Leibniz Universität Hannover Main Leibniz University Website
Deutsch Contact Deutsch
Leibniz University IT Services
 
LUIS Services IT Security Zertifikate der LUH-CA
Nutzerzertifikate
Informationen über Nutzerzertifikate
Postident-Verfahren

Nutzerzertifikate

Mit einem persönlichen Nutzerzertifikat können u.a. Dateien/E-Mails signiert und/oder verschlüsselt werden. Dadurch wird es z.B. anderen (Kommunikations)partnern ermöglicht, Ihre Identität zu verifizieren oder Dateien/E-Mails zu verschlüsseln. Der Beantragungsprozess wird auf dieser Seite Schritt-Für-Schritt beschrieben.

Beantragungsprozess

Voraussetzung: Datenschutz & Nutzungsbedingungen

Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis zur Kenntnis und akzeptieren die Nutzungsbedingungen, zu deren Einhaltung Sie als Inhaber*In eines Zertifikats verpflichtet sind.

Datenschutzhinweis
Nutzungsbedingungen

Bitte beachten Sie: Es können Zertifikate nur für dienstliche Mail-Adressen oder Studierenden-Mail-Adressen der LUH ausgestellt werden.

Schritt 1: Identifizierung

Um ein Nutzerzertifikat zu beantragen ist eine gültige Identifizierung (anhand eines Ausweisdokuments mit Lichtbild) notwendig.

Eine gültige Identifizierung liegt bereits vor, wenn:

  • Sie bereits ein (noch gültiges) Nutzerzertifikat haben und signierte Mails versenden können.

In diesem Fall brauchen Sie keine erneute Identifizierung durchführen und können direkt zu Schritt 2 springen.

Andernfalls liegt noch keine gültige Identifizierung für Sie vor.

In diesem Fall müssen Sie eine Identifizierung durchführen und ein amtliches Ausweisdokument mit Lichtbild vorlegen. Nutzen Sie dafür bitte das Postident-Verfahren. In manchen Instituten wird die Identifizierung auch vor Ort angeboten.

Bitte führen Sie die Identifizierung zuerst durch bevor Sie mit der Beantragung fortfahren, sonst muss Ihr Antrag wieder verworfen werden.

Schritt 2: Nutzerzertifikat beantragen (Online-Formular)

Beantragen Sie Ihr Zertifikat, indem Sie "Nutzerzertifikat beantragen" anklicken und das Formular ausfüllen. Im verlinkten Formular können auch Gruppenzertifikate beantragt werden. Hinweise zu Gruppenzertifikaten finden Sie durch Klick auf  "Informationen über Nutzerzertifikate", ebenso finden Sie dort Erläuterungen zu verschiedenen Arten von persönlichen Zertifikaten, Verwendungszwecke, Document Signing, und weiteres.

Nach Ausfüllen und Absenden des Formulares erhalten sie eine Bestätigungs-Mail (Betreff: "Nutzerzertifikat Anmeldung") mit einer Zusammenfassung Ihrer Angaben.

Diese Mail müssen Sie wie im nächsten Schritt 3 beschrieben an identifizierung@ca.uni-hannover.de weiterleiten. Ohne die Durchführung von Schritt 3 (Weiterleitung der Bestätigungs-Mail) wird ihr Antrag verworfen.

Nutzerzertifikat beantragen
Informationen über Nutzerzertifikate

Schritt 3: Bestätigungs-E-Mail weiterleiten

Die in Schritt 2 erhaltene Bestätigungsmail (Betreff: "Nutzerzertifikat Anmeldung") müssen Sie direkt am Tag der Beantragung weiterleiten. Für die Weiterleitung wählen Sie aus den im folgenden beschriebenen Möglichkeiten die für Sie zutreffende Variante aus. Ohne rechtzeitige Weiterleitung muss Ihr Antrag verworfen werden.

  • Schritt 3a. Signiertes Weiterleiten der Bestätigungs-Mail (Persönliches Nutzerzertifikat)

    Diese Option trifft für Sie zu, wenn Sie digital signierte Mails versenden können und ein persönliches Nutzerzertifikat beantragen.

    In diesem Fall leiten Sie uns die Bestätigungs-Mail (Betreff: "Nutzerzertifikat Anmeldung") nach Ausfüllen des Beantragungsformulars aus Schritt 2 bitte direkt am Tag der Beantragung in Form einer (mit dem noch gültigen persönlichen Nutzerzertifikat ) signierten Mail weiter an identifizierung@ca.uni-hannover.de.

