Übersicht
Beantragungsprozess
Voraussetzung: Datenschutz & Nutzungsbedingungen
Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis und die Hinweise zum Umgang mit der Smartcard zur Kenntnis und akzeptieren die Informationen/Regelungen für Zertifikatinhabende, zu deren Einhaltung Sie als Inhaber*in einer SAP-Smartcard mit darauf enthaltenem Zertifikat verpflichtet sind.
Schritt 1: Karte erhalten
Um ein SAP-Zertifikat beantragen zu können, muss Ihre Person zuerst als Datensatz in der Portalsoftware angelegt und Ihnen eine Smartcard zugeordnet werden. Diese SAP-Smartcard erhalten Sie (zusammen mit einer initialen Transport-PIN) anschließend von Ihrer SAP-Ansprechperson in Ihrer Hochschule, welche Sie auch bei der gesamten Zertifikatsbeantragung unterstützt. Wie die Übermittlung der Smartcard stattfindet, wird in jeder Hochschule selbstständig geregelt und Sie werden entsprechend informiert. Erst wenn Sie diese Karte erhalten haben, können Sie sich damit (in Schritt 2) am Smartcard-Portal anmelden und ein SAP-Zertifikat beantragen.
Hinweis: Sobald Ihr Datensatz im Portal angelegt und diesem Personen-Datensatz eine Smartcard zugeordnet wird, erfolgt automatisch die Versendung einer E-Mail, die einen Activation Code enthält. Dieser Activation Code wird später benötigt, um sich mit der Ihnen übergebenen Smartcard am Portal anzumelden. Sollten Sie daher eine folgende E-Mail erhalten:
- Absender: do-not-reply@smartcard.ccc.uni-hannover.de
- Betreff: PKIaaS Activation Code
löschen Sie diese nicht. Den enthaltenen Activation Code benötigen Sie im nächsten Schritt 2.
Schritt 2: Zertifikat beantragen
Melden Sie sich zur Beantragung eines SAP-Zertifikates am Portal an und befolgen dafür die u.g. Schritte 2.1 und 2.2. Das Portal kann nur aus den Rechnernetzen der beteiligten Hochschulen erreicht werden, d.h. von Ihrem Arbeitsplatz in der Hochschule aus oder via VPN. Sie erreichen das Portal über folgenden Link:
-
2.1. Karte erstmalig verbinden (mit Activation Code) und Karten-PIN ändern
In Schritt 1 haben Sie von Ihrem Key-User eine Smartcard inkl. PIN von Ihrem Key-User erhalten erhalten. Bei der ersten Anmeldung am Portal mit einer neuen Smartcard müssen Sie die Smartcard nun im Portal registrieren. Beim Aufrufen des Smartcard-Portals mit eingesteckter Smartcard erscheint zuerst eine Aufforderung, Ihren Activation Code einzugeben. Diesen haben Sie per Mail erhalten (Betreff: PKIaaS Activation Code), als Ihr SAP-Key-User Ihre Person im Portal angelegt und für Sie eine Smartcard registriert hat. Geben Sie den Activation Code ein und klicken Sie auf "Send".
Im nächsten Schritt müssen Sie die Karte mit Ihrer Pin entsperren.
Falls Sie die Pin, die Sie von Ihrem Key-User erhalten haben, noch nicht geändert haben, befindet sich die Karte im "Transport-PIN-Modus und Sie müssen obligatorisch eine neue PIN vergeben. Geben Sie dazu zuerst die erhaltene PIN in das Feld "aktuelle PIN" ein und vergeben Sie in den folgenden zwei Feldern eine neue PIN (8 Ziffern, keine Zeichen!):
Falls Sie die PIN zuvor schon geändert haben, werden Sie in diesem Schritt lediglich nach der aktuellen PIN gefragt:
Anschließend haben Sie Zugriff auf das Portal und können mit Schritt 2.2. fortfahren.
-
2.2. SAP-Zertifikatsantrag stellen
Gehen Sie in Ihrem Portal-Startbildschirm mit der Maus über den Menüpunkt "Home" und warten Sie, bis das Untermenü aufklappt. Wählen Sie den Punkt "Request SAP Certificate". Sie erreichen anschließend das Webformular zur Beantragung eines SAP-Zertifikates.
Hinweise zum Ausfüllen der Felder finden Sie im nächsten Aufklappmenü.
Nach dem Ausfüllen speichern Sie die eingegebenen Daten mit Klick auf "Speichern". Kontrollieren Sie noch einmal alles auf Richtigkeit und reichen den Antrag mit Klick auf "Einreichen" ein.
Anschließend lösen Sie mit Klick auf "Generate Request on Token" die Erzeugung eines Schlüsselpaares auf Ihrer Smartcard aus. Die zu beschreibende Smartcard muss dazu im Reader stecken und Sie werden nach der Pin Ihrer Smartcard gefragt. Bitte beachten Sie: Sie müssen die Pin der Smartcard eingeben und nicht die eben vergebene Sperr-Pin für das Zertifikat.
