Zertifikate beantragen

Mit der Webschnittstelle für Nutzer und Administratoren haben Sie die Möglichkeit, Nutzer- oder Serverzertifikate zu beantragen, zu widerrufen bzw. sich anzeigen zu lassen.

Das folgende Bild zeigt die Startseite der Webschnittstelle:

Beantragung eines Zertifikats - Registerkarte Zertifikate

1. Nutzerzertifikat

Es gibt zwei Möglichkeiten, Nutzerzertifikate zu beantragen:

  1. Sie besitzen schon Schlüssel bzw. Request und wollen diesen auch für das neue Nutzerzertifikat verwenden. Dann lesen Sie bitte weiter im Kapitel 1.2 Serverzertifikate. Dort wird an entsprechender Stelle gezeigt, wie zu verfahren ist.
  2. Schlüssel und Request werden neu durch den Browser erzeugt. Dann lesen Sie bitte in diesem Kapitel weiter.

Das folgende Beispiel zeigt, wie Sie ein Nutzerzertifikat beantragen können. Wählen Sie dafür bitte » Nutzerzertifikat:



Bitte füllen Sie in dem oben angezeigten Formular alle mit einem * gekennzeichneten Felder aus.

Zertifikatdaten: Diese Angaben werden in das Zertifikat übernommen.

Tragen Sie hier unbedingt Ihre richtige E-Mailadresse ein, da diese zur Auslieferung des Zertifikats der DFN-PKI benötigt wird. Verwenden Sie bei der Eingabe Ihres Namens keine Umlaute.

Im Feld "Abteilung" sollten Sie nur dann Angaben machen, wenn die Abteilung im "OU="- Feld des Zertifikats erscheinen soll. Auch hier dürfen keine Umlaute verwendet werden.

Weitere Angaben: Diese Einträge werden nicht in das Zertifikat übernommen.

Achtung: Die PIN benötigen Sie als Passwort beim Importieren Ihres Zertifikats, wenn Sie einer Veröffentlichung nicht zugestimmt haben oder wenn Sie Ihr Zertifikat sperren wollen. Sie sollten sich deshalb die PIN unbedingt merken.

Wenn Sie der Zertifizierungsrichtlinie nicht zustimmen, kann Ihr Antrag nicht bearbeitet werden.

Wenn Sie einer Veröffentlichung nicht zustimmen, steht Ihr Zertifikat nicht im öffentlichen Verzeichnisdienst zur Verfügung. Zum Import Ihres Zertifikats benötigen Sie dann die oben eingetragene PIN.

Wenn Sie Weiter gehen, werden Ihnen Ihre Angaben noch einmal angezeigt. Sie können sie, wenn erforderlich, noch ändern oder die Richtigkeit bestätigen.
Wenn Sie Ihre Angaben Bestätigen, wird Ihr Schlüsselpaar für das beantragte Zertifikat generiert. Die Schlüssellänge beträgt immer 2048 Bit. Von Mozilla/Firefox wird Ihnen dieser Vorgang nur kurz angezeigt (siehe folgende Abbildung).

Der Internet Explorer erzeugt Ihr Schlüsselpaar standardmäßig (wie Mozilla) im Browser, das Schlüsselpaar kann aber auch auf einem kryptographisches Gerät (z.B. SmartCard) erzeugt werden.

Wenn Sie Ihre Angaben Bestätigen, werden Sie in zwei Schritten aufgefordert, der Zertifikatanforderung zuzustimmen (siehe folgende Abbildungen):

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Bitte antworten Sie jeweils mit "Ja" bzw. "Ok".

Zertifikatantrag anzeigen und drucken

Anschließend werden Sie aufgefordert, sich Ihren Zertifikatantrag anzeigen zu lassen (PDF) und ihn auszudrucken (zwei Exemplare).

Sie müssen persönlich bei der Registrierungsstelle (Universitätsrechenzentrum, Bernhard-von-Cotta-Straße 1, Raum 3.04) erscheinen. Bringen Sie dazu die zwei ausgedruckten Zertifikatsanträge sowie Ihren Personalausweis (oder Reisepass) und Ihren Mitarbeiter- bzw. Studentenausweris mit. Eine Terminsvereinbarung ist erwünscht (Tel. 3205).


