Ein Nachtrag zu PDFs digital signieren – eine Anleitung, den ich der Übersichtlichkeit halber in einem eigenen Thread veröffentliche.

Eine anwendungsspezifische Version von Murphy’s Law für Testberichte lautet: Die eine Angabe, die man von dritter Seite aus Zeitgründen ungeprüft übernimmt, ist die eine, die falsch ist.

So erging es mir im Kapitel 3. Kauf eines D-Trust-Personenzertifikats mit folgender Angabe zum Erstellen von Certificate Signing Requests, wie man sie für die Zertifikatbestellung bei PSW benötigt:Der letzte Satz schien mir aus mehreren Gründen plausibel, ist aber falsch.

Ganz im Gegenteil vereinfacht der Zertifikatsassistent der Schlüsselbundverwaltung das Prozedere erheblich und führt so dazu, dass die Bestellung bei PSW nun ganz klar das Verfahren der Wahl ist, weil die Bestellung gegenüber einer Bestellung bei D-TRUST selbst somit nur noch Vorteile aufweist (höhere Sicherheit durch lokale Schlüsselerstellung, komfortabel durch den Zertifikatsassistent der Schlüsselbundverwaltung, Bearbeitungszeit ein Tag statt viele Wochen, preiswerter).


Die folgenden Passsagen der Anleitung müssen entsprechend ersetzt werden:

3b. Bestellung bei PSW
Der Text vonbis zu (ausschließlich)wird ersetzt durch:

In der Schlüsselbundverwaltung stellt man zunächst sicher, dass der Schlüsselbund Anmeldung ausgewählt ist, denn dort soll am Schluss das Zertifikat gespeichert werden.

Dann öffnet man den Zertifikatsassistenten, der für das Bestellen eines Zertifikats bei einer externen Zertifizierungsinstanz wie PSW gedacht ist:

(Die macOS-Lokalisierung ist hier nicht ganz korrekt, was zu Verwirrung führen kann; der Menüpunkt müsste Zertifikat von einer Zertifizierungsinstanz anfordern … heißen.)

In dem sich öffnenden Assistenten-Fenster trägt man die Email-Adresse ein, die mit dem Zertifikat verbunden sein soll, und seinen vollständigen Namen genau so, wie er im Personalausweis steht. Außerdem wählt man Auf der Festplatte sichern:


Den Antrag sichert man an einem beliebigen Ort auf der Festplatte, wobei man den generischen, voreingestellten Namen CertificateSigningRequest.certSigningRequest der Übersichtlichkeit halber durch einen spezifischen wie MaxMustermann.certSigningRequest ersetzen sollte:


Das war’s schon mit dem Assistenten; man kann ihn nun verlassen, wobei es praktisch ist, zuvor noch ein Finder-Fenster mit der Antragsdatei zu öffnen:


Denn diese Antragsdatei MaxMustermann.certSigningRequest (die eine reine Textdatei ist) öffnet man nun mit Rechtsklick oder Control-Klick in TextEdit und kopiert den Inhalt:


Wo es in der Anleitung später heißt, man müsse als CSR den in MaxMustermann.csr gespeicherten Textblock eintragen, ist nun entsprechend der kopierte Text aus MaxMustermann.certSigningRequest zu verwenden.

Das Ende des Kapitels, das sich mit dem „Zusammenbau“ der von PSW gelieferten Zertifkatsdaten befasst, vonbis zum Kapitelschluss kann man komplett ignorieren, da durch die Erstellung des Certificate Signing Requests durch die Schlüsselbundverwaltung diese nun sehr wohl direkt mit den von PSW gelieferten Daten umgehen kann.

Im Hintergrund und völlig unbemerkt hat sie nämlich beim Sichern des Certificate Signing Requests auch automatisch das erzeugte private und öffentliche Schlüsselpaar im aktiven Schlüsselbund, also Anmeldung, gesichert:


Nicht nur das Ende von diesem Kapitel, sondern auch den ganzen Anfang des nächsten (4. Zertifikat-Installation auf macOS) erspart man sich daher. Zwei simple Doppelklicks auf die von PSW in einem ZIP-Archiv gelieferten Dateien max.mustermann@domain.tld.cer und PID_intermediate (2).cer reichen, um die Installation automatisch abzuschließen:

Der private Schlüssel ist nun mit dem aus dem öffentlichen Schlüssel (den man daher löschen kann) erstellten Zertifikat verbunden. (In der Ansicht Meine Zertifikate ist die Anordnung von privatem Schlüssel und Zertifikat umgedreht; das ist aber nur eine andere Form der Darstellung für denselben Sachverhalt.)