Die Erzeugung des Schlüsselpaares kann eine bis mehrere Minuten in Anspruch nehmen, währenddessen erscheint die Meldung: Smart card access in progress. Ihr Reader blinkt, da Zugriffe auf die Karte stattfinden. Bitte warten Sie den Abschluss des Prozesses ab, es escheint dann wieder das Zertifikat-Beantragungs-Formular.
Hinweis: Solange "Generate Request on Token" nicht durchgeführt wurde, kann der Request nicht finalisiert und weitergereicht werden und die Weiterbearbeitung ihrer Beantragung stockt.
-
Hinweise zum Ausfüllen der Felder in 2.2.
In Schritt 2.2 ist ein Antragsformular enthalten, hier finden Sie dazu Hinweise zum Ausfüllen:
- mindestens ein Vorname und der Nachname, so wie er im Ausweis steht. Es sollen nicht alle im Ausweis aufgeführten Namen übernommen werden, der Rufname ist ausreichend.
- Akademische Titel am besten weglassen, da sie in der Darstellungs-Zuordnung oft Schwierigkeiten verursachen. Die Angabe eines Titels ist nur zulässig, wenn er auch im Ausweis eingetragen ist.
- Ersetzen Sie gegebenenfalls die vorgegebene Hochschul-Adresse durch Ihrer dienstliche Adresse, falls diese nicht übereinstimmen.
- Die Felder Telefonnummer und Abteilung sind Pflichtfelder, das Feld Abteilungskürzel kann leer bleiben.
- Vergeben Sie sich eine Sperr-Pin. Mit dieser Sperrpin können Sie bei Bedarf Ihr Zertifikat sperren. Verwechseln die die Sperr-Pin des Zertifikates später nicht mit der Pin für Ihre Smartcard.
- Hinweise zu im Zertifikatsantrag erlaubten Zeichen:
- a-z A-Z 0-9 ' ( ) , - . / : Leerzeichen
- Für die Ersetzung deutscher Sonderzeichen gelten folgende Substitutionsregeln:
Ä -> Ae, Ö -> Oe, Ü -> Ue, ä -> ae, ö -> oe, ü -> ue, ß -> ss, ẞ -> SS - Sonderzeichen mit Akzenten verlieren diese.
- Ansonsten wird eine für das betreffende Zeichen gemeinhin verwendete Schreibweise aus den Zeichen a-z und A-Z so zusammengesetzt, dass der entsprechende Laut entsteht.
- Quelle https://www.pki.dfn.de/fileadmin/PKI/DFN-Verein_Community_PKI_CPS.pdf
Abschnitt 3.1.4
-
Hinweis für Smartcards mit Gruppenzertifikaten
Für die Beantragung von Smartcards mit Gruppenzertifikaten (z.B. für Notfallkarten, Schulungen oder Wirtschaftsprüfer, also Karten für mehr als eine einzelne Person) gelten Besonderheiten.
Für diese Karten muss der DN des Zertifikates geändert werden, dies muss durch eine für die Antragsvorgenehmigung berechtigte Person Ihrer Hochschule - meist KeyUser - geschehen. In der Regel beantragen auch nur diese Personen SAP-Gruppenzertifikate. Sollten auch Sie eine Smartcard mit Gruppenzertifikat benötigen, aber die erforderliche Berechtigung nicht haben, nehmen Sie vor der Antragstellung Kontakt zu Ihren SAP-Ansprechpersonen auf. Der Common Name (CN) des Distinguished Name (DN) des Antrages muss vor der Vorgenehmigung editiert werden und Sie müssen sich mit den zum Editieren berechtigten Personen absprechen, was dort im Zertifikat eingetragen werden soll.
Erläuterung: Für ein persönliches Zertifikat hat das Feld ""Distinguished Name" im Zertifikatantrag - und später im Zertifikat - folgenden Aufbau:
C=DE,ST=Niedersachsen,L=Hannover,O=Leibniz Universitaet Hannover,OU=ERP-Hochschulkürzel,CN=PN - Vorname Nachname (Hashwert)
Für ein Gruppenzertifikat muss der CN-Teil angepasst werden : Ansstatt
- "CN=PN - Vorname Nachname (Hashwert)" muss der CN folgendermaßen lauten:
- "CN=GRP - Funktionsname Hochschulkürzel"
- PN ist die Kennzeichnung für ein Pseudonym-Zertifikat
- GRP ist die Kennzeichnung für ein Gruppen-Zertifikat
- Der Funktionsname sollte eine Bezeichnung sein, die auf den Einsatzzweck des Zertifikates schließen lässt, z.b.
- CN=GRP - Sekretariat Institut A Hochschulkürzel für eine Mailadresse sekretariat@inst-a.hochschule.de
- CN= GRP - Wirtschaftsprüfer01 Hochschulkürzel für die erste von vllt. drei Smartcards gür Wirtschaftsprüfer
Schritt 3: Erhalten Ihrer Antrags-PDF
Ihr in Schritt 2 gestellter Antrag wird im nächsten Schritt durch ihren zuständigen Key-User vorgenehmigt. Sobald dies erfolgt ist, erhalten Sie eine Mail mit einer PDF-Datei im Anhang. Diese PDF-Datei enthält Ihren SAP-Zertifikatantrag und einen Postident-Coupon.