  • Schritt 3b. Signiertes Weiterleiten der Bestätigungs-Mail (Gruppenzertifikat)

    Diese Option trifft für Sie zu, wenn Sie mit einem persönlichen Nutzerzertifikat digital signierte Mails versenden können und ein Gruppenzertifikat beantragen.

    In diesem Fall leiten Sie uns die Bestätigungs-Mail (Betreff: "Nutzerzertifikat Anmeldung") nach Ausfüllen des Beantragungsformulars aus Schritt 2 bitte direkt am Tag der Beantragung von ihrer persönlichen Mailadresse in Form einer (mit einem persönlichen Nutzerzertifikat) signierten Mail weiter an identifizierung@ca.uni-hannover.de.

    Wichtig ist, dass die Weiterleitung von ihrer persönlichen Mailadresse erfolgt und nicht von der Funktionsadresse, für die Sie ein Gruppenzertifikat beantragen.

  • Schritt 3c. Unsigniertes Weiterleiten der Bestätigungs-Mail nach Postident

    Diese Option trifft für Sie zu, wenn Sie sich in Schritt 1 per Postident identifiziert haben.

    In diesem Fall leiten Sie uns die Bestätigungs-Mail (Betreff: "Nutzerzertifikat Anmeldung") des Beantragungsformulares aus Schritt 2  (s.oben) bitte direkt am Tag der Beantragung weiter.

    Ergänzen Sie den Betreff "Nutzerzertifikat Anmeldung" durch "Postident durchgeführt am "  <tt.mm.jjjj>  und senden Sie die Mail an identifizierung@ca.uni-hannover.de. Die Erweiterung des Betreffs mit der Datumsangabe erleichtert uns bei der Antragsbearbearbeitung das Auffinden der Identifizierungs-Unterlagen.

Beim Versenden mit Outlook auf den Hashalgorithmus achten.

Als Hashalgorithmus darf nicht nicht SHA1 verwendet werden, es muss der Wert SHA256 eingestellt sein.


Das ist bei Outlook einstellbar unter:


Datei - Optionen - Trust Center - Einstellungen für das Trust Center - E-Mailsicherheit - Einstellungen (wie hier mit Screenshots beschrieben)


Wird als Hashalgorithmus SHA1 verwendet, wird die Signatur bei "Nicht-Outlook-Clients" als ungültig angezeigt, Ihre Mail muss erneut angefordert und der Antrag gegebenenfalls neu gestellt werden.

Schritt 4: E-Mail erhalten, Accounterstellung, Zertifikat beantragen & herunterladen

Nachdem das Zertifikatsteam des LUIS Ihren Antrag genehmigt hat (dauert i.d.R. einen Werktag), erhalten Sie eine E-Mail vom Sectigo-Portal zum Erstellen eines persönlichen Accounts. Der Betreff der E-Mail lautet: Your Email Invitation Request. Das Sectigo-Portal wird nicht vom LUIS betrieben und ist daher ein externes System, die E-Mail kommt daher auch von extern. Die von Sectigo verschickte E-Mail ist leider unsigniert. Das ist bedauerlich, jedoch gerade leider nicht zu ändern. Prüfen Sie vor Aufruf des in der E-Mail enthaltenen Links unbedingt die URL. Diese sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Kontaktieren Sie uns, falls Sie Zweifel an der Echtheit der erhaltenen E-Mail haben.

Die E-Mail enthält einen Link, mit dem Sie einen persönlichen Account im Sectigo-Portal erstellen können. Anschließend können Sie mit diesem Account selbstständig ein Nutzerzertifikat beantragen und herunterladen. Bitte beachten Sie, dass es sich bei dem Link um einen Einmal-Link handelt. Haben Sie den Link einmal geklickt, kann er nicht erneut benutzt werden und Sie erhalten eine Fehlermeldung: "Invitation token is invalid. Please use the correct token.", unahhängig davon ob Sie Ihr Zertifikat schon abgeholt und gepeichert haben oder nicht. In einem solchen Fall wenden Sie sich an das Zertifikatsteam, um einen neuen Link zu erhalten.

Die Zertifikats- Erzeugung kann teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten bis der Download möglich ist). Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden.

Im Folgenden finden Sie ausklappbar eine beispielhafte Beantragung mit weiteren Erläuterungen zu den einzelnen Schritten.

