Mit einem persönlichen Nutzerzertifikat können u.a. Dateien/E-Mails signiert und/oder verschlüsselt werden. Dadurch wird es z.B. anderen (Kommunikations)partnern ermöglicht, Ihre Identität zu verifizieren oder Dateien/E-Mails zu verschlüsseln. Der Beantragungsweg wird auf dieser Seite Schritt-Für-Schritt beschrieben.
Wie bekomme ich ein Zertifikat?
Voraussetzung: Datenschutz & Nutzungsbedingungen
Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis zur Kenntnis und akzeptieren die Nutzungsbedingungen, zu deren Einhaltung Sie als Inhaber*In eines Zertifikats verpflichtet sind.
Bitte beachten Sie: Da die eindeutige Zuordenbarkeit des Antragstellers zur angegebenen E-Mail-Adresse geprüft werden muss, können Zertifikate nur für dienstliche Mail-Adressen oder Studierenden-Mail-Adressen ausgestellt werden.
Schritt 1: Identifizierung
Um ein Nutzerzertifikat zu beantragen ist eine gültige Identifizierung (anhand eines Ausweisdokuments mit Lichtbild) notwendig.
Eine gültige Identifizierung liegt bereits vor, wenn:
- Sie bereits ein (noch gültiges) Nutzerzertifikat haben
In diesem Fall brauchen Sie keine erneute Identifizierung durchführen und können direkt zu Schritt 2 springen. Beachten Sie, dass in diesem Fall zusätzlich das Versenden einer signierten Mail für Sie notwendig wird, siehe "Punkt 3a. Versenden einer signierten Mail" unter Schritt 3.
Eine gültige Identifizierung liegt vor und es handelt sich um einen Wiederholungsantrag wenn:
- Sie schon im Besitz eines noch gültigen Nutzerzertifikates von GÉANT/TCS/Sectigo sind. Ihr Zertifikat ist dann ausgegeben von "GEANT Peronal C4" und nicht vom DFN-Verein Global Issuing CA.
- Dazu müssen Sie einmal bereits erfolgreich eine Formular-Beantragung für ein Nutzerzertifikat für diese Mailadresse durchgeführt haben.
Dann sind Ihre Daten und die Mailadresse bereits im Certificate Manager von TCS/Sectigo bereits vorhanden und Sie können ohne erneutes Ausfüllen des Formulares direkt mit einer formlosen Beantragung fortfahren. Alles Weitere finden Sie unter der Beantragungsvariante "Schritt 3b: Wiederholungsantrag für ein TCS/Sectigo Nutzerzertifikat" unter Schritt 3 .
Es liegt noch keine persönliche Identifizierung vor.
Sind Sie noch nicht im Besitz eines gültigen Zertifikates, müssen Sie an geeigneter Stelle eine Identifizierung durchführen und ein amtliches Ausweisdokument mit Lichtbild vorlegen. Führen Sie dies bitte zuerst durch bevor Sie mit der Beantragung fortfahren. Auch hier ist nach erfolgter Identifizierung und Beantragung des Zertifikates (Schritt 2 ) der Versand einer Mail notwendig. Weitere Hinweise finden Sie dann unter "3c. Unsignierte Mail nach Durchführung von Postident versenden" sobald Sie auf Ihrem Beantragungsweg Schritt 3 erreichen.
Zur Durchführung einer von der LUH lokal unabhängigen Identifizierung steht Ihnen Postident zur Verfügung:
Wird das Formular ausgefüllt ohne dass eine gültige Identifizierung (signierte Mail, Postident oder - nur vereinzelt möglich - Identifizierung-Service im Institut vor Ort) vorliegt, werden die Daten aus dem Formular verworfen. Das Formular muss dann erneut ausgefüllt werden, sobald die Identifizierung vorliegt.
Schritt 2: Nutzerzertifikat beantragen (Online-Formular)
Beantragen Sie Ihr Zertifikat, indem Sie "Nutzerzertifikat beantragen" anklicken und das Formular ausfüllen. Im verlinkten Formular können auch Gruppenzertifikate beantragt werden. Weitere Informationen über Nutzerzertifikate (Erklärung der verschiedenen Arten von persönlichen Zertifikaten, Verwendungszwecke, Document Signing, …) sind ebenso verlinkt.