Sie müssen den Antrag nicht ausdrucken und unterschreiben, das PDF wird im weiteren Verlauf der Beantragung nur noch als Anhang einer Mail versendet.
-
Was tun, falls Sie keine PDF-Datei per Mail erhalten?
Nach der Antragsstellung in Schritt 2 muss ihr zuständiger Key-User den Antrag erst vorgenehmigen. Erst dann erhalten Sie die Antrags-PDF per Mail. Das kann daher ein paar Tage dauern (je nach Hochschule).
Wenn Sie nach einer in Ihrer Hochschule üblichen normalen Wartezeit das Antrags-PDF nicht zugesendet bekommen, nehmen Sie bitte Kontakt zum SAP-Support Ihrer Hochschule auf, um die Ursache zu emiteln.
Mögliche Fehlerursachen sind:
- die vorgenehmigende Person hat vergessen, das Versenden des Antrags-PDFs zu initiieren. ODER
- technischer Fehler
Falls ein technischer Fehler vorliegt, kann alternativ dann auch die DFN-Antragsquittung als Antrags-PDF verwendet werden. Dazu muss jedoch der zuständige Key-User Ihrer Hochschule Kontakt zur RA in Hannover aufnehmen, damit von dort die DFN-Antragsquittung an Ihre Hochschule übermitteln werden kann. Bitte kontaktieren Sie in solch einem Fall Ihre SAP-Ansprechperson, damit diese umgehend Kontakt zu uns aufnimmt da die Möglichkeit zum Download der Antragsquittung nicht unbegrenzt lange zur Verfügung steht. Gegebenenfalls muss der Antrag abgelehnt und neu gestellt werden.
Schritt 4: Identitätsfeststellung
Damit ihr Zertifikatsantrag im nächsten Schritt von der RA im LUIS genehmigt werden kann, ist einmalig eine Identitätsfeststellung notwendig. Dafür gibt es (je nach Hochschule) unterschiedliche Möglichkeiten. Die Person Ihrer Hochschule, welche die Vorgenehmigung durchführt, wird dieses Verfahren festlegen. Im Bemerkungs-Feld Ihres Antrags-Requests (einzusehen durch eine Anmeldung am Portal) hinterlässt die vorgenehmigende Person Ihrer Hochschule die Information, welches Identifikationsverfahren für Sie notwendig ist. Wollen Sie aus einem wichtigen Grunde ein anderes Identifikationsverfahren wählen, sollten Sie das mit Ihrer SAP-Betreuungsperson absprechen.
Folgende Möglichkeiten der Identifizierung stehen zur Verfügung:
-
4.1. Digital signierte Mail
Bei Vorhandensein eines gültigen Nutzerzertifikates ist keine erneute Identifizierung notwendig. Das Einsenden einer signierten Mail ist ausreichend, um die Identität zu belegen.
Ablauf:
- Senden Sie eine mit Ihrem persönlichen Zertifikat digital signierte Mail:
- An: identifizierung@ca.uni-hannover.de
- Betreff: SAP-Smartcard, Vorname Nachname, Universitätskürzel
- Anhang: Das in Schritt 3 erhaltene Antrags-PDF
- Senden Sie eine mit Ihrem persönlichen Zertifikat digital signierte Mail:
-
4.2. Postident
Sie erhalten zusammen mit dem Zertifikatsantrag per Mail auch einen PostIdent-Coupon, mit dem Sie zu einem PostIdent durchführenden Postamt gehen. Dort zeigen Sie Ihren Ausweis und den Coupon vor.
Ablauf:
- Nach der Durchführung von Postident senden Sie eine unsignierte Mail:
- An: identifizierung@ca.uni-hannover.de
- Betreff: SAP-Smartcard, Vorname Nachname, Universitätskürzel, Postident durchgeführt
- Mailtext: Postident wurde durchgeführt: Vorname, Nachname, E-Mail-Adresse, Identifikationsdatum
- Anhang: Das in Schritt 3 erhaltene Antrags-PDF
- Nach der Durchführung von Postident senden Sie eine unsignierte Mail:
-
4.3. Identifizierung vor Ort in Ihrer Hochschule (nicht in allen Hochschulen möglich)
Einige Hochschulen bieten eine Identifizierung vor Ort in der eigenen Hochschule an, das jeweilige Verfahren wird in der Hochschule kommuniziert. Für weitere Informationen zum genauen Ablauf treten Sie bitte mit Ihrem SAP-Basis-Support in Kontakt.
Sobald Sie sich vor Ort den Bestimmungen Ihrer Hochschule entsprechend identifiziert haben (und sowohl Antrags-PDF als auch die Identifizierungsbestätigung durch die vorgenehmigende Person Ihrer Hochschule an uns versendet wurde), kann Ihr Zertifikat ausgestellt werden. Wie es dann weiter geht, erfahren Sie im nächsten Schritt 5.