  • Screenshots einer beispielhaften Beantragung ab Erhalt der E-Mail
    Erhalt der Einladungs-Mail, um einen Account im Sectigo-Portal zu erstellen und das Nutzerzertifikat zu beantragen. Die Mail ist leider nicht signiert und kommt von extern. Wir raten dazu, die im Mail-Text erwähnte zweite Variante zu verwenden (Copy & Paste des Links in den Web-Browser). Prüfen Sie unbedingt die URL, bevor Sie die Seite aufrufen. Die URL sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Bei Zweifeln an der Echtheit kontaktieren Sie uns gerne. Erhalt der Einladungs-Mail, um einen Account im Sectigo-Portal zu erstellen und das Nutzerzertifikat zu beantragen. Die Mail ist leider nicht signiert und kommt von extern. Wir raten dazu, die im Mail-Text erwähnte zweite Variante zu verwenden (Copy & Paste des Links in den Web-Browser). Prüfen Sie unbedingt die URL, bevor Sie die Seite aufrufen. Die URL sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Bei Zweifeln an der Echtheit kontaktieren Sie uns gerne. Erhalt der Einladungs-Mail, um einen Account im Sectigo-Portal zu erstellen und das Nutzerzertifikat zu beantragen. Die Mail ist leider nicht signiert und kommt von extern. Wir raten dazu, die im Mail-Text erwähnte zweite Variante zu verwenden (Copy & Paste des Links in den Web-Browser). Prüfen Sie unbedingt die URL, bevor Sie die Seite aufrufen. Die URL sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Bei Zweifeln an der Echtheit kontaktieren Sie uns gerne.
    Erhalt der Einladungs-Mail, um einen Account im Sectigo-Portal zu erstellen und das Nutzerzertifikat zu beantragen. Die Mail ist leider nicht signiert und kommt von extern. Wir raten dazu, die im Mail-Text erwähnte zweite Variante zu verwenden (Copy & Paste des Links in den Web-Browser). Prüfen Sie unbedingt die URL, bevor Sie die Seite aufrufen. Die URL sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Bei Zweifeln an der Echtheit kontaktieren Sie uns gerne.
    Nach dem Aufrufen des Links gelangen Sie zum Beantragungsformular. Füllen Sie dieses aus. Die voreingestellten Werte können i.d.R. belassen werden. Nach dem Aufrufen des Links gelangen Sie zum Beantragungsformular. Füllen Sie dieses aus. Die voreingestellten Werte können i.d.R. belassen werden. Nach dem Aufrufen des Links gelangen Sie zum Beantragungsformular. Füllen Sie dieses aus. Die voreingestellten Werte können i.d.R. belassen werden.
    Nach dem Aufrufen des Links gelangen Sie zum Beantragungsformular. Füllen Sie dieses aus. Die voreingestellten Werte können i.d.R. belassen werden.
    Wählen Sie ein ausreichend sicheres Passwort zum Schutz der Zertifikats-Datei und dem darin enthaltenen geheimen Schlüssel. Akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf "Submit". Wählen Sie ein ausreichend sicheres Passwort zum Schutz der Zertifikats-Datei und dem darin enthaltenen geheimen Schlüssel. Akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf "Submit". Wählen Sie ein ausreichend sicheres Passwort zum Schutz der Zertifikats-Datei und dem darin enthaltenen geheimen Schlüssel. Akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf "Submit".
    Wählen Sie ein ausreichend sicheres Passwort zum Schutz der Zertifikats-Datei und dem darin enthaltenen geheimen Schlüssel. Akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf "Submit".
    Sie können nun Ihre Zertifikatsdatei herunterladen. Sie können nun Ihre Zertifikatsdatei herunterladen. Sie können nun Ihre Zertifikatsdatei herunterladen.
    Sie können nun Ihre Zertifikatsdatei herunterladen.
    Nach Klick auf "Download" kann es teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten) bevor die Zertifikatsdatei heruntergeladen werden kann. Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden. Nach Klick auf "Download" kann es teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten) bevor die Zertifikatsdatei heruntergeladen werden kann. Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden. Nach Klick auf "Download" kann es teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten) bevor die Zertifikatsdatei heruntergeladen werden kann. Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden.
    Nach Klick auf "Download" kann es teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten) bevor die Zertifikatsdatei heruntergeladen werden kann. Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden.
    Die Zertifikatsdatei kann nun heruntergeladen werden. Beachten Sie, dass die Datei auch Ihren privaten Schlüssel enthält, dementsprechend vertraulich sollte diese Datei behandelt werden. Wir empfehlen, die Zertifikatsdatei auch auf einem externen Medium zu speichern, da Sie dadurch gleich eine Sicherungskopie Ihres Zertifikats besitzen. Bei Verwendung eines Passwort-Managers (z.B. KeePassXC) bietet es sich an, das Zertifikatbundle dort zusammen mit dem verwendetem Passwort zu sichern. Die Zertifikatsdatei kann nun heruntergeladen werden. Beachten Sie, dass die Datei auch Ihren privaten Schlüssel enthält, dementsprechend vertraulich sollte diese Datei behandelt werden. Wir empfehlen, die Zertifikatsdatei auch auf einem externen Medium zu speichern, da Sie dadurch gleich eine Sicherungskopie Ihres Zertifikats besitzen. Bei Verwendung eines Passwort-Managers (z.B. KeePassXC) bietet es sich an, das Zertifikatbundle dort zusammen mit dem verwendetem Passwort zu sichern. Die Zertifikatsdatei kann nun heruntergeladen werden. Beachten Sie, dass die Datei auch Ihren privaten Schlüssel enthält, dementsprechend vertraulich sollte diese Datei behandelt werden. Wir empfehlen, die Zertifikatsdatei auch auf einem externen Medium zu speichern, da Sie dadurch gleich eine Sicherungskopie Ihres Zertifikats besitzen. Bei Verwendung eines Passwort-Managers (z.B. KeePassXC) bietet es sich an, das Zertifikatbundle dort zusammen mit dem verwendetem Passwort zu sichern.
    Die Zertifikatsdatei kann nun heruntergeladen werden. Beachten Sie, dass die Datei auch Ihren privaten Schlüssel enthält, dementsprechend vertraulich sollte diese Datei behandelt werden. Wir empfehlen, die Zertifikatsdatei auch auf einem externen Medium zu speichern, da Sie dadurch gleich eine Sicherungskopie Ihres Zertifikats besitzen. Bei Verwendung eines Passwort-Managers (z.B. KeePassXC) bietet es sich an, das Zertifikatbundle dort zusammen mit dem verwendetem Passwort zu sichern.