Nach Ausfüllen und Absenden des Formulares erhalten sie eine Bestätigungs-Mail (Betreff: "Nutzerzertifikat Anmeldung") mit einer Zusammenfassung Ihrer Angaben.
Schritt 3: Mail versenden zum Erhalt Ihres Zertifikates
Zum Erhalt eines Einladungs-Links zum Download Ihres Zertifikates ist es erforderlich, abschließend eine Mail zu versenden.
Wie unter Schritt 1: Identifizierung beschrieben, wählen Sie die Variante a, b, oder c zur Dokumentation Ihrer vorliegenden Identifizierung.
-
Schritt 3a. Versenden einer signierten Mail
- Dieser Schritt ist nur relevant wenn die Identifizierung wie in Schritt 1 beschrieben, bereits durch ein vorhandenes (noch gültiges) persönliches Nutzerzertifikat vorliegt.
In diesem Fall leiten Sie uns die Bestätigungs-Mail (Betreff: "Nutzerzertifikat Anmeldung") des Beantragungsformular aus Schritt 2 (s.oben) bitte möglichst direkt nach der Beantragung in Form einer (mit dem noch gültigen persönlichen Nutzerzertifikat ) signierten Mail weiter an:
identifizierung@ca.uni-hannover.de
Beachten Sie: Diese Mail muss auch bei Gruppenzertifikatsanträgen mit dem persönlichen Nutzerzertifikat der beantragenden Person signiert werden. Die digitale Signatur ersetzt die früher ebenfalls notwendige Unterschrift.
-
Schritt 3b. Wiederholungsantrag für ein GÉANT/TCS/Sectigo-Nutzerzertifikat
Dieser Abschnitt ist nur für Sie relevant, wenn Sie bereits im Besitz eines gültigen Nutzerzertifikates von GÉANT/TCS/Sectigo sind.
- Ihr Zertifikat ist dann ausgegeben von "GEANT Peronal C4" und nicht vom DFN-Verein Global Issuing CA.
In diesem Fall ist es nicht notwendig, das Beantragungsformular neu ausfüllen, Sie können das Folge-Zertifikat einfach formlos beantragen.
Senden Sie dazu eine mit ihrem persönlichen, noch gültigen Nutzerzertifikat signierte Mail an:
Der Betreff der Mail muss lauten:
- TSC/Sectigo Wiederholungsantrag: Gruppenzertifikat für <Mailadresse> bzw.
- TSC/Sectigo Wiederholungsantrag: Persönliches Zertifikat für <Mailadreesse>
Bei Gruppenzertifikaten ist zu beachten:
- Auch bei einem Antrag auf ein Gruppenzertifikat muss die Beantragungs-Mail mit Ihrem persönlichen Zertifikat signiert sein.
- Um einen Wiederholungsantrag handelt es sich nur, wenn Sie persönlich auch das vorherige Gruppenzertifikat für die entsprechende Funktions-Mailadresse beantragt haben. War das jemand anderes aus Ihrem Institut, ist die Beantragung für Sie eine Erst-Beantragung und Sie müssen das Zertifikat durch Ausfüllen des Formulares beantragen.
- Gegebenenfalls sollten Sie in Ihrem Institut absprechen und kordinieren, wer für welche Funktions-Mailadresse zuständig ist.
-
Schritt 3c. Unsignierte Mail nach Durchführung von Postident versenden
- Dieser Schritt ist nur relevant wenn die Identifizierung per Postident erfolgt ist.
In diesem Fall leiten Sie uns die Bestätigungs-Mail (Betreff: "Nutzerzertifikat Anmeldung") des Beantragungsformulares aus Schritt 2 (s.oben) bitte möglichst direkt nach der Beantragung weiter. Ergänzen Sie den Betreff "Nutzerzertifikat Anmeldung" durch "Postident durchgeführt am " <tt.mm.jjjj> und senden Sie die Mail an:
identifizierung@ca.uni-hannover.de
- Bitte vergessen Sie nicht die Betrefferweiterung "Postident durchgeführt am " <tt.mm.jjjj>, nur im Postident-Fall werden unsignierte Mails akzeptiert.
- Sie haben sich vertan und das Beantragungsformular schon ausgefüllt und abgesendet, Postident aber noch nicht durchgeführt. Dann wird Ihr Antrag gelöscht werden, da noch keine Identifizierung vorliegt.
