Wenn Sie die Universität ausgewählt haben, gelangen Sie zum Anmeldefenster für den Uni-IDM-Account:

Geben Sie Ihren IDM-Benutzernamen und das Passwort ein und klicken Sie auf "Anmelden". Danach erscheint das Abfragefeld für die Zwei-Faktor-Authentifizierung (DUO). Geben Sie hier den sechsstelligen Code aus Ihrer DUO-App oder Ihrem DUO-Hardware-Token ein:

Um diese Information nicht bei jeder Anmeldung zu erhalten, wählen Sie den Punkt "Erneut fragen, wenn sich die Informationen ändern, welche diesem Dienst weitergegeben werden". Wenn Sie mit der Weitergabe der genannten Informationen einverstanden sind, klicken Sie auf "Akzeptieren". Über "Ablehnen" kann die Anmeldung abgebrochen werden. Es werden dann keine persönlichen Daten an HARICA übermittelt, jedoch können Sie den Dienst dann nicht nutzen.

Nach dem Akzeptieren der Datenübermittlung befinden Sie sich in Ihrem HARICA Dashboard, das wie folgt aussieht:

Für die Beantragung eine Serverzertifikats klicken Sie links im Menü auf "Server". Sie gelangen dann zum folgenden Formular:

In das Feld "Friendly name" können Sie eine Bezeichnung für das Zertifikat angeben. Das Feld können Sie aber auch leerlassen.

Unter "Add domains" geben Sie den Servernamen an, für den das Zertifikat gelten soll. Ein Eintrag mit "www." kann hier nicht eingegeben werden. Ist dieser (zusätzlich) gewünscht, muss der Haken bei "Include www. ..." gesetzt werden.

Mit dem Button "+ Add more domains" können Sie nach dem gleichen Muster weitere Servernamen hinzufügen. Pro Request 100 Namen erlaubt.

Mit einem Klick auf "Next" kommen Sie zur nächsten Maske:

Wählen Sie hier mit einem Klick auf "Select" den Zertifikattyp "For enterprises and organizations (OV)".

Sie gelangen nur zur folgenden Übersicht:

Klicken Sie hier auf "Next", dann sehen Sie diese Ansicht:

Klicken Sie erneut auf "Next" und gelangen Sie zu diesem Fenster:

Aktivieren Sie hier links unten den Haken für die Einverständniserklärung. Die Dokumente können Sie sich bei Bedarf über die dort stehenden Links als PDF-Dateien herunterladen. Klicken Sie dann auch hier auf "Next", um zum nächsten Fenster zu gelangen:

Hier haben Sie die folgenden Möglichkeiten, einen Certificate Signing Request (CSR) einzureichen:

• "Auto-generate CSR": Der private Key und der CSR werden im Browser generiert. Sie können den privaten Key im Anschluss herunterladen
• "Submit CSR manually": Sie erstellen den privaten Key auf Ihrem Server und generieren mit diesem einen CSR, den Sie dann hier hochladen können. Eine Anleitung für Linux finden Sie hier.
  Die zweite Möglichkeit ist als sicherer einzustufen, da der private Key hierbei nicht zwischen verschiedenen Rechnern transferiert werden muss und damit besser vor unbefugtem Zugriff geschützt ist.
  Anmerkung: HARICA extrahiert die im CSR enthaltenen Servernamen leider nicht automatisch. Daher müssen auch bei dieser Methode alle Servernamen wie oben beschrieben manuell angegeben werden.

Setzen Sie unten links wiederum den Haken für die Einverständniserklärung und kicken Sie auf "Submit request".

Wenn Sie "Submit CSR manually gewählt haben, erscheint ein Fenster, in das Sie Ihren CSR hineinkopieren und absenden. Danach kommen Sie direkt wieder in Ihr Dashboard (siehe unten).

