Nutzerzertifikate für IDM-E-Mail-Adressen beantragen
Aktueller Hinweis: Unser Provider, der DFN-Verein (Deutsches Forschungsnetz e.V.), hat den Betrieb seiner bisherigen, selbstbetriebenen Zertifizierungsstelle eingestellt. Seit dem 31.08.2023 werden hierüber keine Nutzerzertifikate mehr erstellt). Die bis dahin bereits ausgestellten DFN-Zertifikate bleiben jedoch bis zu ihrem Ablaufdatum gültig, so dass für bestehende Zertifikate zunächst keine Aktion erforderlich ist.
Der DFN-Verein hat die Ausstellung von Zertifikaten an die europäische Zertifizierungsstelle "GÉANT "ausgelagert. GÉANT wiederum hat zur Zeit den Dienstleister "Sectigo" mit der technischen Durchführung der Zertifikaterstellung beauftragt, so dass Nutzerzertifikate, die Sie z.B. zum signierten und verschlüsselten E-Mail-Versand benötigen, zukünftig über Sectigo zu beantragen sind.
Nutzerzertifikat beantragen
Rufen Sie die Sectigo-Webseite zur Beantragung von Nutzerzertifikaten auf - Sie sehen dann zunächst diese Anzeige:
Suchen Sie hier z.B. nach "Lübeck" und wählen Sie aus der erscheinenden Hochschulliste "University of Luebeck" aus. Wenn Sie den Haken bei "Remember this choice" setzen, brauchen Sie den Suchvorgang in diesem Browser zukünftig nicht mehr zu wiederholen. Die Universität zu Lübeck wird Ihnen dann direkt zur Auswahl angezeigt wie auf dem folgenden Bild zu sehen ist:
Nach der Auswahl der Hochschule erscheint das folgende Uni-IDM-Anmeldefenster:
Melden Sie sich hier mit Ihrem Uni-IDM-Account an.
Erläuterung: Die Beantragung eines persönlichen Nutzerzertifikats für IDM-E-Mail-Adressen erfolgt bei GÉANT/Sectigo direkt online über den Uni-IDM-Account. Es wird davon ausgegangen, dass bei der Einstellung (Mitarbeiter/innen) oder Immatrikulation (Studierende) bereits eine ausreichende Identifikation der Person erfolgt ist, auf deren Basis der IDM-Account erstellt wurde. Das bisherige Antragsformular in Papierform, sowie die persönliche Identifikation im ITSC entfallen daher.
In seltenen Fällen kann es jedoch vorkommen, dass der IDM-Account nicht über die üblichen Wege (Personalabteilung bzw. SSC) erstellt wurde. Dann ist für die Beantragung des Zertifikats weiterhin eine persönliche Identifikation mittels Personalausweis im IT-Service-Desk erforderlich, nach der die erforderliche Berechtigung zur Zertifikatbeantragung manuell in den IDM-Account eingetragen wird. Sie erkennen die fehlende Berechtigung an einer entsprechenden Meldung auf der Sectigo-Antragsseite.
Nach der Anmeldung gelangen Sie auf das Zertifikat-Antragsformular:
Füllen Sie dieses Formular bitte wie folgt aus:
- Feld "Certificate Profile": Wählen Sie hier "GÉANT Personal email signing an encryption"
- Feld "Term" (Gültigkeitsdauer): Wählen Sie hier den größtmöglichen Wert ("730 days"). Falls Sie jedoch bereits wissen, dass Sie die Uni innerhalb eines Jahres verlassen werden, wählen Sie stattdessen "365 days", da Sie das Zertifikat nach Ihrem Ausscheiden nicht mehr nutzen dürfen.
- Auswahl "Enrollment Method": Wählen Sie "Key Generation"
- Feld "Key Type": Wählen Sie "RSA - 4096" (es sei denn, Sie wollen das Zertifikat für eine spezielle Anwendung verwenden, die einen der anderen der zur Verfügung stehenden Schlüssel-Typen erfordert)
- Felder "Password"/"Password Confirmation": Geben Sie hier ein möglichst sicheres Passwort an und merken Sie es sich gut! Nur mit diesem Passwort können Sie Ihr neu erstelltes Zertifikat auf Ihrem PC installieren.
- Feld "Algorithm": Wählen Sie hier "Compatible TripleDES-SHA1".
Es geht hier um die Verschlüsselungsart der PKCS#12-(P12-)Datei, in der Ihr Zertifikat beim Herunterladen nach der Erzeugung gespeichert wird. AES256-SHA256 ist zwar schneller und sicherer als TripleDES-SHA1, wird aber von älteren Windows-Versionen (< Windows 10, Build 1709) und insbesondere von IOS und Mac OS noch nicht unterstützt, so dass Zertifikate aus mit AES-256-SHA256 verschlüsselten P12-Dateien dort nicht installierbar sind. Wenn Sie genau wissen, dass Ihr PC schon AES256-SHA256 für P12-Dateien unterstützt, können Sie auch dies auswählen.
- Bestätigen Sie darunter mit dem Setzen des Hakens, dass Sie das End User License Agreement (EULA) gelesen haben und damit einverstanden sind.
- Klicken Sie auf "Submit", um den Antrag abzusenden.