Schritt 5: Zertifikat abholen
Sobald alle zuvor beschriebenen Schritte erfolgreich abgeschlossen sind, kann der Zertifikatsantrag durch die RA im LUIS genehmigt werden. Auslöser für die Antragsbearbeitung ist eine entsprechende E-Mail, je nach gewählten Identifikationsverfahren, wie in Schritt 4 beschrieben. Die Genehmigung erfolgt nach Eingang der entsprechenden E-Mail i.d.R. innerhalb eines Werktages.
Sie erhalten anschließend anhand einer Mail vom DFN die Information, dass Ihr Zertifikat ausgestellt wurde. Sie können sich anschließend im Portal anmelden und das Zertifikat auf Ihre Karte laden: Dazu wählen Sie nach der Anmeldung am Portal auf dem Home-Bildschirm den Request aus und klicken dann unten auf den Button "Store Certificate on Token" (mit diesem Schritt wird das ausgestellte Zertifikat auf Ihre Karte geladen). Die Smartcard muss dazu in den Reader gesteckt sein, Sie müssen auch wieder Ihre Pin eingeben.
Die Smartcard ist nun mit Ihrem Zertifikat ausgestattet. Für den Zugriff auf SAP muss der SNC des Zertifikats beim SAP-Support gemeldet werden. Wenden Sie sich dafür an Ihre SAP-Ansprechperson in Ihrer Hochschule.
Troubleshooting & Anleitungen für SAP-Smartcard-Beantragende
-
Technische Voraussetzungen: Reader, Java, OCF Web Client
Um auf das Smartcard-Portal mit Ihrer Smartcard zugreifen zu können, benötigen Sie einen Smartcard-Reader, eine Java-Installation sowie den OCF Web Client (ocf-cc.jar).
Smartcard-Reader
- Einen Smartcard-Reader erhalten Sie über den SAP-Support von Ihrer Hochschule. Bitte kontaktieren Sie diesen SAP-Support, sofern Sie noch keinen Smartcard-Reader haben.
Java
- Download z.B. über:
- https://jdk.java.net/ oder
- https://aws.amazon.com/de/corretto (kostenlose, plattformübergreifende und produktionsbereite Distribution des Open Java Development Kit (OpenJDK). Es wird versprochen, dass Corretto von langfristigem Support begleitet wird, eine Garantie ist dies jedoch nicht.)
OCF Web Client:
- Download der ocf-cc.jar unter https://www.openscdp.org/ocf/faq.html
- Kopieren Sie die ocf-cc.jar-Datei anschließend in das <java_dir>\bin-Verzeichnis
- Legen Sie im <java_dir>\bin-Verzeichnis eine Datei "name.cmd" an und schreiben Sie folgenden Befehl hinein:
- java.exe -jar ./ocf-cc.jar -v
- Das Ergebnis sieht z.B. wie folgt aus:
Nun reicht ein Doppelklick auf "name.cmd", um die ocf-cc.jar-Datei zu starten. Die cmd-Datei kann auch als Verknüpfung auf den Deskop gezogen werden und dann dort mit Doppelklick gestartet werden. Der Name der Start-Datei kann beliebig gewählt werden.
Wenn Sie das Programm gestartet haben, erscheint im System-Tray folgendes Symbol (hier am Beispiel von Windows):
Wenn Sie mit der rechten Maustaste auf das Icon klicken, können Sie z.B. die Anzeige von Logs aktivieren oder Reader-Einstellungen konfigurieren. Nach Beendigung der Tätigkeiten am Portal kann das Programm mit „Exit“ wieder geschlossen werden:
Erst wenn Sie den OCF Web Client wie oben beschrieben gestartet haben und das zugehörige Symbol im System-Tray erscheint, können Sie sich mit Ihrer Karte am Portal anmelden. Einen beispielhaften Anmeldevorgang finden Sie im nächsten Aufklapp-Container.
-
Anmelden am Portal: Kompletter Anmeldevorgang
Starten Sie zuerst den OCF Web Client wie im vorigen Aufklapp-Container beschrieben. Stecken Sie anschließend die Smartcard in den Reader und rufen Sie im Browser die Portal-Seite über smartcard.ccc.uni-hannover.de auf.
Falls Sie zuerst die Seite aufrufen (ohne eingesteckte Karte), werden Sie aufgefordert, ihre Karte einzulegen. Legen Sie Ihre Karte ein und klicken Sie auf "Continue":
Falls Sie vergessen haben, den OCF Web Client zu starten, erscheint folgende Fehlermeldung (Starten Sie in diesem Fall den OCF Web Client, Klicken Sie auf "OK" und anschließend auf "continue", um fortzufahren):
Es erscheint nun ein Eingabefeld für Ihre Pin. Geben Sie diesen ein und bestätigen Sie die Eingabe mit OK:
Wenn die PIN korrekt ist, erreichen Sie nun das Portal. Dort können Sie ihre Anträge einsehen und z.B. einen neuen Zertifikatsantrag stellen, wie in Schritt 2 beschrieben.