    Falls Sie in diesem Schritt keine .p12-Datei herunterladen konnten und nun keine .p12-Datei finden können, prüfen Sie bitte Ihren Download-Ordner, ob dort eine Datei mit dem Namen "smime_<verschiedene_Zeichen>.p12" abgespeichert wurde. Je nach Browsereinstellungen wird die Datei automatisch (in den Downloads-Ordnder) heruntergeladen (ohne Extra-Fenster wie im vorigen Screenshot). Die bisherige Erfahrung hat gezeigt, dass dies öfter übersehen wird.

    Nach Herunterladen des Zertifikats sind Sie weiterhin im Sectigo-Portal eingeloggt. Dort finden Sie verschiedene Funktionen zum Verwalten Ihrer Zertifikate. So können Sie ein neues Zertifikat beantragen oder bestehende Zertifikate einsehen oder herunterladen. Ebenso können bestehende Zertifikate gesperrt werden. Bitte beachten: An dieser Stelle kann die .p12-Datei nicht erneut heruntergeladen werden. Diese kann nur einmalig im Schritt davor über den Download-Button heruntergeladen werden. Nach Herunterladen des Zertifikats sind Sie weiterhin im Sectigo-Portal eingeloggt. Dort finden Sie verschiedene Funktionen zum Verwalten Ihrer Zertifikate. So können Sie ein neues Zertifikat beantragen oder bestehende Zertifikate einsehen oder herunterladen. Ebenso können bestehende Zertifikate gesperrt werden. Bitte beachten: An dieser Stelle kann die .p12-Datei nicht erneut heruntergeladen werden. Diese kann nur einmalig im Schritt davor über den Download-Button heruntergeladen werden. Nach Herunterladen des Zertifikats sind Sie weiterhin im Sectigo-Portal eingeloggt. Dort finden Sie verschiedene Funktionen zum Verwalten Ihrer Zertifikate. So können Sie ein neues Zertifikat beantragen oder bestehende Zertifikate einsehen oder herunterladen. Ebenso können bestehende Zertifikate gesperrt werden. Bitte beachten: An dieser Stelle kann die .p12-Datei nicht erneut heruntergeladen werden. Diese kann nur einmalig im Schritt davor über den Download-Button heruntergeladen werden.
    Nach Herunterladen des Zertifikats sind Sie weiterhin im Sectigo-Portal eingeloggt. Dort finden Sie verschiedene Funktionen zum Verwalten Ihrer Zertifikate. So können Sie ein neues Zertifikat beantragen oder bestehende Zertifikate einsehen oder herunterladen. Ebenso können bestehende Zertifikate gesperrt werden. Bitte beachten: An dieser Stelle kann die .p12-Datei nicht erneut heruntergeladen werden. Diese kann nur einmalig im Schritt davor über den Download-Button heruntergeladen werden.
    Um später wieder auf diese Oberfläche zuzugreifen, rufen Sie erneut die Seite 'https://cert-manager.com/customer/DFN/smime/login' auf. Für den Zugriff wird Ihnen ein Authentifizierungscode an Ihre E-Mail-Adresse geschickt. Anschließend können Sie (theoretisch) Ihre Zertifikate verwalten. In der Praxis funktioniert das erneute Aufrufen der Übersicht im Sectigo-System jedoch leider nicht zuverlässig, die zuvor beantragten Zertifikate tauchen