Hauptinhalt
Topinformationen
Persönliche Zertifikate in Browsern verwenden (Authentifizieren mit Zertifikaten)
Persönliche Zertifikate lassen sich zur Authentifizierung von Personen nutzen, um zum Beispiel Zugriff auf ausgewählte Web-Anwendungen wie etwa die SAP-Web-GUI zu gewähren. Dazu muss das persönliche Zertifikat in dem verwendeten Browser vorliegen.
Die folgenden Anleitungen beschreiben für die am häufigsten genutzten Browser den Import des persönlichen Zertifikats der fiktiven Universitätsmitarbeiterin Martha Muster und zeigen ein Anwendungsbeispiel einer Brower-Authentifizierung.
- Google Chrome, Microsoft Edge - Persönliches Zertifikat importieren (Windows)
- Safari - Persönliches Zertifikat importieren (Mac)
- Firefox - Persönliches Zertifikat importieren (Ubuntu)
- Anwendungsbeispiel einer Browser-Authentifizierung
- Bekannte Probleme
Google Chrome, Microsoft Edge - Persönliches Zertifikat importieren (Windows)
Der folgende Abschnitt beschreibt am Beispiel der fiktiven Benutzerin Martha Muster den Import eines persönlichen Zertifikats in den Zertifikatsspeicher von Windows. Die Browser Google Chrome und Microsoft Edge haben Zugriff auf diesen Speicher.
Hinweis: Wer unter Windows mit dem Firefox-Browser arbeiten möchte, muss beachten, dass Firefox standardmäßig keinen Zugriff auf den Windows-Zertifikatsspeichers hat.
Deshalb müssen persönliche Zertifikate manuell in den Firefox-Browser importiert werden (siehe: Firefox - Persönliches Zertifikat importieren (Ubuntu).
Alternativ kann unter Firefox die Option security.enterprise_roots.enabled auf true gesetzt werden. Mit dieser Einstellung ist der Firefox-Browser in der Lage, auf den Zertifikatsspeicher von Windows zuzugreifen und ein manueller Zertifikatsimport wird überflüssig.
Martha Muster hat einen Antrag auf ein persönliches Zertifikat gestellt und ist im Besitz ihrer heruntergeladenen Zertifikatsdatei. Sie nutzt den Windows Explorer (Windows-Kontext-Menü --> Explorer), um Zugriff auf die Datei zu erhalten.
Martha Musters Zertifikatsdatei PN_Martha_Muster_2019-08-29.p12 liegt im Ordner Downloads. Durch einen Doppelklick auf die Datei wird der Importvorgang gestartet.
Im Zertifikatimport-Assistenten wird die Option Aktueller Benutzer ausgewählt und mit Weiter bestätigt.
Im Eingabefeld Dateiname wird die zu importierende Zertifikatsdatei (hier: PN_Martha_Muster_2019-08-29.p12) angezeigt. Über Weiter startet das nächste Dialogfenster.
Das Eingabefeld Kennwort erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei (siehe: Persönliches Zertifikat abholen) vergeben wurde. Es empfiehlt sich, die Optionsfelder "Schlüssel als exportierbar markieren ..." und "Alle erweiterten Eigenschaften mit einbeziehen" auszuwählen, für den Fall, dass das persönliche Zertifikat später aus dem Browser exportiert werden soll. Abschließend wird die Schaltfläche Weiter ausgewählt.
Im nächsten Schritt des Zertifikatimport-Assistenten wird die Option "Zertifikatspeicher automatisch auswählen... " gesetzt und mit Weiter bestätigt.
Der "Zertifikatimport-Assistent" zeigt eine Zusammenstellung der getroffenen Einstellungen an. Der Import des persönlichen Zertifikats wird über Fertig stellen ausgeführt.
Das letzte Bild des Zertifikatimport-Assistenten bestätigt den erfolgreichen Importvorgang und wird mit OK geschlossen.
Safari - Persönliches Zertifikat importieren (Mac)
Der folgende Abschnitt beschreibt den Import des persönlichen Zertifikats, in den Schlüsselbund eines Apple-Mac Gerätes. Martha Musters Zertifikatsdatei PN_Martha_Muster_2019-08-29.p12 liegt im Verzeichnis Downloads des Finders. Durch einen Doppelklick auf die Datei startet der Importvorgang.
Im Dialogfeld Zertifikate hinzufügen ist der Ablageort des persönlichen Zertifikats innerhalb des Schlüsselbundes auszuwählen. Aus den drei Optionen (Lokale Objekte, Anmeldung und System) ist die Option Anmeldung die richtige, da Martha Muster ihr Zertifikat für die Anmeldung an der Webschnittstelle SAP-Web-GUI nutzen möchte. Die getroffene Einstellung wird über die Schaltfläche Hinzufügen bestätigt.
Das Eingabefeld Passwort erwartet das Passwort, das beim Herunterladen der Zertifikatsdatei (siehe: Persönliches Zertifikat abholen) vergeben wurde. Die Eingabe wird mit OK bestätigt.
