten, machen Sie eine Sicherungskopie des Zertifikates und dessen privaten Schlüssels und bewahren Sie die Kopie an einem sicheren Ort auf. Z. B. können Sie die Kopie auf einer Floppy speichern und mit anderen wertvollen Dingen hinter Schloß und Riegel weglegen. Auf diese Weise können Sie das Zertifikat leicht zurückholen, selbst wenn Sie Platten- oder Dateifehler-Probleme haben.
Es kann zumindest unangenehm sein und in manchen Situationen sogar eine Katastrophe bedeuten, wenn Sie Ihr Zertifikat und den dazugehörigen privaten Schlüssel verlieren, je nachdem wofür Sie es benutzen. Ein Beispiel:
Wie andere wertvolle Daten sollten Zertifikate gesichert werden, um zukünftig ärger und Kosten zu vermeiden. Tun Sie dies jetzt, damit Sie es nicht vergessen.
Einige Webseiten erfordern es, dass Sie sich mit einem Zertifikat anstelle von Name und Passwort identifizieren, weil Zertifikate eine verlässlichere Form der Identifikation bieten. Diese Methode, sich selbst über das Internet zu identifizieren, wird manchmal als Client-Authentifizierung bezeichnet.
Der Zertitikats-Manager kann jedoch mehr als ein Zertifikat für den Zweck gespeichert haben, Sie gegenüber einer Webseite zu identifizieren. In diesem Fall öffnet der Zertifikat-Manager die Dialogbox Benutzer-Identifikations-Anforderung, die zwei Arten von Information anzeigt:
Diese Seite erfordert Ihre Identifikation durch ein Zertifikat: Dieser Abschnitt der Dialogbox zeigt die folgende Information an:
Wählen Sie das zu benutzende Zertifikat: Die Zertifikate, die Sie für den Zweck zur Verfügung haben, Sie gegenüber einer Webseite zu identifizieren, werden in der Drop-Down-Liste in diesem Abschnitt der Dialogbox angezeigt. Wählen Sie das Zertifikat, das mit der größeren Wahrscheinlichkeit von der Webseite anerkannt wird, die Sie besuchen wollen.
Um Ihnen bei der Entscheidung zu helfen, werden die folgenden Details des gewählten Zertifikats angezeigt:
Die Zertifikate, die der Zertifikat-Manager entweder auf Ihrem Computer oder auf einer externen Sicherheitseinrichtung wie einer Smart-Card gespeichert hat, enthalten Zertifikate, die eine Zertifizierungssstelle (CA) identifizieren. Um andere Zertifikate zu erkennen, die er gespeichert hat, muss der Zertifikat-Manager Zertifikate für die Zertifizierungsstellen besitzen, die diese Zertitikate ausgestellt oder deren Ausstellung autorisiert haben.
Wenn Sie entscheiden, dass Sie einer Zertifizierungsstelle trauen, lädt der Zertifikat-Manager deren Zertifikat und kann dann die Art von Zertifikaten erkennen, für deren Ausstellung Sie dieser Zertifizierungsstelle vertrauen.
Bevor er ein neues Zertifikat einer Zertifizierungsstelle abruft, ermöglicht Ihnen der Zertifikat-Manger, die Zwecke anzugeben, für die Sie diesem Zertifikat vertrauen, wenn überhaupt. Sie können irgendwelche der folgenden Optionen wählen:
Bevor Sie entscheiden, einer neuen Zertifizierungsstelle zu vertrauen, stellen Sie sicher, das Sie wissen, wer diese Zertifizierungsstelle betreibt. Stellen Sie sicher, dass die Regelungen und Prozeduren dieser Zertifizierungsstelle geeignet sind für die Art der von ihr ausgegebenen Zertifikate. Z. B., wenn die Zertifizierungsstelle Zertifikate ausgibt, die Webseiten für finanzielle Transaktionen identifizieren, sollten Sie mit dem Maß an Sicherheit, dass diese Zertifizierungsstelle bietet, einverstanden sein.
Wenn Sie versuchen eine Webseite zu öffnen, welche SSL zur Authentifizierung und Verschlüsselung benutzt, erhalten Sie möglicherweise eine Fehlerseite. Es gibt 2 Arten von Fehlern, Sichere Verbindung fehlgeschlagen und Keine vertrauenswürdige Verbindung.
Sollten Sie das SSL-Protokoll deaktiviert haben (z.Bsp. über die SSL-Einstellungen) oder die Webseite welche Sie sich ansehn wollen nutzt eine ältere, unsichere Version des SSL-Protokolls wird Ihnen eine Seite mit dem Titel "Sichere Verbindung fehlgeschlagen". Auf der Seite werden Ihnen einige allgemeine Hintergrund-Informationen (z. Bsp. der Fehler-Code welcher eine eindeutige Kennung des Problems enthält, welches &brandShortName; auf dieser Webseite gefunden hat) sowie einer Schaltfläche Erneut versuchen welche ein neu laden der Webseite durchführt.
Wenn SSL aktiviert ist wird Ihnen eine Fehler-Seite mit dem Titel "Keine vertrauenswürdige Verbindung" angezeigt. Es gibt viele verschiedene Gründe, weshalb eine Verbindung nicht vertrauenswürdig ist. Hier eine Liste der am häufigsten vorkommenden Gründe:
Die Seite welche in den beschriebenen Fällen angezeigt wird ist dazu gedacht, Ihnen zu erklären, warum &brandShortName; keine sichere Verbindung mit der Webseite aufbaun konnte. Es wird Ihnen signalisiert, dass die Identität der Webseite nicht verifiziert werden konnte und bietet Ihnen die Möglichkeit, die Webseite zu verlassen, indem Sie auf die Schaltfläche Das klingt schlimm, stattdessen auf die Startseite gehen klicken. Wenn Sie sich nicht sicher sind, was Sie tun sollen wird empfohlen, dieser Anweisung zu folgen.
