Zertifikate beantragen, abholen und sperren

Mit der Webschnittstelle haben Sie die Möglichkeit, Zertifikate zu beantragen, abzuholen bzw. zu widerrufen.

Wichtig: Nach dem Sie die jeweiligen Daten eingegeben haben, wird eine Auftragsdatei erstellt und zum Speichern angeboten. Sie brauchen diese Datei, wenn Sie später Ihr erzeugtes Zertifikat über diese Webschnittstelle abholen wollen! Die Auftragsdatei wird mit einem Passwort geschützt, welches Sie vergeben müssen. Gut merken!

Das folgende Bild zeigt die Startseite der Webschnittstelle:

1. Nutzerzertifikat beantragen

Hier können Sie ein neues persönliches Nutzerzertifikat (Namensbeispiel 'Max B. Mustermann') für sich beantragen. Die Schlüsselerzeugung erfolgt über den Browser.

Über den Button "E-Mail-Adressen mit folgenden ..." können Sie sich die Domainnamen anzeigen lassen, die Sie für Ihre E-Mail-Adresse verwenden können. Die Domain "tu-freiberg.de" ist natürlich auch dabei.

Geben Sie nun alle weiteren erforderlichen Daten ein.

Zum Schluss muss die Antragsdatei gespeichert werden, welche Sie später noch brauchen werden. Geben Sie dazu ein Passwort ein, mit der die Auftragsdatei gesichert wird. Gut merken!

Anschließend werden Sie aufgefordert, sich Ihr Zertifikatsantragsformular herunterzuladen und ebenfalls zu speichern.

Wichtig: Wenn Sie später per E-Mail informiert werden, dass Ihr Zertifikat erstellt wurde, müssen Sie dieses Zertifikat über diese Webschnittstelle abholen! Siehe dazu den Menüpunkt "Zertifikat abholen".

Zum Seitenanfang

2. Pseudonymzertifikat beantragen

Hier können Sie ein neues persönliches Pseudonymzertifikat (Namensbeispiel 'PN - Mein Pseudonym') für sich beantragen. Die Schlüsselerzeugung erfolgt über den Browser. Die Verfahrensweise ist wie bei "Nutzerzertifikat beantragen" (siehe dort).

Zum Seitenanfang

3. Gruppenzertifikat beantragen

Hier können Sie ein neues Gruppenzertifikat (Namensbeispiel 'GRP - IT Helpdesk') für eine dedizierte Gruppe von Personen beantragen. Die Schlüsselerzeugung erfolgt über den Browser. Die Verfahrensweise ist wie bei "Nutzerzertifikat beantragen" (siehe dort).

Zum Seitenanfang

4. Serverzertifikat beantragen

Hier können Sie ein neues Serverzertifikat beantragen, inkl. Schlüsselerzeugung durch den Web-Browser.

Wählen Sie zunächst das Zertifikatsprofile aus.

Über den Button "Die folgenden Domainnamen ..." können Sie sich die Domainnamen anzeigen lassen, die Sie im CN-Attribut und in SubjectAlternativeNames verwenden können. Die Domain "tu-freiberg.de" ist natürlich auch dabei.

Geben Sie nun alle weiteren erforderlichen Daten ein.

Zum Schluss muss die Antragsdatei gespeichert werden, welche Sie später noch brauchen werden. Geben Sie dazu ein Passwort ein, mit der die Auftragsdatei gesichert wird. Gut merken!

Anschließend werden Sie aufgefordert, sich Ihr Zertifikatsantragsformular herunterzuladen und ebenfalls zu speichern.

Wenn Sie später per E-Mail informiert werden, dass Ihr Zertifikat erstellt wurde, müssen Sie dieses Zertifikat über diese Webschnittstelle abholen! Siehe dazu den Menüpunkt "Zertifikat abholen".

Zum Seitenanfang

5. CSR-Datei (PKCS#10) erstellen

Mit dieser Variante kann man ein Serverzertifikat, Nutzerzertifikat bzw. ein Gruppenzertifikat beziehen. Die Zertifikatdaten werden hier nicht über die Webschnittstelle eingegeben, sondern sind als sogenannter PKCS#10-Antrag (auch Request genannt) in einer Datei enthalten, die vorher erzeugt werden muss. Wie bei Ihrer Software ein PKCS#10-Antrag erzeugt werden kann, entnehmen Sie bitte der entsprechenden Dokumentation Ihrer Software. Für die DFN-PKI können Sie diese Datei z.B. mit der Software 'openssl' mit folgenden Kommandos erzeugen:

Für UNIX-Nutzer:

Serverzertifikat (z.B. für den Server "testserver.hrz.tu-freiberg.de")

openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=testserver.hrz.tu-freiberg.de/emailAddress=<gültige E-Mail-Adresse des Server-Administrators>"

Nutzerzertifikat (z.B. für den Nutzer "Max Mustermann"):

openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=Max Mustermann/emailAddress=<gültige E-Mail-Adresse des Nutzers>"

Gruppenzertifikat (z.B. für die Gruppe "Raumplanung"):

openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=GRP: Raumplanung/emailAddress=<gültige E-Mail-Adresse dieser Gruppe>"

Eine Gruppe kann auch eine Liste von Nutzern enthalten, z.B. GRP: Max Mustermann, Erika Mustermann.

