Zum Inhalt

Manueller Weg zur Beantragung von Personen- und Funktionszertifikaten

Diese Seite beschreibt den aktuellen (übergangs-)Weg zur Beantragung von Zertifikaten zum Signieren und Entschlüsseln von E-Mails.

Die eigentliche Zertifikats-Erstellung nutzt das GÉANT TCS Projekt, die wiederum auf Sectigo als Dienstleister zurückgreifen.

Zertifikat beantragen

Keine Zertifikatsausstellung möglich

Sectigo, der Betreiber der Zertifizierungsstelle, über die wir Zertifikate erhalten, hat am 10.01.2025 unseren Zugang gesperrt. Es können deshalb gerade keine Zertifikate beantragt werden, da die Integration des neuen Anbieters in unsere Systeme länger braucht als erwartet. Wenn Sie hier sind, weil Sie eine Benachrichtigung über den Ablauf Ihres Zertifikats erhalten haben, stellen Sie bitte sicher, dass Sie nicht noch ein anderes, länger gültiges Zertifikat besitzen. Ansonsten schauen Sie bitte ein paar Tage vor Ablauf Ihres Zertifikats noch einmal vorbei. Wir bitten um Ihr Verständnis und entschuldigen uns für die Umstände.

Loggen Sie sich im CA-Portal mit dem Account ein, für dessen E-Mail-Adressen Sie ein Zertifikat haben wollen. Nutzen Sie gegebenenfalls den privaten Modus ihres Browsers, wenn Sie bereits mit einem anderen Account eingeloggt sind.

Zertifikatstyp wählen

Personenzertifikate sind an eine natürliche Person gebunden und werden nur für die E-Mail-Adressen des dazugehörenden KIT-Accounts ausgestellt. Vor dem Beantragen muss gemäß Policy eine persönliche Identifizierung stattfinden. Diese ist aktuell zehn Jahre gültig. Man erkennt Personenzertifikate daran, dass im „Zertifikatsnamen“ (korrekt: Common Name) der natürliche Name des Besitzenden steht.

Funktions-/Gruppenzertifikate sind funktional äquivalent zu Personenzertifikaten. Sie sind nicht an eine einzelne Person gebunden, sondern dürfen mit alle Nutzenden der zugehörigen E-Mail-Postfächer geteilt werden. Funktionszertifikate enthalten nur die zugehörigen E-Mail-Adressen und keinen „Zertifikatsnamen“ (Common Name). Auch für persönliche E-Mail-Adressen können Funktions- statt Personenzertifikate genutzt werden. In diesem Fall entfällt die Identifikation.

Mailinglisten

Funktionszertifikate können mit dem aktuellen Prozess von Sectigo nicht für Mailinglisten (@lists.kit.edu und @listserv.dfn.de) ausgestellt werden; da die Challenge dafür direkt an die Listenmitglieder versendet werden würde. Falls Sie ein solches Zertifikat benötigen, schicken Sie uns bitte eine E-Mail an ca@kit.edu zur Koordination des Prozesses.

Wählen Sie Beantragen beim gewünschten Zertifikatstyp aus:

Personenzertifikat

Falls Sie keine gültige Identifizierung haben, können Sie kein Personenzertifikat beantragen:

Wählen Sie eine der dort beschrieben Optionen.

Wenn Sie eine gültige Identifizierung haben, können Sie im nächsten Schritt auswählen, welche E-Mail-Adressen ins Zertifikat geschrieben werden sollen:

Jetzt werden nochmal alle Daten angezeigt, die ins Zertifikat geschrieben werden. Wählen Sie Absenden, wenn alles korrekt ist:

Folgen Sie den Anweisungen im Browser.

Funktionszertifikat

Geben Sie alle E-Mail-Adressen ein, die in das Zertifikat geschrieben werden sollen. Beachten Sie die Hinweistexte im Portal!

Jetzt werden nochmal alle Daten angezeigt, die ins Zertifikat geschrieben werden. Wählen Sie Absenden, wenn alles korrekt ist:

Backup erstellen

Machen Sie spätestens jetzt eine Sicherungskopie. Sie brauchen bis zum Ende ihres (Dienst-)Verhältnisses mit dem KIT jedes Schlüssel/Zertifikats-Paar (in der Regel ist das die .p12-Datei), für das Sie jemals verschlüsselte E-Mails empfangen haben.

Sichern Sie sowohl die Zertifikatsdatei als auch das Passwort so, dass sie beides in vielen Jahren noch sicher wiederfinden und lesen können. Aus Sicherheitsgründen empfielt es sich, beides getrennt voneinander zu sichern.

🚧 Work in Progress

Dieser Abschnitt ist leider noch etwas rudimentär & unvollständig.

Neues Zertifikat einbinden

Die eben heruntergeladene Datei kann normalerweise durch Doppelklick (Windows, macOS) in das Betriebssystem importiert werden.

Hinweis für Windows-Nutzer: Setzen Sie beim beim Import die Option Schlüssel als exportierbar markieren. Dann können Sie – beispielsweise beim Wechsel ihres Rechners – Zertifikat und privaten Schlüssel von diesem Rechner auf das neue Gerät kopieren:

Thunderbird unter Linux muss das Zertifikat direkt in der Anwendung importieren: EinstellungenDatenschutz & SicherheitZertifikate verwalten…. Dort den Reiter Ihre Zertifikate wählen, dann Import…. Dann in den Einstellungen des passenden E-Mail-Kontos das Zertifikat für Verschlüsselung und Signatur auswählen.

E-Mail-Client einrichten