Wenn Sie "Auto-generate CSR" gewählt haben, kommen Sie zu dieser Ansicht:

Wenn Sie im vorigen Fenster "Auto-generate CSR" gewählt haben, wählen Sie nun hier den Verschlüsselungsalgorithmus und die Größe des Privaten Keys, Wir empfehlen aus Sicherheitsgründen, immer die maximal zur Verfügung stehende Größe zu wählen, also z.B. 4096bit bei RSA.

Setzen Sie nun ein sicheres Passwort für das Zertifikat und merken Sie es sich gut!

Bestätigen Sie auch hier die Einverständniserklärungen und klicken Sie unten auf "Generate Private Key, CSR, and submit order", um Ihren Antrag abzusenden.

Wenn Sie oben die Methode "Auto-generate CSR" gewählt haben, haben Sie nun die Möglichkeit den browsergenerierten privaten Key herunterzuladen:

Klicken Sie hier auf "Download", um Ihren privaten Key herunterzuladen. Ihr Browser speichert den privaten Key in einer Datei "privateKey.pem", je nach Browsereinstellung z.B. in Ihrem Verzeichnis "Downloads".

ACHTUNG:

Schließen Sie diesen Dialog nicht, bevor Sie sich sicher sind, dass die Datei auch wirklich gespeichert wurde. Dies ist die einzige Möglichkeit, an den privaten Key für das beantragte Zertifikat zu gelangen. Sollten Sie den privaten Key anschließend nicht haben, können Sie das Zertifikat nicht verwenden und müssen den gesamten Beantragungsvorgang erneut durchführen!

Achten Sie unbedingt darauf, dass niemand außer Ihnen Zugang zum privaten Key bekommt. Kopieren Sie die Datei auf den Server, für den das Zertifikat bestimmt ist und löschen Sie die Datei anschließend von Ihrem PC oder sichern Sie sie in einem passwortgeschützen Archiv.

Wenn Sie den Key heruntergeladen und gespeichert haben, bestätigen Sie das mit dem Setzen des Hakens bei "I have downloaded my private key" und klicken Sie auf "Go back to dashboard", um den Beantragungsvorgang abzuschließen:

Hinweis:
Den verschlüsselten privaten Key können Sie anschließend per OpenSSL in eine unverschlüsselte Datei schreiben. Hierfür wird das Passwort benötigt, das Sie zuvor für den Key gesetzt haben.

# openssl rsa -in privateKey.pem -out privateKey-dec.key

Sie gelangen nun zurück zu Ihrem Dashboard:

Hier sehen Sie nun Ihren Antrag im Abschnitt "Pending Certificates".

Der Antrag wird nun vom IT-Service-Center geprüft und genehmigt, wenn alles in Ordnung ist. Wir bemühen uns, die Anträge schnellstmöglich zu genehmigen. Da dies manuell erfolgt, kann es aber im Rahmen von Feiertagen oder in der Haupturlaubszeit zu geringen Verzögerungen kommen.

Sobald Ihr Antrag genehmigt und das Zertifikat damit erstellt wurde erhalten Sie von HARICA eine entsprechende Email-Benachrichtigung dieses Formats:

Sollten Sie keine Email bekommen haben, sehen Sie bitte auch in Ihrem Spam-Ordner nach. Sobald Ihr Zertifikat genehmigt wurde, finden Sie dieses in Ihrem Dashboard im Abschnitt "Valid Certificates":

Mit dem Klick auf das Download-Symbol rechts gelangen Sie in das Download-Fenster, über das Sie Ihr Zertifikat im benötigten Format herunterladen können (z.B. PEM oder PKCS#7). Hier können Sie ebenfalls die Root-/Intermediate-Zertifikatkette herunterladen. Wir empfehlen, für jedes Zertfikat immer die Kette zu verwenden, die unter "PEM bundle" enthalten ist, da nicht ausgeschlossen werden kannn, dass HARICA die Zertifikatkette ändert bzw. es für verschiedene Verschlüsselungsmethoden (RSA/EC) unterschiedliche Ketten gibt.