Nur wenn man Zertifikat und privaten Schlüssel noch auf anderen Macs oder iOS-Geräten benötigt, braucht man zum Transport eine .p12-Datei, die sich in der Schlüsselbundverwaltung mit Ablage → Objekte exportieren … erstellen lässt.

Hab es mir durchgelesen und bleibe bei: Ausdrucken, unterschreiben, einscannen.
Die Bürokratie will ja ohnehin, dass ich eine Papierakte anlege, da kann ich mir das Zertifikategefrickel auch locker sparen.

Will sie nicht. Ich habe schon seit 11 Jahren keine einzige Papierakte (und mittlerweile auch keinen Drucker) mehr …

Und Ökologie scheint Dir egal zu sein.

Der Beitrag war als ergänzende Info gedacht für diejenigen, die dieses Verfahren benutzen wollen, und nicht als Nörgelgelegenheit für diejenigen, die das ablehnen, ohne es auch nur einmal ausprobiert zu haben. Auch hier gilt wie für den Rest: das geht alles viel schneller von der Hand, als die sehr ausführliche Beschreibung vermuten lassen mag; schneller als Ausdrucken und dann wieder Einscannen bei jedem einzelnen Dokument ist es allemal – um ein Vielfaches! Denn schließlich ist das Bestellen des Zertifikats ein einmaliger Vorgang; danach ist jede Unterschrift lediglich ein paar Routine-Mausklicks und fälschungssicherer ist sie zudem. Und ganz nebenbei kannst Du dann auch Deine E-Mails verschlüsseln, was heute selbstverständlich sein sollte – aber Du bleibst vermutlich auch dabei, wichtige Dokumente mit der Briefpost zu verschicken. 🙄

Gerade die Erstellung der Zertifikate vom CSR-Generator bis zur .p12-Datei war der komplizierte Teil der Prozedur. Normalerweise hätte ich nun mit Ablauf des Zertifikats vor der Frage gestanden: "Wie ging das noch?" Danke, Weia, für die Beschreibung.
Die digitale Signatur von Dokumenten habe ich bereits häufig genutzt; allerdings mache ich mir keine Illusionen, dass ich bald keine Papierakten mehr habe.

Will sie. Zumindest in (Bundes)behörden. Und da bin ich an Vorgaben gebunden, das hat mit meinen ökologischen Vorlieben wenig zu tun.
Bei uns gilt:
Das papierlose Büro kommt so sicher wie das papierlose Klo.
(Da kann ich auch sicher stundenlang drüber debattieren - aber das wäre Zeitverschwendung, da es weit außerhalb meines Einflussbereiches liegt.)

Digitalisierung in Deutschland und so. Das EGovG ist ein ambitionierter Traum, mehr leider nicht.


Und ob der von dir beschriebene Weg von jedem verstanden wird, wage ich zu bezweifeln.
(Wir haben Kollegen, die wissen nicht, an welchem Ende man eine Maus anfasst...)
Es gab hier mal entsprechende Versuche, die wurden aber wieder aufgegeben.

Wenn ich Dich recht verstehe, arbeitest Du in einer solchen Bundesbehörde. So Du den dortigen Status quo korrekt beschreibst, finde ich den zwar skandalös, aber es überrascht mich nicht wirklich.

Ich bezog mich bei dem Behördenwillen allerdings nicht auf das interne Handeln, sondern auf externe Vorgaben gegenüber den Bürgern. Und da mache zumindest ich seit geraumer Zeit die Erfahrung, dass Behörden aller Art (Finanzamt vornedran, aber auch Gerichte und öffentliche Verwaltungen) meine Papierlosigkeit stets klaglos akzeptierten (Disclaimer: Ich habe in diesem Zeitraum weder eine Immobilie ge-/verkauft noch war ich im Gefängnis.)
Digitalisierung sind aber nicht immer die anderen. Wenn Du in einer solchen Behörde arbeitest und die „Gebundenheit an Vorgaben“ klaglos hinnimmst, dann ist das genau jene defätistische Grundhaltung, die dazu führt, dass sich dort nie etwas ändert.