Wenn Sie sich zum ersten Mal anmelden und der PIN-Status anders als im vorigen Screenshot aussieht (statt "nicht verifiziert" steht dann da "Transport-PIN-Modus"), folgen Sie den Anweisungen unter Schritt 2.1.
-
PIN-Rücksetzung
Die Pin der Smartcard kann nur 2 mal falsch eingegeben werden. Nach dem dritten Fehlversuch ist die Smartcard blockiert. Die Pin kann zurückgesetzt und neu vergeben werden. Bitte wenden Sie sich in diesem Fall an Ihren zuständigen SAP-KeyUser.
Im folgenden wird der Ablauf der PIN-Rücksetzung aus Smartcard-User-Sicht beschrieben. Bitte beachten Sie, dass dieser Ablauf nur mit der Version des OCF Web Clients ab Juni 2024 funktioniert. Sollten Sie noch eine ältere Version verwenden, laden Sie sich erst die neuere Version herunter (wie unter Technische Voraussetzungen erläutert), bevor Sie mit der Rücksetzung fortfahren.
Nutzende sehen bei einer blockierten Smartcard folgende Meldung, dass die Pin blockiert ist:
Wenden Sie sich nun an Ihren zuständigen SAP-Key-User. Dieser wird ihnen die nun notwendigen Schritte mitteilen. Dies beinhaltet eine Form des Identitätsnachweises. Ein PIN-Rücksetzungs-Request wurde zudem im Portal durch die Sperrung automatisch erzeugt.
Wenn der zuständige SAP-Key-User nach der Durchführung des Identitätsnachweises ihren PIN-Rücksetzungs-Request bearbeitet hat, erhalten Sie
- Eine neue Initial-PIN vom SAP-Key-User UND
- folgende Benachrichtigungs-Mail:
Anhand der Mail wird informiert, dass ihr "Pin-Rücksetzungs-Request" bearbeitet und ihnen für den nächsten Schritt zugewiesen wurde. Dieser ist in der Mail auch verlinkt. Melden Sie sich über den Link am Portal an. Bei der Anmeldung mit der entsperrten Smartcard am Portal erhält die Karte die Information "Du-bist-wieder-entsperrt" und die neue PIN wird auf die Smartcard geschrieben. Es erscheint nun wieder das gewohnte Anmeldefenster. Geben Sie dort allerdings nicht Ihre PIN ein, sondern wählen Sie erst die Schaltfläche "PIN ändern" aus (da die Ihnen mitgeteilte PIN nun nicht nur Ihnen bekannt ist):
Geben Sie nun unter "Ihre aktuelle PIN" den nach der Rücksetzung von Ihrem SAP-Key-User übermittelten PIN ein. Vergeben Sie sich dann unter "Wählen Sie eine neue PIN" eine neue eigene PIN (8 Ziffern, keine Zeichen!), wiederholen Sie diesen und bestätigen durch "OK":
Der Vorgang der PIN-Rücksetzung wurde nun erfolgreich abgeschlossen und Sie können die Smartcard mit der neu vergebenen PIN nutzen.
-
Im Fehlerfall: Browser-Cache löschen kann helfen
Falls Sie bei einem der genannten Schritte Fehler (jeglicher Art) erhalten, kann es helfen, den Browser-Cache zu löschen. Inbesondere kann es zu Fehlern kommen, wenn an dem verwendeten Endgerät / Browser mehrere Smartcards verwendet werden (oder gar der Key-User mit seiner Smartcard am gleichen Gerät arbeitet, an der später auch Nutzenden-Karten eingesteckt werden).
Löschen Sie daher in so einem Fall den Browser-Cache und versuchen Sie den jeweiligen Schritt erneut. Achten Sie beim Löschen, dass der Cache über die gesamte Zeit gelöscht wird (und nicht nur für die letzte Stunde o.ä.).
Unter Firefox (Version 131.0.3) löschen Sie den Browser-Cache z.B. über Burger-Menu - Einstellungen - Datenschutz & Sicherheit - Cookies und Website-Daten - Daten entfernen --> Dort unter Zeitraum "Alles" auswählen und den Haken bei "Temporäre Dateien und Seiten im Cache" setzen. Anschließend mit "Löschen" bestätigen.
Informationen für KeyUser
Akkreditierung und Durchführung von Identifikationsaufgaben
Die hier beschriebenen Regelungen beschreiben die Möglichkeit, Trustcenter-Manager der einzelnen Hochschulen für die Übernahme von Identifizierungsaufgaben zu akkreditieren. Diese Identifizierungsaufgaben beziehen sich ausschließlich auf die Ausstellung von Nutzerzertifikaten der DFN-Community-PKI auf Smartcards für den SAP-Zugriff. Sowohl der Akkreditierungsvorgang als auch die Identifizierungsaufgaben werden im Weiteren näher erläutert.