Für Windows-Nutzer:

Zunächst müssen Sie in den Ordner mit der openssl-Software wechseln, z.B.:

cd C:\OpenSSL-Win32\bin

Serverzertifikat (z.B. für den Server "testserver.hrz.tu-freiberg.de"):

openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=testserver.hrz.tu-freiberg.de/emailAddress=<gültige E-Mail-Adresse des Server-Administrators>" -config openssl.cfg

Nutzerzertifikat (z.B. für den Nutzer "Max Mustermann"):

openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=Max Mustermann/emailAddress=<gültige E-Mail-Adresse des Nutzers>" -config openssl.cfg

Gruppenzertifikat (z.B. für die Gruppe "Raumplanung"):

openssl req -newkey rsa:2048 -nodes -keyout key_private.pem -out request.pem -subj "/C=DE/ST=Sachsen/L=Freiberg/O=Technische Universitaet Bergakademie Freiberg/CN=GRP: Raumplanung/emailAddress=<gültige E-Mail-Adresse dieser Gruppe>" -config openssl.cfg

Eine Gruppe kann auch eine Liste von Nutzern enthalten, z.B. GRP: Max Mustermann, Erika Mustermann.

Die Schlüssellänge (hier 2048; das ist das Minimum) kann auch auf 3072, 4096 oder 8192 eingestellt werden.
In der Datei "key_private.pem" befindet sich der erzeugte privater Schlüssel und in der Datei "request.pem" befindet sich Ihr Request. Der private Schlüssel ist vor Diebstahl und Verlust zu schützen!

Mit dem Befehl

openssl req -text -in request.pem

können Sie sich den Request anzeigen lassen.

Zum Seitenanfang

6. CSR-Datei (PKCS#10) einreichen

Die Zertifikatdaten werden hier nicht über die Webschnittstelle eingegeben, sondern sind als sogenannter PKCS#10-Antrag in einer Datei enthalten, die vorher von Ihnen erzeugt werden muss. Wie bei Ihrer Software ein PKCS#10-Antrag erzeugt werden kann, entnehmen Sie bitte der entsprechenden Dokumentation Ihrer Software. Für die DFN-PKI können Sie diese Datei z.B. mit der Software 'openssl' erzeugen (siehe dort).

Wählen Sie dann das Zertifikatsprofile aus.

Über den Button "E-Mail-Adressen mit folgenden ..." können Sie sich die Domainnamen anzeigen lassen, die Sie für Ihre E-Mail-Adresse verwenden können. Die Domain "tu-freiberg.de" ist natürlich auch dabei.

Über den Button "Die folgenden Domainnamen ..." können Sie sich die Domainnamen anzeigen lassen, die Sie im CN-Attribut und in SubjectAlternativeNames verwenden können. Die Domain "tu-freiberg.de" ist natürlich auch dabei.

Wählen Sie nun die von Ihnen erzeugte PKCS#10-Datei zum Hochladen aus.

Geben Sie nun alle weiteren erforderlichen Daten ein.

Zum Schluss muss die Antragsdatei gespeichert werden, welche Sie später noch brauchen werden. Geben Sie dazu ein Passwort ein, mit der die Auftragsdatei gesichert wird. Gut merken!

Anschließend werden Sie aufgefordert, sich Ihr Zertifikatsantragsformular herunterzuladen und ebenfalls zu speichern.

Wenn Sie später per E-Mail informiert werden, dass Ihr Zertifikat erstellt wurde, müssen Sie dieses Zertifikat nicht unbedingt über diese Webschnittstelle abholen. Sie können Ihr Zertifikat auch über den Link abholen, der in der E-Mail angegeben ist. Siehe auch den Menüpunkt "Zertifikat abholen".

Zum Seitenanfang

7. Zertifikat für einen Funktionsaccount

Als Zertifikat für einen Funktionsaccount ist ein Gruppenzertifikat zu verwenden.

Zum Seitenanfang

8. Zertifikat abholen

Hier können Sie ein ausgestelltes Zertifikat abholen, sofern der zugehörige Zertifikatantrag bereits eingegangen ist und genehmigt wurde.

Sie benötigen die Antragsdatei und das Passwort, mit dem die Antragsdatei geschützt wird.

In der Datei, die Sie jetzt erhalten, ist meist neben dem beantragten Zertifikat auch Ihr privater Schlüssel enthalten, der durch den Browser erzeugt wurde. (Nur bei einem Zertifikat, das durch einen CSR-Datei beantragt wurde, ist der private Schlüssel nicht in dieser Datei enthalten.)

Ist es erforderlich, das Zertifikat bzw. den Schlüssel aus der Datei zu separieren, kann man das mit openssl-Kommandos erreichen (siehe dort).

Zum Seitenanfang

9. Zertifikat sperren

Hier können Sie die Sperrung eines Ihrer Zertifikat beantragen. Dazu benötigen Sie die Seriennummer des zu sperrenden Zertifikats und die Sperr-PIN. Sofern Sie die Sperr-PIN nicht mehr kennen, kann die Sperrung auch vom lokalen Teilnehmerservice beantragt werden.

Zum Seitenanfang

10. Sicherheitshinweis

Der Zertifikatsinhaber ist für die Sicherheit seines privaten Schlüssels selber verantwortlich, d.h., er muss ihn vor Diebstahl, Missbrauch und Verlust schützen!

Zum Seitenanfang