2. Serverzertifikat

Das folgende Beispiel zeigt, wie Sie ein Serverzertifikat beantragen können. Wählen Sie dafür bitte » Serverzertifikat:

Bitte füllen Sie in dem angezeigten Formular alle mit einem * gekennzeichneten Felder aus.

Zertifikatdaten: Diese Einträge werden in das Zertifikat übernommen.

Die Zertifikatdaten werden hier nicht über die Webschnittstelle eingegeben, sondern sind als sogenannter PKCS#10-Antrag in einer Datei enthalten, die vorher erzeugt werden muss. Wie bei Ihrer Server-Software ein PKCS#10-Antrag erzeugt werden kann, entnehmen Sie bitte der entsprechenden Dokumentation Ihrer Software. Für die DFN-PKI können Sie diese Datei z.B. mit der Software 'openssl' mit folgendem Kommando erzeugen:

Für UNIX-Nutzer:

openssl req -newkey rsa:2048 -out request.pem -keyout sec-key.pem -subj '/C=DE/ST=Sachsen/L=Freiberg/OU=Universitaetsrechenzentrum/O=Technische Universitaet Bergakademie Freiberg/CN=testserver.hrz.tu-freiberg.de/emailAddress=<gültige E-Mail-Adresse des Server-Administrators>'

Für Windows-Nutzer:

 C:\Program Files (x86)\GnuWin32\bin\openssl req -newkey rsa:2048 -out request.pem -keyout sec-key.pem -subj '/C=DE/ST=Sachsen/L=Freiberg/OU=Universitaetsrechenzentrum/O=Technische Universitaet Bergakademie Freiberg/CN=testserver.hrz.tu-freiberg.de/emailAddress=<gültige E-Mail-Adresse des Server-Administrators>' -config "C:\Program Files (x86)\GnuWin32\share\openssl.cnf"

(OU [Organisation Unit] ist optional)

Der Request wird in "request.pem", der private Schlüssel in "sec-key.pem" abgespeichert.

Es ist eine Passphrase einzugeben, mit der der private Schlüssel verschlüsselt wird. Will man keine Passphrase verwenden, müssen Sie zunächst den Schlüssel und anschließend den Request erstellen (siehe dazu https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf).

Beim Zertifikatprofil können Sie angeben, für welche Anwendung Sie das Zertifikat beantragen, damit die entsprechenden Extensions in das Zertifikat eingetragen werden. Standardmäßig wird hier der Typ Web Server ausgewählt. Eine Beschreibung der Zertifikatprofile mit den entsprechenden Anwendungsbereichen finden Sie auf den Webseiten der DFN-PKI.

Wollen Sie ein Nutzerzertifikat beantragen, wählen Sie bitte das Zertifikatprofil User aus.

Weitere Angaben: Diese Einträge werden nicht in das Zertifikat übernommen.

Bei der Beantragung eines Serverzertifikats müssen Sie hier Ihren Namen und Ihre E-Mail-Adresse angeben, damit die Zertifizierungsstelle das Serverzertifikat einem Ansprechpartner zuordnen kann.

Achtung: Die PIN benötigen Sie, wenn Sie das Zertifikat sperren wollen. Sie sollten sich deshalb die PIN unbedingt merken.

Wenn Sie der Zertifizierungsrichtlinie nicht zustimmen, kann Ihr Antrag nicht bearbeitet werden.

Wenn Sie einer Veröffentlichung nicht zustimmen, steht Ihr Zertifikat nicht im öffentlichen Verzeichnisdienst zur Verfügung. Wenn Sie Weiter gehen, werden Ihnen Ihre Angaben noch einmal angezeigt. Sie können sie nun ändern oder die Richtigkeit bestätigen:

Wenn Sie Ihre Angaben Bestätigen, werden Sie wie bei der Beantragung eines Nutzerzertifikats aufgefordert, sich Ihren Zertifikatantrag anzeigen zu lassen und auszudrucken (zwei Exemplare).

Sie müssen persönlich bei der Registrierungsstelle (Universitätsrechenzentrum, Bernhard-von-Cotta-Straße 1, Raum 3.04) erscheinen. Bringen Sie dazu die zwei ausgedruckten Zertifikatsanträge sowie Ihren Personalausweis (oder Reisepass) mit. Außerdem ist eine schriftliche Bestätigung Ihres dienstlichen Vorgesetzten vorzulegen, dass Sie als Antragsteller der verantwortliche Administrator des zu zertifizierenden Servers sind. Eine Terminsvereinbarung ist erwünscht (Tel. 3205).