Himmelherrgottnochmal, Digitalisierung hängt von uns allen ab und nicht nur von irgendeiner ominösen Instanz über uns. Deswegen mache ich mir doch die Arbeit und schreibe solche Beiträge, um meinen Teil dazu beizutragen, dass es vorangeht.

Dass mich dann Reaktionen à la Ist doch alles viel zu kompliziert! und Es ändert sich doch eh nix nicht gerade zu Freudenschreien animieren, dürfte auch klar sein.
Mein Beitrag in einem Technikforum adressiert aber offenkundig auch keine Menschen, die nicht wissen, an welchem Ende man eine Maus anfasst. 🙄 1995 hatten auch nicht alle einen Internetanschluss …

Vielen Dank für den Nachtrag!

Ich habe mir den ganzen Artikel durchgelesen und jetzt auch noch den entsprechenden Nachtrag. Danke Weia für deine wertvollen Beiträge; ich schätze dein Engagement und deine differenzierte und fundierte Kommunikation. Davon wünschte ich mir mehr im Netz. Ein Merci von meiner Seite! Gruss beo

Ich kann mich "beo" nur anschließen.

...und ergänzen, daß ich mittlerweile ein D-TRUST Zertifikat habe (es hat keineswegs ewig gedauert) und seitdem jedes PDF digital unterschreibe, das nicht bei "drei" auf den Bäumen ist. ) Es ist wirklich stocksimpel!

Tja, das papierlose Klo ist in vielen Ländern lange Realität. Dem papierlosen Büro steht also nichts im Wege.

Ich sag nur "three sea shells" - mal sehen wie viel das erkennen......

Durch die digitale / elektronische Unterschrift habe ich meinen Papierbedarf von 500 Blatt im Quartal auf nahezu 20 gesenkt. Kunden freuen sich, da diese auch Unterlagen einfacher elektronisch ablegen können.

Toll! Danke!

Wie erbärmlich das in Deutschland um die Digitalisierung steht, sehe ich aktuell gerade, welcher bürokratischer Papierapparat in Deutschland bei dem Umgang mit ukrainischen Flüchtlingen herrscht. Ein absoluter Wahnsinn!

Dagegen die Urainer: von der Geburtsurkunde bis zu den aktuellen Dokumenten: alles in einer sicheren App verwaltet und kann bei Bedarf vom Handy abgerufen werden.... Da ist unser "fortschrittliches" Deutschland eher ein Armenhaus.

Ein weiteres Beispiel gefällig? Ich sage nur Grundsteuererklärung. Die muss nämlich nur von jedem Grundstücksbesitzer in dieser Ausführlichkeit gemacht werden, weil die Bundes-IT-Mannschaft unfähig ist, Schnittstellen zwischen IT-Systemen unterschiedlicher Behörden zu programmieren.... aber wen wundert das - bei der Bezahlung haben die bestimmt Spitzenkräfte an Bord...

Da geht es doch sicher nicht um Schnittstellen, sondern um den heiligen Datenschutz. Das wäre doch der gläserne Bürger, wenn Behörden auf die Daten anderer Behörden zugreifen könnten! Am Ende könnten Gerichte dann sogar noch beim Finanzamt nachfragen, wenn es um die Höhe der Tagessätze geht - das wird die FDP sicher auf ewig zu verhindern wissen, denn bisher ist es wohl so, daß die Gerichte bei Menschen mit überdurchschnittlichem Einkommen, also irgendwie die FDP-Klientel, mehr oder weniger minimale Tagessätze zugrunde legen, weil Nachforschungen aufwändig sind.

Föderalismus ist das Zauberwort.
Sowohl beim Datenschutz als auch bei Software strickt jedes Bundesland an einer eigenen Lösung (und der Bund sowieso).
Und dann wird festgestellt, dass die Daten ums Verrecken nicht kompatibel sind und auch keine Konvertierung möglich ist.
Ausnahme: kleine Länder kaufen auch ab und zu mal vorhandene Produkte anderer Länder. Allerdings lassen sie diese nach eigenen Vorstellungen anpassen und schon hakt es auch damit.
Es ist übel - aber mit Verstand ist politischem Willen nicht beizukommen.