Wenn Sie etwas mehr über das aktuelle Problem wissen wollen, können Sie die Anzeige erweitern, indem Sie auf den Pfeil bei Techniche Details klicken. Dieser Abschnitt enthŒlt auch einen eindeutigen Fehler Code welcher das Problem enthält, welches &brandShortName; auf dieser Webseite gefunden hat.
Der Abschnitt Ich kenne das Risiko der Seite erlaubt es Ihnen &brandShortName; mitzuteilen, dass Sie die Sicherheits-Prüfungen dieser Webseite umgehen wollen. Wenn Sie diesen Abschnitt erweitern indem Sie auf den Pfeil klicken, sehen Sie eine Schaltfläche Ausnahme hinzufügen welche einen Dialog öffnet, in welchem Sie das Zertifikat der Seite ansehn können und optional eine Sicherheits-Ausnahme für diese Webseite einrichten können. Die Sicherheits-Ausnahmen können permanent oder für die aktuelle Sitzung konfiguriert werden. Diese Ausnahmen können im Zertifikat-Manager im Tab Servers administriert werden.
Im Falle daß &brandShortName; den Grund für das Problem nicht ermitteln kann,
wird ein Sichere Verbindung fehlgeschlagen
Dialog zusätzlich zur
Keine vertrauenswürdige Verbindung Seite
angezeigt. Der Dialog enthält eine Schaltfläche Zertifikat zeigen
welcher es Ihnen erlaubt, das Zertifikat der Seite genauer zu untersuchen.
Wie eine Kreditkarte, ein Führerschein und viele andere Formen der Identifikation ist ein Zertifikat nur für eine bestimmte Zeitperiode gültig. Wenn ein Zertifikat ausläuft, muss der Eigentümer des Zertifikats ein neues erhalten.
Der Zertifikat-Manager warnt Sie, wenn Sie eine Webseite aufsuchen, dessen Server-Zertifikat abgelaufen ist. Das erste, was Sie sicherstellen sollten, ist, das Datum und Zeit auf Ihrem Computer korrekt sind. Wenn die Uhr Ihres Computers auf eine Zeit nach dem Ablaufdatum gestellt ist, behandelt der Zertifkat-Manager das Zertifikat als abgelaufen.
Wenn Ihre Computeruhr korrekt gestellt ist, müssen Sie die Entscheidung treffen, ob Sie der Webseite vertrauen. Diese Entscheidung hängt davon ab, was Sie auf der Webseite tun wollen und was Sie sonst über diese Webseite wissen. Die meisten kommerziellen Seiten werden sicherstellen, das ihre Zertifikate vor dem Ablauf erneuert werden. Wenn Sie sich entscheiden fortzufahren, müssen Sie eine Sicherheits-Ausnahme einrichten.
Wie eine Kreditkarte, ein Führerschein und viele andere Formen der Identifikation ist ein Zertifikat nur für eine bestimmte Zeitperiode gültig.
&brandShortName; warnt Sie, wenn Sie versuchen eine Seite aufzurufen, dessen Zertifikats eine Gültigkeits-Dauer aufweist, welche noch nicht begonnen hat. Prüfen Sie als erstes, ob die Datums und Uhrzeit-Einstellungen Ihres Computers korrekt sind. Wenn diese falsch sind, interpretiert &brandShortName; möglicherweise das Zertifiakt als ungültig, obwohl dies eigentlich nicht der Fall ist.
Wenn Ihre Computeruhr korrekt gestellt ist, müssen Sie die Entscheidung treffen, ob Sie der Seite vertrauen. Diese Entscheidung hängt davon ab, was Sie auf der Seite tun wollen und was Sie sonst über diese Seite wissen. Die meisten kommerziellen Seiten werden sicherstellen, das die Gültigkeitsperiode für ihre Zertifikate begonnen hat, bevor sie verwendet werden. Wenn Sie sich entscheiden fortzufahren, müssen Sie eine Sicherheits-Ausnahme einrichten.
Ein Server-Zertifikat spezifiziert den Namen des Servers in der Form seines Domain-Namens. So ist z. B. der Domain-Name für die Mozilla-Webseite www.mozilla.org. Wenn der Domain-Name in einem Server-Zertifikat nicht dem aktuellen Domain-Namen der Webseite entspricht, kann dies ein Zeichen dafür sein, das irgendjemand versucht, Ihre Kommunikation mit der Webseite abzuhören.
&brandShortName; warnt Sie, wenn Sie versuchen eine Webseite aufzurufen, dessen Zertifikat für eine andere Domain ausgestellt wurde. Die Entscheidung, ob Sie der Webseite trotzdem vertrauen, hängt davon ab, was Sie auf der Webseite machen wollen und was Sie über die Webseite wissen. Die meisten kommerziellen Webseiten achten darauf, daß das Zertifikat auf die korrekte Adresse ausgestellt ist. Wenn Sie sich entscheiden fortzufahren, müssen Sie eine Sicherheits-Ausnahme einrichten.
Wenn Sie entscheiden, das Zertifikat trotzdem zu aktzeptieren (für diese Sitzung oder permanet), sollten Sie vorsichtig sein bei Ihren Aktionen auf dieser Webseite und jede Information als möglicherweise suspekt behandeln.