3. Weitere Funktionen für Nutzer und Administratoren

Außer der Beantragung von Zertifikaten stehen Ihnen über diese Webschnittstelle noch weitere Funktionen zur Verfügung:

3.1 Registerkarte Zertifikate

» Zertifikate sperren

Hier können Sie bereits ausgestellte Zertifikate wieder sperren lassen. Dazu benötigen Sie die Seriennummer des Zertifikats, die Sie mit Ihrem Zertifikat erhalten haben. Außerdem benötigen Sie die PIN, die Sie in Ihrem Zertifikatantrag angegeben haben.

» Zertifikate suchen

Hier können Sie nach Zertifikaten der DFN-PKI suchen, die Sie z.B. für Ihre E-Mail-Kommunikation herunterladen möchten. Sie können als Suchkriterium den Namen oder die E-Mail eingeben.

3.2 Registerkarte CA-Zertifikate

» Wurzelzertifikat, DFN-PCA Zertifikat und TUBAF-CA Zertifikat

Hier können Sie das Wurzelzertifikat (Deutsche Telekom Root CA 2), das DFN-PCA-Zertifikat sowie das Herausgeber-Zertifikat der TUBAF-CA herunterladen. Die Vorgehensweise ist in allen Fällen gleich. Abhängig von den verwendeten Browsern werden Sie zu weiteren Aktionen aufgefordert:


Wenn Sie in Mozilla/Firefox eine der Registerkarten anklicken, wird das entsprechende Zertifikat direkt in Ihren Browser geladen. Sie können dann wählen, für welche Zwecke Sie der Zertifizierungsstelle der DFN-PKI vertrauen wollen. In der Regel sollten Sie alle Kästchen ankreuzen. Wenn Sie die Zertifikate auch in andere Anwendungen (E-Mail etc.) importieren möchten, gehen Sie mit der rechten Maustaste auf die entsprechende Registerkarte und wählen Sie "Ziel Speichern unter". Das Zertifikat wird dann im Zielordner abgelegt und kann in andere Programme importiert werden.

Sie erhalten von Mozilla/Firefox keine Meldung über die erfolgreiche Installation im Browser. Überprüfen Sie deshalb die Installation der Zertifikate über:

Bearbeiten > Einstellungen > Erweitert > Zertifikate anzeigen > Zertifizierungsstellen

Dort müssen jetzt folgende Einträge stehen: "Deutsche Telekom Root CA 2", "DFN-Verein PCA Global - G01" sowie "TU Bergakademie Freiberg CA (TUBAF-CA)"

Der Internet Explorer fordert Sie in mehreren Schritten auf, das Zertifikat zu importieren. Öffnen Sie das Zertifikat, wenn Sie es nur in Ihrem Browser installieren wollen. Sie können das Zertifikat auch speichern und dann in Ihren Browser und in andere Programme importieren. Wenn Sie das Zertifikat installieren, werden Sie durch einen Assistenten geführt und die erfolgreiche Installation wird Ihnen angezeigt:



» Zertifikatkette anzeigen

Hier können Sie sich die oben genannten drei Zertifikate anzeigen lassen (PEM-Format) und in einer Datei speichern.

3.3 Registerkarte

» Gesperrte Zertifikate

» Zertifikatsperrliste installieren

Hier können Sie sich die aktuelle Zertifikatsperrliste in Ihren Browser laden. Der Internet Explorer bietet Ihnen zusätzlich die Möglichkeit, die Zertifikatsperrliste zu speichern, um sie auch in andere Anwendungen zu importieren.

» Zertifikatsperrliste anzeigen

Hier können Sie sich die aktuelle Zertifikatsperrliste anzeigen lassen und in einer Datei speichern.

3.4 Registerkarte Policies

» DFN-PKI-Policy

Hier können Sie sich die Policy (Zertifizierungsrichtlinie) der DFN-PKI herunterladen.

» Anwender-Policy

Hier können Sie sich die Policy (Erklärung zum Zertifizierungsbetrieb) Ihrer Zertifizierungsstelle ansehen.

3.5 Registerkarte Hilfe

Hier finden Sie diese Nutzeranleitung und Ansprechpartner für die DFN-PKI.

3.6 Registerkarte Beenden

Hier können Sie die Webschnittstelle für Nutzer und Administratoren verlassen.