Johann Heinrich von Thuenen-Institut Logo

Internet-Dienste des Thünen-Instituts über sichere Verbindungen: Installation des FAL-Stammzertifikats

Vorbemerkung

Das hier beschriebene "FAL-Stammzertifikat" gilt bis auf weiteres für das gesamte Thünen-Institut. Es wird allen Nutzern zur Installation empfohlen.

1. Aufgabe und Sinn des "FAL-Stammzertifikats"

Einzelne Internetdienste des Thünen-Instituts können aus Sicherheitsgründen nur über verschlüsselte Verbindungen (https/SSL/TLS) genutzt werden.

Hierzu gehören u.a. der Webmail-Dienst und das Intranet-Angebot THÜNEN-INTERN. Seit 2009 können auch zu den Mailservern des Thünen-Instituts verschlüsselte Verbindungen (SSL, TLS) aufgebaut werden. (Weitere Infos hierzu in der IT.)

Jeder Server hat ein eigenes Sicherheitszertifikat und alle werden in der Regel einmal jährlich ersetzt.

Damit Sie nicht bei jedem Server und bei jeder Änderung auf Ihrem PC die neuen Zertifikate einzeln akzeptieren müssen, empfehlen wir Ihnen, auf ihrem Windows-PC und in Ihren Browsern, mit denen Sie häufiger Internet-Dienste des Thünen-Instituts nutzen (sei es im Büro, zuhause oder woanders), einmalig das FAL-Stammzertifikat (genauer: Stammsicherheitszertifikat) zu installieren. Damit erkennt der Browser dann zukünftig alle von der IT autorisierten Server mit verschlüsselten Verbindungen (https/SSL) automatisch, ohne Sie einzeln zu fragen.

Es stellt kein Sicherheitsproblem dar, wenn Sie das Stammzertifikat auf Browsern oder Rechnern im Internet installieren und belassen, die auch von fremden Personen genutzt werden.

2. Installation des FAL-Stammzertifikats auf Ihrem PC und in Ihren Browsern

2.1 Installation des Zertifikats auf Windows-PCs mit dem Internet-Explorer

Für das Zertifikat klicken Sie im Internet-Explorer auf diesen Link. Es erscheint ein Download-Dialog. Dort gehen Sie auf Öffnen (nicht Speichern!). Es kann ein Sicherheitshinweis folgen, welcher mit Zulassen bestätigt werden muss. Dann wählen Sie Zertifikat Installieren, klicken danach im Begrüßungsfenster (Willkommen) auf weiter. Im folgenden Fenster (Zertifikatspeicher) akzeptieren Sie nicht die vorgeschlagene Option (Zertifikatspeicher automatisch auswählen), sondern wählen die zweite Option Alle Zertifikate im folgenden Speicher speichern und mit Durchsuchen den Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen. Bestätigen Sie mit OK, klicken Sie auf weiter und auch im Fenster Fertigstellung auf weiter bzw. Fertig stellen. Die abschließende Sicherheitswarnung akzeptieren Sie mit Ja.

2.2 Installation des Zertifikats in Firefox und Mozilla

(Die Browser bieten beim Aufruf von verschlüsselten Web-Angeboten (wie z.B. für webmail.ti.bund.de und inside.ti.bund.de) die unsicherere Variante an, im anfänglichen Sicherheitsdialog das ungeprüfte Zertifikat des Servers permanent zu akzeptieren. Wir empfehlen stattdessen die Installation des FAL-Stammzertifikats!)

Für das Zertifikat klicken Sie auf folgenden Link.

Man aktiviere die Option Dieser CA vertrauen, um Webseiten zu identifizieren und klicke auf OK.

2.3 Installation des Zertifikats in Thunderbird

(Thunderbird bietet bei der Verbindungsaufnahme mit verschlüsselten Mail-Diensten (z.B. für IMAP und SMTP) an, das ungeprüfte Zertifikat des Servers permanent zu akzeptieren. Wir empfehlen stattdessen die Installation des FAL-Stammzertifikats!)

Zur Installation in Thunderbird müssen Sie sich das Stammzertifikat zunächst auf Ihren Rechner herunterladen (mit der rechten Maustaste), z.B. auf den Desktop.

Wählen Sie danach in Thunderbird unter Extras → Einstellungen das Fenster Erweitert und dort den Reiter Zertifikate aus. Klicken Sie auf Zertifikate und es öffnet sich der Zertifikat-Manager. Darin wählen Sie den Reiter Zertifizierungsstellen und klicken dann unten auf Importieren. Wählen Sie die oben herunter geladene Datei aus. Aktivieren Sie die Option Dieser CA vertrauen, um Websites zu identifizieren und schließen Sie die Installation mit OK ab. Die zuvor herunter geladene Datei können Sie nun wieder löschen.

Sollte in Thunderbird die Installation des Stammzertifikats mit dem Hinweis "Das Zertifikat ist bereits installiert" abgelehnt werden, obwohl Thunderbird offensichtlich nicht mit neuen FAL-Zertifikaten zurecht kommt, sollten vorsichtshalber zunächst alle Zertifikate für "Bundesforschungsanstalt für Landwirtschaft" bzw. "FAL" im Zertifikat-Manager (siehe oben) gelöscht werden und dann das Stammzertifikat neu (unter Zertifizierungsstellen, siehe vorheriger Absatz) installiert werden.

3. Weitere Informationen

Diese Anleitung ist sehr knapp gehalten. Für weitere Informationen wenden Sie sich am besten an die IT (Herr Bolz).

Johann Heinrich von Thünen-Institut

Martin Bolz
Martin Kraft

Stand 14. Dezember 2012