Weg zur Beantragung von Personen- und Funktionszertifikaten
Diese Seite beschreibt den aktuellen Weg zur Beantragung von Zertifikaten zum Signieren und Entschlüsseln von E-Mails.
Die eigentliche Zertifikats-Erstellung nutzt das GÉANT TCS Projekt, die wiederum auf HARICA als Dienstleister zurückgreifen.
Zertifikat beantragen
Loggen Sie sich im CA-Portal mit dem Account ein, für dessen E-Mail-Adressen Sie ein Zertifikat haben wollen. Nutzen Sie gegebenenfalls den privaten Modus ihres Browsers, wenn Sie bereits mit einem anderen Account eingeloggt sind.
Zertifikatstyp wählen
Personenzertifikate sind an eine natürliche Person gebunden und werden nur für die E-Mail-Adressen des dazugehörenden KIT-Accounts ausgestellt. Personenzertifikate können mit oder ohne persönliche Identifizierung ausgestellt werden, die Unterschiede beider Varianten wird hier erklärt.
Funktionszertifikate sind funktional äquivalent zu Personenzertifikaten ohne Identifizierung. Sie sind nicht an eine einzelne Person gebunden, sondern dürfen mit allen Nutzenden der zugehörigen E-Mail-Postfächer geteilt werden.
Wählen Sie Beantragen beim gewünschten Zertifikatstyp aus:
Personenzertifikat
Wählen Sie entweder “Personenzertifikat mit Identifizierung” oder “Personenzertifikat ohne Identifizierung”, die Unterschiede sind hier erklärt. Wenn Sie Ersteres wählen und keine gültige Identifizierung haben, erscheint ein Fehler - in diesem Fall müssen Sie sich zunächst bei der für Sie zuständigen Registrierungsstelle identifizieren. Dazu müssen Sie dort persönlich mit einem gültigem zugelassenen Ausweisdokument (Personalausweis, Reisepass oder Aufenthaltstitel) vorstellig werden.
Registrierungsstellen für Personenidentifikation
| Campus | Registrierungsstelle |
|---|---|
| KIT Campus Karlsruhe | SCC Servicedesk CS/CN |
| KIT Campus Alpin (Garmisch-Partenkirchen) | Frank Neidl, IT R257 |
| HIU Ulm | Josef Anton & Heiko Lanz |
| PTKA Dresden | Michael Petzold |
Wenn Sie eine gültige Identifizierung haben oder “Personenzertifikat ohne Identifizierung” gewählt haben, können Sie im nächsten Schritt auswählen, welche E-Mail-Adressen ins Zertifikat geschrieben werden sollen:
Jetzt werden nochmal alle Daten angezeigt, die ins Zertifikat geschrieben werden. Wählen Sie Absenden, wenn alles
korrekt ist:
Warten Sie ab, bis Sie zum nächsten Schritt weitergeleitet werden und folgen Sie dann dem Abschnitt Herunterladen.
Funktionszertifikat
Um ein neues Zertifikat zu beantragen, wählen Sie “Beantragen” und folgen Sie dem Abschnitt Beantragen. Möchten Sie ein Zertifikat abholen, das wir bereits ausgestellt haben, wählen Sie “Abholen” und folgen Sie dem Abschnitt Abholen.
Beantragen
Geben Sie alle E-Mail-Adressen ein, die in das Zertifikat geschrieben werden sollen. Beachten Sie die Hinweistexte im Portal!
Jetzt werden nochmal alle Daten angezeigt, die ins Zertifikat geschrieben werden. Wählen Sie Absenden, wenn alles
korrekt ist:
Anschließend müssen Sie den privaten Schlüssel herunterladen und bestätigen, dass Sie den privaten Schlüssel wiederfinden und sich das Passwort gemerkt haben.
Nachdem Sie nochmals auf Absenden geklickt haben, müssen Sie abwarten, bis wir das Zertifikat ausgestellt haben.
Abholen
Sie erhalten eine E-Mail, wenn wir das Zertifikat ausgestellt haben.
Mit der .pem Datei im Anhang der Mail und dem beim Antrag gespeicherten Schlüssel (funktions_postfach_name_kit_edu.key) können Sie das Zertifikat im KIT-CA-Portal abholen.
Wählen Sie Abholen aus, dort laden Sie Datei entweder per Drag-and-Drop oder per Klick auf den jeweils vorgesehenen Bereich hoch.
Wenn die Dateien zusammenpassen, werden sie automatisch zum nächsten Schritt weitergeleitet.
Herunterladen
Vergeben Sie zunächst ein Passwort, mit dem Ihre Zertifikatsdatei verschlüsselt wird. Ist das Passwort gültig, erscheinen mehrere Dateiformate, in denen Sie Ihr Zertifikat herunterladen können. Bei allen Formaten ist beschrieben, in welchem Fall Sie es verwenden sollten. Klicken Sie bei dem für Sie passenden Format auf “herunterladen” und speichern Sie die Datei an einem passenden Ort ab.
Backup erstellen
Machen Sie spätestens jetzt eine Sicherungskopie. Sie brauchen bis zum Ende ihres (Dienst-)Verhältnisses mit dem KIT
jedes Schlüssel/Zertifikats-Paar (in der Regel ist das die .p12-Datei), für das Sie jemals verschlüsselte E-Mails
empfangen haben.
Sichern Sie sowohl die Zertifikatsdatei als auch das Passwort so, dass sie beides in vielen Jahren noch sicher wiederfinden und lesen können. Aus Sicherheitsgründen empfielt es sich, beides getrennt voneinander zu sichern.
Work in Progress
Dieser Abschnitt ist leider noch etwas rudimentär & unvollständig.
Neues Zertifikat einbinden
Die eben heruntergeladene Datei kann normalerweise durch Doppelklick (Windows, macOS) in das Betriebssystem importiert werden.
Windows
Setzen Sie beim Import im vierten Schritt die Option Schlüssel als exportierbar markieren. Dann können Sie – beispielsweise beim Wechsel ihres Rechners – Zertifikat und privaten Schlüssel von diesem Rechner auf das neue Gerät kopieren.
Bitte auf das Bild klicken, um sämtliche Schritte zu sehen
Thunderbird unter Linux muss das Zertifikat direkt in der Anwendung importieren: Einstellungen → Datenschutz & Sicherheit → Zertifikate verwalten…. Dort den Reiter Ihre Zertifikate wählen, dann Import…. Dann in den Einstellungen des passenden E-Mail-Kontos das Zertifikat für Verschlüsselung und Signatur auswählen.
E-Mail-Client einrichten
- Anleitung für Outlook in Windows
- Anleitung für macOS & Apple Mail
- Anleitung für Thunderbird (externer Link zur Uni Heidelberg)