-
Voraussetzungen für eine Akkreditierung
- Trustcenter-Manager dürfen gegenüber Mitarbeitenden der Zertifizierungsstelle im LUIS die in der eigenen Hochschule korrekt erfolgte persönliche Identifizierung einer ein Zertifikat beantragenden Person bestätigen.
- Von Mitarbeitenden der Zertifizierungsstelle im LUIS werden solche Bestätigungen ausschließlich von Trustcenter-Managern der jeweiligen Hochschulen anerkannt.
- Ob die Trustcenter-Manager der jeweiligen Hochschulen diese Identifizierung selbst vornehmen, oder ob diese von geeigneten anderen Stellen innerhalb der Hochschule vorgenommen werden, ist für die Zertifizierungsstelle im LUIS nicht relevant, die Verantwortung für die korrekte Ausführung der Identifikation liegt in den Händen der Hochschule.
- Die mit Identifizierungsaufgaben in Hochschulen betrauten Trustcenter-Manager können die Identifizierung entweder selbst vornehmen oder müssen sich in der Hochschule über geeignete zuverlässige Wege informieren/müssen informiert werden, dass eine korrekt erfolgte Identifizierung stattgefunden hat.
-
Durchführung der Akkreditierung
- Die Akkreditierung erfolgt durch eine dafür weisungsbefugte Person der betreffenden Hochschule anhand eines auszufüllenden Akkreditierungs-PDFs, welches sowohl von der akkreditierenden als auch von der akkreditierten Person mit einer digitalen Signatur unterzeichnet wird.
- Die Akkreditierung wird übermittelt anhand einer digital signierten E-Mail der akkreditierten Person:
- An: akkreditierung@ca.uni-hannover.de
- Betreff: Akkreditierung für persönliche Identifikation für Nutzerzertifikate auf einer SAP-Smartcard, Hochschulkürzel
- Anhang: Ausgefülltes Akkreditierungs-PDF.
-
Durchführung der Identifizierungsaufgabe
Zur Dokumentation der Identifizierung benötigen wir:
- Eintragung unter "Bemerkung" im Request im Portal in der Form: "Identifizierung erfolgt am <Identifikationsdatum> - <Namenskürzel> <aktuelles Datum>" (falls Identifikationsdatum und aktuelles Datum nicht identisch sind)
- Im Request im Portal das Feld "Identitätsfeststellung" auf "Hochschulintern (Bitte beachten Sie die Regelungen an Ihrer Hochschule)" setzen.
- Eine von Ihnen digital signierte Mail:
- An: identifizierung@ca.uni-hannover.de
- Betreff: "SAP-Smartcard: Vorname Nachname, Vor Ort Identifikation (Hochschulkürzel)"
- Mailtext: "Persönliche Identifizierung von Vorname Nachname, Email-Adresse wurde hochschulintern am dd.mm.yy durchgeführt."
- Anhang: Antrags-PDF der beantragenden Person (Dieses muss von der beantragenden Person an Sie übermittelt werden).
Anleitungen für Key-User
Zusätzlich zu den hier aufgeführten Anleitungen sind je nach Thema ggf. auch die Anleitungen unter Troubleshooting & Anleitungen SAP-Smartcard-Beantragende weiter oben auf dieser Seite für Sie interessant.
-
Person registrieren ("Enroll Person") und Smartcard zuordnen
Klicken Sie nach der Zuordnung der Karte zur Person auf "Speichern".
Hinweis: Sobald mit "Register Token" einer Person eine Karte zugeordnet wird, erhält diese Person eine E-Mail mit einem Activation Code. Dieser Code wird von der Person benötigt, um die Karte später am Portal zu aktivieren. Wenn Sie eine Karte für eine Person wieder "deregister" um anschließend eine andere Karte zuzuweisen ("register"), wird wieder eine Mail mit einem Activation Code versendet. Es muss also bei der Aktivierung der Karte der zuletzt versendete und erhaltene Activation Code verwendet werden.
Notieren Sie sich an dieser Stelle den angezeigten Transport-PIN. Diesen müssen Sie später zusammen mit der Smartcard an die beantragende Person übermitteln. Der Transport-PIN kann auch später noch im dazugehörigen Antrag im Portal eingesehen werden. Fahren Sie mit Klick auf "Initialize" fort.
Die notwendigen Schritte im Portal sind nun abgeschlossen.
Die Smartcard händigen Sie nun zusammen mit der zuvor erzeugten Transport-PIN der Smartcard-beantragenden Person aus. Die Person benötigt die Smartcard, um sich am Portal anzumelden und einen Zertifikatsantrag zu stellen, sowie die Transport-PIN, um die PIN auf der Smartcard zu ändern (siehe Schritt 2 der Anleitung für beantragende Personen).