Sie sehen dann die folgende Benachrichtigung:
Wichtig: Bitte schließen Sie an diesem Punkt wie angegeben keinesfalls dieses Browserfenster. Ansonsten kann die Erstellung des Zertifikats nicht abgeschlossen werden! Die Erstellung des Zertifikats kann einige Minuten dauern. Der Bearbeitungsvorgang wird durch einen sich bewegenden Punkt im Reiter des Browserfensters links neben dem Seitennamen (Sectigo - Web Security Company) gekennzeichnet.
Ist die Zertifikaterstellung erfolgreich, sollten Sie diese Meldung sehen:
Zugleich öffnet sich der Datei-Explorer Ihres Betriebssystems mit der Aufforderung, die gerade erstellte Zertifikat-Datei mit der Endung ".p12" (PKCS#12-Format) zu speichern. Bitte machen Sie das und brechen Sie diesen Vorgang nicht ab. Es ist zu empfehlen, einen sinnvolleren Dateinamen als "certs" zu wählen, damit Sie die Datei wiederfinden, jedoch muss die Endung ".p12" bestehen bleiben!
Bewahren Sie die Datei an einem sicheren Ort auf und merken Sie sich das Passwort. Sie benötigen beides, falls Sie das Zertifikat später auf einem anderen/neuen PC installieren möchten.
Weitere Informationen
Mit der PKCS#12-Datei können Sie Ihr neues Nutzerzertifikat nun im Zertifikatspeicher Ihres Rechners installieren und beispielsweise zum zertifizierten E-Mail-Versand in Outlook nutzen. Wenn Sie das Zertifikat auf weiteren Rechnern installieren möchten, kopieren Sie die PKCS#12-Datei dorthin. Bitte achten Sie unbedingt darauf, dass Sie das Zertifikat nur auf Rechneraccounts installieren, auf die außer Ihnen selbst niemand Zugriff hat, da andere Personen ansonsten Ihre Identität missbrauchen könnten!
Wichtig:
Sorgen Sie dafür, dass diese Ihren privaten Schlüssel enthaltende PKCS#12-Datei samt Passwort niemals in die Hände Unbefugter gelangt, da diese damit Ihre Identität missbrauchen können. Wenn Sie den Verdacht haben, dass jemand Zugang zu Ihrem privaten Schlüssel erlangt hat, informieren Sie uns bitte schnellstmöglich. Wir werden das Zertifikat dann sperren und Sie ein neues beantragen lassen.
Denken Sie bitte daran, die PKCS#12-Datei auf einem externen Datenträger zu sichern, wenn Ihr Rechner neu installiert werden muss oder wenn Sie einen neuen Rechner bekommen. Nur mit dieser Datei können Sie das Nutzerzertifikat auf dem neuen bzw. neu installierten Rechner wieder einbinden. Wird dies vergessen, muss das Zertifikat gesperrt und ein neues beantragt werden!
Ablauf von Zertifikaten
Nutzerzertifikate sind ab Genehmigung für die bei der Beantragung eingestellte Dauer (s.o.) gültig und können danach nicht mehr genutzt und auch nicht verlängert werden.
Sie bekommen vier Wochen vor Ablauf eine automatische Benachrichtigung darüber per E-Mail von GÉANT TCS/Sectigo. Bitte beantragen Sie dann rechtzeitig vor dem Ablaufdatum ein neues Zertifikat, um einen nahtlosen Übergang bei der Zertifikatnutzung (z.B. beim zertifizierten Mailing) zu gewährleisten.
- Support
- Homeoffice und digitale Lehre
- IT-Service-Desk
- PC-Pools
- FAQ - Fragen und Antworten
- Schritt-für-Schritt-Anleitungen
- Beantragung von Zertifikaten
- Beantragung von Nutzerzertifikaten
- Beantragung von Serverzertifikaten
- Hinweise zur Zertifikatnutzung
- Hinweise GRID-Zertifikate
- Installation von Zertifikaten
- Nutzung von Zertifikaten
- E-Mail-Anleitungen
- SSL-VPN-Fernzugang (sslGate)
- WLAN-Konfiguration
- Hilfen zum Testen des Datennetzanschlusses
- Bedienung Webshop Rahmenvertrag Hochschulen SH
- Einrichten von KeePass
- Änderung des IDM-Passworts
- Registrierung für das Passwort-Reset-Portal
- Cisco Duo
- Webcam Flimmerreduzierung
- Monitoranordnung ändern
- Beantragung von Zertifikaten
- Schulungen
Ansprechpartner
Martin Behr
Gebäude 64, 36.10 (1.OG)
Tel. +49 451 3101 2021
martin.behr(at)uni-luebeck.de
Frank Garnath
Gebäude 64, 033 (EG)
Tel. +49 451 3101 2023
frank.garnath(at)uni-luebeck.de
Daniel Lehnerdt
Gebäude 64, 36.10 (1.OG)
Tel. +49 451 3101 2039
daniel.lehnerdt(at)uni-luebeck.de
Martin Schmidt
Gebäude 64, 36.40 (1.OG)
Tel. +49 451 3101 2036
martin.schmidt(at)uni-luebeck.de
Johannes Wulf
Gebäude 64, 103 (1.OG)
Tel. +49 451 3101 2029
johannes.wulf(at)uni-luebeck.de
Helge Illig
Gebäude 64, 034 (1.OG)
Tel. +49 451 3101 2000
helge.illig(at)uni-luebeck.de