ggf. nicht in der Liste auf (Stand 05-2024). Um später wieder auf diese Oberfläche zuzugreifen, rufen Sie erneut die Seite 'https://cert-manager.com/customer/DFN/smime/login' auf. Für den Zugriff wird Ihnen ein Authentifizierungscode an Ihre E-Mail-Adresse geschickt. Anschließend können Sie (theoretisch) Ihre Zertifikate verwalten. In der Praxis funktioniert das erneute Aufrufen der Übersicht im Sectigo-System jedoch leider nicht zuverlässig, die zuvor beantragten Zertifikate tauchen ggf. nicht in der Liste auf (Stand 05-2024). Um später wieder auf diese Oberfläche zuzugreifen, rufen Sie erneut die Seite 'https://cert-manager.com/customer/DFN/smime/login' auf. Für den Zugriff wird Ihnen ein Authentifizierungscode an Ihre E-Mail-Adresse geschickt. Anschließend können Sie (theoretisch) Ihre Zertifikate verwalten. In der Praxis funktioniert das erneute Aufrufen der Übersicht im Sectigo-System jedoch leider nicht zuverlässig, die zuvor beantragten Zertifikate tauchen ggf. nicht in der Liste auf (Stand 05-2024).
    Um später wieder auf diese Oberfläche zuzugreifen, rufen Sie erneut die Seite 'https://cert-manager.com/customer/DFN/smime/login' auf. Für den Zugriff wird Ihnen ein Authentifizierungscode an Ihre E-Mail-Adresse geschickt. Anschließend können Sie (theoretisch) Ihre Zertifikate verwalten. In der Praxis funktioniert das erneute Aufrufen der Übersicht im Sectigo-System jedoch leider nicht zuverlässig, die zuvor beantragten Zertifikate tauchen ggf. nicht in der Liste auf (Stand 05-2024).

Schritt 5: Weiteres Vorgehen

Das Zertifikat ist nun nutzbar und kann zur Verwendung in andere Anwendungen importiert werden (z.B. in Ihren Mailclient zum Signieren von E-Mails).

Die Zertifikatsdatei enthält Ihren privaten Schlüssel und sollte daher sorgfältig aufbewahrt und vor Zugriff von Dritten geschützt werden. Wir empfehlen dafür z.B. die Nutzung des Passwort-Managers KeePassXC, welcher neben der Verwaltung von Passwörtern auch die Möglichkeit bietet, Dateien komfortabel als eigenen Datenbank-Eintrag im verschlüsselten Container abzulegen.

Sollten Sie Probleme bei der Integration Ihres Zertifikats haben, können Sie sich sowohl an die PC-verantwortlichen Personen Ihrer Einrichtung wenden als auch Kontakt zum Zertifikatsteam des LUIS aufnehmen.

Anleitungen für die Verwendung und Einbinden von Nutzerzertifikaten (z.B. in Mail-Clients, Adobe Reader)
Anleitungen
Hinweise und Tipps zum sicheren Umgang mit E-Mails insbesondere in Verbindung mit dem Nutzerzertifikat.
Sichere E-Mail
Bekannte (gelegentlich auftretende) Fehler beim Import der .p12-Datei ("Smartcard auswählen", "Kennwort falsch"…) auf einigen Systemen (Windows, iOS)
zur Lösung

Kontakt

Zertifikatsteam des LUIS
Email
zertifikatsteam@luis.uni-hannover.de
Zertifikatsteam des LUIS
Email
zertifikatsteam@luis.uni-hannover.de

Last Change: 28.11.24; Zertifikatsteam des LUIS Print

Contact us
Contact