-
SAP-Zertifikatsantrag vorgenehmigen
Wenn für Sie als Key-User ein zu genehmigender Antrag vorliegt, erhalten Sie eine Info-Mail vom Smartcard-Portal. Um den Antrag zu bearbeiten, können Sie entweder auf den in der Mail enthaltenen Link klicken (um direkt zum Antrag zu gelangen), oder sich manuell auf dem Portal anmelden und über "Views - Service Requests" über die entsprechende Antrags-ID (oder über Suche der E-Mail-Adresse der Person über das Suchfeld bei "Details") den Antrag aufrufen:
Im Antrag müssen Sie nun die Felder kontrollieren:
- Vorname und Name korrekt eingetragen? (in den richtigen Feldern, nicht vertauscht?)
- Ist die angegebene Adresse plausibel?
- Die Telefonnummer sollte eine persönliche Nummer sein (keine Service-Nummer o.ä.)
- Wurde eine dienstliche E-Mail-Adresse angegeben?
- Stimmt das ausgewählte Verfahren zur Identitätsfeststellung? (ggf. anpassen)
Tragen Sie nach der Prüfung im Feld "Bemerkung" eine Bemerkung ein - je nach Fall:
- Anmerkung zur Identitätsfeststellung
- Bei signierter Mail:
- Feld Identitätsfeststellung: "Identitätsfeststellung nicht erneut notwendig"
- Bemerkung: "Antrag wird per signierter Mail von antragsstellender Person versendet. Namenskürzel, Abteilung, Datum"
- Bei Postident:
- Feld Identitiätsfeststellung: "Postident (Coupon wird per Mail zugesandt)"
- Bemerkung: "Antrag geprüft, bitte Postident-Verfahren durchlaufen. Namenskürzel, Abteilung, Datum"
- Bei Vor-Ort-Identifikation: inkl. Datum und Namenskürzel)
- Feld Identitiätsfeststellung: "Hochschulintern (Bitte beachten Sie die Regelungen Ihrer Hochschule"
- Bemerkung: "Identifizierung erfolgt am <Identifikationsdatum> - Namenskürzel, Abeiltung, Datum"
- In diesem Fall muss die identifizierende Person noch eine Mail an die RA im LUIS schicken, wie bei den Durchführungshinweisen von Identifikationsaufgaben beschrieben
- Bei signierter Mail:
- Falls Antrag abgelehnt wird: Grund und weiteres Vorgehen
- Sonstiges
Die Buttons unter den Formularfeldern müssen nun in der Reihenfolge ihrer Anordnung (von links nach rechts) "abgearbeitet" werden:
Klicken Sie zuerst auf den Button "Speichern", damit ihre Anpassungen übernommen werden. (Generell muss bei Änderungen in den Feldern des Antrags immer anschließend "Speichern" ausgewählt werden, sonst verfallen die Änderungen in den Feldern.)
Anschließend klicken Sie auf den Button "Antrags-PDF versenden". Wenn Sie diesen Button nicht klicken, wird kein PDF erzeugt und versendet.
Klicken Sie im nächsten Schritt auf "Antrag weiterleiten", um den digitalen Antrag zur Genehmigung bei der RA im LUIS weiterzuleiten.
Alternativ können Sie (falls etwas nicht passt) den Antrag über "Antrag ablehnen" ablehnen. In diesem Fall müssen Sie den Antrag auch nicht weiterleiten. Hinterlassen Sie in diesem Fall eine Bemerkung im Feld "Bemerkung", damit für die beantragende Person ersichtlich ist, warum der Antrag abgelehnt wurde und was für Sie die nächsten Schritte sind. Beispiele sind:
- Vor- und Nachname sind in die falschen Felder eingetragen. Bitte Antrag neu stellen.
- Adresse ist falsch, bitte Antrag neu stellen.
- Rücksprache notwendig, bitte Kontakt zum KeyUser aufnehmen (ggf. Kontaktdaten mit eintragen)
-
Smartcards neu zuordnen ((de-)register)
Es ist möglich, die Zuordnung einer Smartcard (Token) zu einer Person nachträglich zu lösen. Ebenso kann nachträglich eine andere Smartcard (Token) der Person zugeordnet werden. Einer Person können auch mehrere Smartcards (Tokens) zugeordnet werden. Eine Smartcard (Token) kann hingegen immer nur einer Person zugeordnet werden.
Ablauf: Smartcard-Zuordnung lösen:
Melden Sie sich im Portal an und suchen Sie unter Views - Subjects nach der Person, von der Sie die zugeordnete Smartcard (Token) lösen wollen. Wählen Sie die Person durch Klicken auf die ID aus.
Es öffnet sich eine Übersicht über die Person. Im Abschnitt "Token" sehen Sie eine Übersicht der zugeordneten Smartcards (Token). Wählen Sie das zu lösende Token durch Klicken auf die ID aus.
Es öffnet sich der "Register-Request". Dort können Sie über den Button "Deregister Token" die Verbindung der Smartcard (Token) zu der Person lösen.
Ablauf: Zusätzliche / nachträgliche Smartcard-Zuordnung durchführen:
Melden Sie sich im Portal an und suchen Sie unter Views - Subjects nach der Person, der Sie eine neue / zusätzliche Smartcard zuordnen wollen. Wählen Sie die Person durch Klicken auf die ID aus.