Über die Schlüsselbundverwaltung (Finder --> Programme --> Dienstprogramme --> Schlüsselbundverwaltung) kann jetzt kontrolliert werden, ob das Zertifikat im Standardschlüsselbund Anmeldung auf der Karteikarte Meine Zertifikate vorhanden ist.
Firefox - Persönliches Zertifikat importieren (Ubuntu)
Der folgende Abschnitt beschreibt den Import des persönlichen Zertifikats in den Firefox-Browser (hier: Version 92.0) unter dem Betriebssystem Ubuntu (hier: Version 20.04.03). Dazu wird im ersten Schritt der Firefox-Browser gestartet. Aus dem Anwendungsmenü wird der Top Einstellungen selektiert.
Aus dem linken Fensterbereich wird die Kategorie Datenschutz & Sicherheit ausgewählt. Im rechten Fensterbereich muss bis zum Punkt Zertifikate gescrollt werden. Dort ist die Schaltfläche Zertifikate anzeigen ... zu selektieren.
In der Zertifikatverwaltung wird auf die Karteikarte Ihre Zertifikate gewechselt. Momentan ist die Liste leer, da bislang keine persönlichen Zertifikate importiert wurden. Jetzt wird die Schaltfläche Importieren ausgewählt.
Im linken Fenster wird der Ablageort der Zertifikatsdatei (hier: Downloads) bestimmt und im rechten Fensterbereich wird die Zertifikatsdatei (hier: PN_Martha_Muster_2019-08-29.p12) ausgewählt. Über die Schaltfläche Öffnen startet der Importdialog.
Das Eingabefeld Passwort erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei (siehe: Persönliches Zertifikat abholen) vergeben wurde.
In der Zertifikatverwaltung wird das importierte persönliche Zertifikat nun auf der Karteikarte Ihre Zertifikate angezeigt. Mit OK wird die Zertifikatverwaltung geschlossen.
Anwendungsbeispiel einer Authentifizierung im Browser
Das importierte Zertifikat kann nun im Browser verwendet werden. Sobald eine Website geöffnet wird, die eine Identifizierung durch ein persönliches Zertifikat verlangt, muss, wie auf dem folgenden Bild gezeigt, das Zertifikat (hier: Martha Muster ...) für die Identifikation ausgewählt werden. Die Einstellungen sind mit OK zu bestätigen.
Probleme und Lösungen
Authentifizierung an der WebGUI von SAP schlägt unter Firefox fehl
Wenn die Authentifizierung an der WebGUI von SAP fehlschlägt, kann es sein, dass das verwendete persönliche Zertifikat (maximal 2 Jahre gültig) abgelaufen ist. Dann stuft der Browser das Zertifikat als nicht vertrauenswürdig ein und verweigert die Authentifizierung. Beim Versuch, sich mit dem Firefox-Browser an der WebGUI von SAP anzumelden, erscheint dann die folgende Fehlermeldung:
Ist dies der Fall, sollte zunächst der Gültigkeitszeitraum des persönlichen Zertifikats überprüft werden. Dazu wird im Firefox-Browser aus dem 3-Balken-Menü der Menüpunkt Einstellungen ausgewählt. Dort ist der Punkt Datenschutz & Sicherheit zu selektieren. Am Ende der Seite, unterhalb der Kategorie Zertifikate wird die Schaltfläche Zertifikate anzeigen ... angeklickt.
Die Zertifikatverwaltung startet. In der Registerleiste Ihre Zertifikate werden jetzt die vorhandenen persönlichen Zertifikate aufgelistet. Im Beispiel wird das persönliche Zertifikat der fiktiven Universitätsangestellten Martha Muster angezeigt, das bis zum 28. August 2022 gültig war. Es ist abgelaufen und kann nicht mehr für die Anmeldung an der WebGUI von SAP benutzt werden. Martha Muster muss ein neues persönliches Zertifikat beantragen. Anschließend muss sie dieses wie unter Firefox - Persönliches Zertifikat importieren (Ubuntu) beschrieben, importieren.
Hinweis: Alle Browser überprüfen die Gültigkeit von Zertifikaten. Läuft ein persönliches Zertifikat ab, wird auch in anderen Browsern, wie etwa Chrome oder Safari, die Anmeldung an der SAP WebGUI scheitern. Auch dann muss, wie in den Texten auf dieser Webseite beschrieben, ein neues Zertifikat beantragt und importiert werden.
Zusätzlich muss auf der Karteikarte Authentifizierungs-Entscheidungen geprüft werden, ob in der Spalte Zertifikatsname "Kein Client-Zertifikat senden" steht. Ist dies der Fall, muss der Eintrag markiert und über die Schaltfläche Löschen gelöscht werden.
Beim nächsten Aufruf der WebGUI von SAP muss Martha Muster ihr neues persönliches Zertifikat im Listenfeld des Dialogfensters der Benutzer-Identifikationsanfrage auswählen. Durch die Auswahl des Optionsfeldes "Diese Entscheidung merken" legt sie das neue Zertifikat als Standardzertifikat für ihre Authentifizierung fest. Mit OK startet der Authentifizierungsprozess wie gewohnt und die WebGUI von SAP lässt sich nun wieder erreichen.