Zum Inhalt

Manueller Weg zur Beantragung von Personen- und Funktionszertifikaten

Diese Seite beschreibt den aktuellen (übergangs-)Weg zur Beantragung von Zertifikaten zum Signieren und Entschlüsseln von E-Mails.

Die eigentliche Zertifikats-Erstellung nutzt das GÉANT TCS Projekt, die wiederum auf Sectigo als Dienstleister zurückgreifen.

Zertifikat beantragen

Loggen Sie sich im CA-Portal mit dem Account ein, für dessen E-Mail-Adressen Sie ein Zertifikat haben wollen. Nutzen Sie gegebenenfalls den privaten Modus ihres Browsers, wenn Sie bereits mit einem anderen Account eingeloggt sind.

Zertifikatstyp wählen

Personenzertifikate sind an eine natürliche Person gebunden und werden nur für die E-Mail-Adressen des dazugehörenden KIT-Accounts ausgestellt. Vor dem Beantragen muss gemäß Policy eine persönliche Identifizierung stattfinden. Diese ist aktuell zehn Jahre gültig. Man erkennt Personenzertifikate daran, dass im „Zertifikatsnamen“ (korrekt: Common Name) der natürliche Name des Besitzenden steht.

Funktions-/Gruppenzertifikate sind funktional äquivalent zu Personenzertifikaten. Sie sind nicht an eine einzelne Person gebunden, sondern dürfen mit alle Nutzenden der zugehörigen E-Mail-Postfächer geteilt werden. Funktionszertifikate enthalten nur die zugehörigen E-Mail-Adressen und keinen „Zertifikatsnamen“ (Common Name). Auch für persönliche E-Mail-Adressen können Funktions- statt Personenzertifikate genutzt werden. In diesem Fall entfällt die Identifikation.

Mailinglisten

Funktionszertifikate können mit dem aktuellen Prozess von Sectigo nicht für Mailinglisten (@lists.kit.edu und @listserv.dfn.de) ausgestellt werden; da die Challenge dafür direkt an die Listenmitglieder versendet werden würde. Falls Sie ein solches Zertifikat benötigen, schicken Sie uns bitte eine E-Mail an ca@kit.edu zur Koordination des Prozesses.

Wählen Sie Beantragen beim gewünschten Zertifikatstyp aus:

Personenzertifikat

Falls Sie keine gültige Identifizierung haben, können Sie kein Personenzertifikat beantragen:

Wählen Sie eine der dort beschrieben Optionen.

Wenn Sie eine gültige Identifizierung haben, können Sie im nächsten Schritt auswählen, welche E-Mail-Adressen ins Zertifikat geschrieben werden sollen:

Jetzt werden nochmal alle Daten angezeigt, die ins Zertifikat geschrieben werden. Wählen Sie Absenden, wenn alles korrekt ist:

Folgen Sie den Anweisungen im Browser.

Funktionszertifikat

Geben Sie alle E-Mail-Adressen ein, die in das Zertifikat geschrieben werden sollen. Beachten Sie die Hinweistexte im Portal!

Jetzt werden nochmal alle Daten angezeigt, die ins Zertifikat geschrieben werden. Wählen Sie Absenden, wenn alles korrekt ist:

Den Sectigo-Prozess korrekt durchlaufen

Sobald wir ihren Antrag beim aktuellen CA-Dienstleister (Sectigo) eingegeben haben, bekommen Sie von dort eine E-Mail (aktuell vom Absender Sectigo Certificate Manager <support@cert-manager.com>).

Hinweis für Beantragende, die keinen Zugriff auf die Funktionspostfächer haben

Diese E-Mail wird nur an die E-Mail-Adressen aus dem Antrag verschickt. Wenn Sie – beispielsweise als IT-Beauftragter – ein Funktionszertifikat beantragen und keinen Zugriff auf die relevanten Postfächer haben, können Sie den Prozess ab hier nicht weiter betreuen. Sie können entweder den weiteren Prozess den Benutzern des Funktionspostfachs überlassen oder diese bitten, die Mail von Sectigo an Sie weiterzuleiten und auf keine Links zu klicken.

Diese E-Mail sieht so aus:

E-Mail-Validierung (nur manchmal nötig)

Systemvoraussetzungen

Der hier beschriebene Prozess funktioniert nur zuverlässig auf Desktop-Betriebssystemen mit einem modernen Webbrowser, der uneingeschränkt Javascript ausführen kann.

Warning

Der Link von Sectigo funktioniert nur genau ein Mal. Öffnen Sie ihn also nur auf dem Gerät, auf dem Sie das Zertifikat auch tatsächlich Erzeugen und Speichern wollen.

