Zum Inhalt

Manueller Weg zur Beantragung von Personen-Zertifikaten

Diese Seite beschreibt den aktuellen (übergangs-)Weg zur Beantragung von Zertifikaten zum Signieren von Dokumenten sowie dem Signieren und Entschlüsseln von E-Mails.

Die eigentliche Zertifikats-Erstellung nutzt das GÉANT TCS Projekt, die wiederum auf Sectigo als Dienstleister zurückgreifen.

Bitte unbedingt beachten!

Falls Sie den Prozess lieber explorativ durchlaufen, statt diese Anleitung durchzuarbeiten, beachten Sie bitte trotzdem unbedingt diesen Hinweis.

Zertifikat beantragen

Im SCC Ticketsystem gibt es ein passendes Musterticket names Zertifikat: Neues Personenzertifikat erstellen / Request new personal certificate. Bitte füllen Sie dort alle gefragten Felder aus.

Den Sectigo-Prozess korrekt durchlaufen

Sobald wir ihren Antrag beim aktuellen CA-Dienstleister (Sectigo) eingegeben haben, bekommen Sie von dort eine E-Mail (aktuell vom Absender Sectigo Certificate Manager <support@cert-manager.com>).

Diese E-Mail sieht so aus:

E-Mail-Validierung (nur manchmal nötig)

Systemvoraussetzungen

Der hier beschriebene Prozess funktioniert nur zuverlässig auf Desktop-Betriebssystemen mit einem modernen Webbrowser, der uneingeschränkt Javascript ausführen kann.

Warning

Der Link von Sectigo funktioniert nur genau ein Mal. Öffnen Sie ihn also nur auf dem Gerät, auf dem Sie das Zertifikat auch tatsächlich Erzeugen und Speichern wollen.

Wenn Sie dem Link in der E-Mail folgen, werden so unter bestimmten Umständen aufgefordert ihre E-Mail-Adresse zu validieren. Falls das bei Ihnen nicht der Fall ist, können Sie diesen Absatz einfach überspringen:

Geben Sie in diesem Fall die exakte Empfänger-E-Mail-Adresse aus der initialen E-Mail von Sectigo ein:

Nach dem Absenden bekommen sie eine zweite E-Mail mit dem korrekten Beantragungs-Link:

Formular zum Zertifikats-Beantragung öffnen

Öffnen Sie den Link in der neuesten E-Mail von Sectigo. Sie landen dann auf einer solchen Webseite:

Zertifikat beantragen

Ändern Sie bitte keine Einstellungen auf dieser Seite (die meisten Änderungen haben hier sowieso keinen Effekt). Akzeptieren Sie den Endbenutzer-Lizenzvertrag (EULA; leider nur auf Englisch verfügbar) und drücken Sie den Submit-Knopf.

Ihr neues Zertifikat wird jetzt generiert.

Bitte nicht unterbrechen!

Warten Sie bitte bis der Prozess beendet ist. Das kann bei hoher Last durchaus zehn Minuten dauern. Leider gibt es keine Anzeige des Prozess-Fortschritts oder andere „Lebenszeichen“. Bitte die Seite weder schließen noch neu laden. Beides sorgt für einen Abbruch des Beantragungsprozesses. Sie müssen dann nochmal ganz von vorne beginnen.

Falls hier Probleme (beispielsweise Timeouts) auftreten, müssen Sie den Prozess von vorne beginnen. Falls hier dauerhaft Probleme auftreten schicken Sie uns bitte eine genaue Problembeschreibung per E-Mail.

Fertiges Zertifikat herunterladen

Nach erfolgreicher Zertifikats-Erstellung werden Sie auf diese Seite weitergeleitet.

Unbedingt beachten

Das vorausgewählte Secure AES256-SHA256 erzeugt auf fast allen verbreiteten Plattformen wie Windows sowie Apple-Systeme Probleme. Stellen Sie hier auf jeden Fall Compatible TripleDES-SHA1 ein!

Hier finden Sie eine Anleitung zum Reparieren falsch gespeicherte Zertifikats-Dateien.

Falls das für sie keine Option ist, müssen Sie ein neues Zertifikat beantragen.

Ändern Sie Secure AES256-SHA256:

auf Compatible TripleDES-SHA1:

Wählen Sie ein sicheres Passwort (Sie können diesen Dienst dafür benutzen) zum Verschlüsseln ihres neuen Schlüssels und Zertifikats. Der Download-Knopf starten den Download des neuen Zertifikats.

Sie können diese Seite schliessen, nachdem Sie sichergestellt haben, dass ihr neues Zertifikat korrekt heruntergeladen wurde.

Neues Zertifikat einbinden

Die eben heruntergeladene PKCS12-Datei kann normalerweise durch Doppelklick (Windows, macOS) oder explizites Importieren in der entsprechenden Anwendung (Thunderbird) importiert werden.

Backup erstellen

Machen Sie spätestens jetzt eine Sicherungskopie. Sie brauchen bis zum Ende ihres (Dienst-)Verhältnisses mit dem KIT jedes Schlüssel/Zertifikats-Paar (in der Regel ist das die .p12-Datei), für das Sie jemals verschlüsselte E-Mails empfangen haben.

Sichern Sie sowohl die Zertifikatsdatei als auch das Passwort so, dass sie beides in vielen Jahren noch sicher wiederfinden und lesen können. Aus Sicherheitsgründen empfielt es sich, beides getrennt voneinander zu sichern.

🚧 Work in Progress

Dieser Abschnitt ist leider noch etwas rudimentär & unvollständig.

E-Mail-Client einrichten

Aktuell haben wir nur eine Anleitung für Outlook in Windows.