Wählen Sie über den nun erschienenden Menü-Punkt "Subject" das Untermenü "Issue Token" aus. Es öffnet sich anschließend der Bereich "Issue Token". Fahren Sie fort, indem Sie auf "Start Request" klicken.
Ab hier ist der Ablauf der gleiche wie der entsprechende Abschnitt beim Registrieren ("Enrollen") einer Person. Die genauen Schritte können Sie der entsprechenden Anleitung in den übergelagerten Ausklapp-Containern entnehmen.
-
PIN-Rücksetzung aus Key-User-Sicht
Smartcard-User können sich bei Ihnen mit einer PIN-Rücksetzungs-Anfrage melden, z.B. wenn eine Smartcard durch zu viele Eingabeversuche gesperrt worden ist (Eine Sperrung erfolgt nach dreimaliger Fehl-Eingabe). Der Ablauf aus Smartcard-User-Sicht wird weiter oben im Bereich "Troubleshooting & Anleitungen für SAP-Smartcard-Beantragende" beschrieben. Im Folgenden wird der Ablauf aus Key-User-Sicht beschrieben.
Wenn sich eine Smartcard-nutzende-Person bei Ihnen mit einer PIN-Rücksetzungs-Anfrage meldet, müssen Sie zuerst die Identität der Person nachweisen. Wie dies genau erfolgt, wird hochschulintern geregelt.
Sobald der Identitätsnachweis erfolgt ist, folgt die technische Umsetzung. Melden Sie sich dazu mit Ihrer Key-User-Smartcard am Portal an. Die Sperrung der Smartcard hat automatisch einen PIN-Rücksetzungs-Request erzeugt, welchen Sie in Ihrer Inbox vorfinden sollten. Klicken Sie den entsprechenden Pin-Rücksetzungs-Request an:
Es öffnet sich der Vorgang der PIN-Rücksetzung. Legen Sie im Feld "Benutzer-PIN" eine neue 8-stellige Zahlenfolge fest und notieren Sie diese an geeigneter Stelle (Sie benötigen diesen später). Drücken Sie anschließend erst auf "Speichern", dann auf "Genehmigen":
Den zuvor gesetzten neuen Benutzer-PIN übermitteln Sie nun auf geeignete Weise der Smartcard-inhabenden Person. Bitte weisen Sie direkt darauf hin, dass bei Wieder-Inbetriebnahme der Smartcard zuerst die PIN geändert werden muss (da dieser nun nicht nur der Smartcard-inhabenden Person bekannt ist).
Die notwendigen Schritte für den Key-User sind nun abgeschlossen. Die weiteren notwendigen Schritte für den Smartcart-User sind in der obigen PIN-Rücksetzungs-Dokumentation aus Smartcard-User-Sicht beschrieben.
-
Im Fehlerfall: Kartenzuordnung lösen und neu zuordnen
Sollte ein Smartcard-User sich mit seiner Karte nicht an dem Portal anmelden und der Fehler lässt sich nicht identifizieren (z.B. falsche/alte Version des OCF Web Clients, Verwechslung von Activation Code und Transport-PIN,…), besteht eine mögliche Fehlerbehebung in der Neuzuordnung der Smartcard (Token) zur Person.
Führen Sie dafür die weiter oben im Aufklapp-Container beschriebenen Schritte zum "Deregistrieren" und erneuten "Registrieren" der Smartcard (Token) zur Person durch. Falls alles andere nicht hilft, ist dieser Weg einen Versuch wert.
-
Erste Smartcard initalisieren (ohne Portal)
Diese Anleitung findet nur Anwendung, wenn für Ihr Trust-Center / Hochschule bisher noch keine Smartcard erstellt wurde. Sollten Sie (als Key-User) schon eine Smartcard haben, werden neue Smartcards/Personen über das Portal über "Enroll Person" registriert, wie in der obigen Anleitung beschrieben.
Voraussetzung: Eine openSC-Installation
Ablauf für Initialisierung der Smartcard:
- Karte mithilfe des "sc-hsm-tool" mit PIN und SO-PIN initalisieren:
sc-hsm-tool --initialize --so-pin so_pin_exakt_16_zeichen --pin pin_6_bis_15_Zeichen- Die SO-PIN muss exakt 16 Zeichen haben
- Die PIN muss zwischen 6 und 15 Zeichen lang sein
- Die SO-PIN muss sicher und wiederfindbar gespeichert werden, da bei einer gesperrten Karte (z.B. durch zu oft falsch eingegebener PIN) ohne SO-PIN die Karte nicht entsperrt und damit nur noch entsorgen werden kann. Wir empfehlen dafür die Verwendung eines Passwort-Managers (z.B. KeePassXC)
- Anleitung für Linux (Man-Page des Tools)
- Anleitug für Windows
Beispielhafte Einrichtung unter Windows:
Sie befinden sich nun im Tools-Verzeichnis Ihrer OpenSC-Installation und können nun den oben genannten Befehl zur Initialisierung Ihrer Smartcard eingeben.