Wenn Sie dem Link in der E-Mail folgen, werden so unter bestimmten Umständen aufgefordert ihre E-Mail-Adresse zu validieren. Falls das bei Ihnen nicht der Fall ist, können Sie diesen Absatz einfach überspringen:

Geben Sie in diesem Fall die exakte Empfänger-E-Mail-Adresse aus der initialen E-Mail von Sectigo ein:

Nach dem Absenden bekommen sie eine zweite E-Mail mit dem korrekten Beantragungs-Link:

Formular zum Zertifikats-Beantragung öffnen

Öffnen Sie den Link in der neuesten E-Mail von Sectigo. Sie landen dann auf einer solchen Webseite:

Zertifikat beantragen

Ändern Sie bitte keine Einstellungen auf dieser Seite (die meisten Änderungen haben hier sowieso keinen Effekt). Akzeptieren Sie den Endbenutzer-Lizenzvertrag (EULA; leider nur auf Englisch verfügbar) und drücken Sie den Submit-Knopf.

Ihr Webbrowser erzeugt jetzt einen neuen privaten Schlüssel und lässt dafür bei Sectigo ein neues Zertifikat erzeugen. Beides wird im nächsten Schritt dann heruntergeladen.

Bitte nicht unterbrechen!

Warten Sie unbedingt, bis der Prozess beendet ist. Das kann bei hoher Last durchaus zehn Minuten dauern. Leider gibt es keine Anzeige des Prozess-Fortschritts oder andere „Lebenszeichen“. Bitte die Seite weder schließen noch neu laden. Beides sorgt für einen Abbruch des Beantragungsprozesses. Sie müssen dann nochmal ganz von vorne beginnen.

Falls hier Probleme (beispielsweise Timeouts) auftreten, ist der neue private Schlüssel für immer verloren und das zugehörige Zertifikat nicht benutzbar. Sie müssen dann den Prozess von vorne beginnen. Falls hier dauerhaft Probleme auftreten schicken Sie uns bitte eine genaue Problembeschreibung an ca@kit.edu.

Fertiges Zertifikat herunterladen

Nach erfolgreicher Zertifikats-Erstellung werden Sie auf diese Seite weitergeleitet.

Key protection algorithm nicht mehr umstellen

Früher wurde hier eindringlich darauf hingewiesen, die Einstellung “Key protection algorithm” zu ändern. Sectigo hat am 14.9.2024 ihre Software angepasst, so dass dies nicht mehr korrekt ist. iOS < 18 kann Secure AES256-SHA256 nicht importieren, hier empfiehlt es sich, Compatible TripleDES-SHA1 zu verwenden oder ein Upgrade auf iOS 18 zu updaten. macOS-Versionen < 15 führen mit beiden beim Download verfügbaren Schlüsselvarianten zur Fehlermeldung “Passwort falsch”, auch wenn das Passwort korrekt eingegeben wurde. Bitte upgraden Sie in diesem Fall auf macOS 15 oder folgen Sie dieser Anleitung.

Die alte Anleitung zum Reparieren ist hier noch zu finden.

Wählen Sie ein sicheres Passwort (Sie können diesen Dienst dafür benutzen) zum Verschlüsseln ihres neuen Schlüssels und Zertifikats. Der Download-Knopf starten den Download des neuen Zertifikats + privaten Schlüssels im PKCS12-Format (Dateiendung .p12 oder .pfx).

Warning

Sie können diese Seite schliessen, nachdem Sie sichergestellt haben, dass ihr neues Zertifikat korrekt heruntergeladen wurde. Wenn Sie die PKCS12-Datei nicht finden können, ist der geheime Schlüssel für immer verloren und Sie müssen den Prozess nochmal von vorne beginnen.

Backup erstellen

Machen Sie spätestens jetzt eine Sicherungskopie. Sie brauchen bis zum Ende ihres (Dienst-)Verhältnisses mit dem KIT jedes Schlüssel/Zertifikats-Paar (in der Regel ist das die .p12-Datei), für das Sie jemals verschlüsselte E-Mails empfangen haben.

Sichern Sie sowohl die Zertifikatsdatei als auch das Passwort so, dass sie beides in vielen Jahren noch sicher wiederfinden und lesen können. Aus Sicherheitsgründen empfielt es sich, beides getrennt voneinander zu sichern.

🚧 Work in Progress

Dieser Abschnitt ist leider noch etwas rudimentär & unvollständig.

Neues Zertifikat einbinden

Die eben heruntergeladene Datei kann normalerweise durch Doppelklick (Windows, macOS) in das Betriebssystem importiert werden.

Hinweis für Windows-Nutzer: Setzen Sie beim beim Import die Option Schlüssel als exportierbar markieren. Dann können Sie – beispielsweise beim Wechsel ihres Rechners – Zertifikat und privaten Schlüssel von diesem Rechner auf das neue Gerät kopieren:

Thunderbird unter Linux muss das Zertifikat direkt in der Anwendung importieren: EinstellungenDatenschutz & SicherheitZertifikate verwalten…. Dort den Reiter Ihre Zertifikate wählen, dann Import…. Dann in den Einstellungen des passenden E-Mail-Kontos das Zertifikat für Verschlüsselung und Signatur auswählen.

E-Mail-Client einrichten