- Bitte führen Sie dann zuerst Postident durch und beantragen Sie anschließend das Zertifikat erneut wie unter Schritt 2 (s.oben) beschrieben. Leiten Sie anschließend die Bestätigungs-Mail "Nutzerzertifikat Anmeldung" ergänzt durch: "Postident durchgeführt am " <tt.mm.jjjj> weiter an die oben angegebene Mailadresse.
Als Hashalgorithmus darf nicht nicht SHA1 verwendet werden, es muss der Wert SHA256 eingestellt sein.
Das ist bei Outlook einstellbar unter:
Datei - Optionen - Trust Center - Einstellungen für das Trust Center - E-Mailsicherheit - Einstellungen
Wird als Hashalgorithmus SHA1 verwendet, wird die Signatur bei "Nicht-Outlook-Clients" als ungültig angezeigt, Ihre Mail muss erneut angefordert und der Antrag gegebenenfalls neu gestellt werden.
Schritt 4: E-Mail erhalten, Accounterstellung, Zertifikat beantragen & herunterladen
Nachdem das Zertifikatsteam des LUIS Ihren Antrag genehmigt hat (dauert i.d.R. einen Werktag), erhalten Sie eine E-Mail vom Sectigo-Portal zum Erstellen eines persönlichen Accounts. Der Betreff der E-Mail lautet: Your Email Invitation Request. Das Sectigo-Portal wird nicht vom LUIS betrieben und ist daher ein externes System, die E-Mail kommt daher auch von extern. Die von Sectigo verschickte E-Mail ist leider unsigniert. Das ist bedauerlich, jedoch gerade leider nicht zu ändern. Prüfen Sie vor Aufruf des in der E-Mail enthaltenen Links unbedingt die URL. Diese sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Kontaktieren Sie uns, falls Sie Zweifel an der Echtheit der erhaltenen E-Mail haben.
Die E-Mail enthält einen Link, mit dem Sie einen persönlichen Account im Sectigo-Portal erstellen können. Anschließend können Sie mit diesem Account selbstständig ein Nutzerzertifikat beantragen und herunterladen. Bitte beachten Sie, dass es sich bei dem Link um einen Einmal-Link handelt. Haben Sie den Link einmal geklickt, kann er nicht erneut benutzt werden und Sie erhalten eine Fehlermeldung: "Invitation token is invalid. Please use the correct token.", unahhängig davon ob Sie Ihr Zertifikat schon abgeholt und gepeichert haben oder nicht. In einem solchen Fall wenden Sie sich an das Zertifikatsteam, um einen neuen Link zu erhalten.
Die Zertifikats- Erzeugung kann teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten bis der Download möglich ist). Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden.
Im Folgenden finden Sie ausklappbar eine beispielhafte Beantragung mit weiteren Erläuterungen zu den einzelnen Schritten.
-
Screenshots einer beispielhaften Beantragung ab Erhalt der E-Mail
![Erhalt der Einladungs-Mail, um einen Account im Sectigo-Portal zu erstellen und das Nutzerzertifikat zu beantragen. Die Mail ist leider nicht signiert und kommt von extern. Wir raten dazu, die im Mail-Text erwähnte zweite Variante zu verwenden (Copy & Paste des Links in den Web-Browser). Prüfen Sie unbedingt die URL, bevor Sie die Seite aufrufen. Die URL sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Bei Zweifeln an der Echtheit kontaktieren Sie uns gerne.]()
![Erhalt der Einladungs-Mail, um einen Account im Sectigo-Portal zu erstellen und das Nutzerzertifikat zu beantragen. Die Mail ist leider nicht signiert und kommt von extern. Wir raten dazu, die im Mail-Text erwähnte zweite Variante zu verwenden (Copy & Paste des Links in den Web-Browser). Prüfen Sie unbedingt die URL, bevor Sie die Seite aufrufen. Die URL sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Bei Zweifeln an der Echtheit kontaktieren Sie uns gerne.]()
![Erhalt der Einladungs-Mail, um einen Account im Sectigo-Portal zu erstellen und das Nutzerzertifikat zu beantragen. Die Mail ist leider nicht signiert und kommt von extern. Wir raten dazu, die im Mail-Text erwähnte zweite Variante zu verwenden (Copy & Paste des Links in den Web-Browser). Prüfen Sie unbedingt die URL, bevor Sie die Seite aufrufen. Die URL sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Bei Zweifeln an der Echtheit kontaktieren Sie uns gerne.]()
Erhalt der Einladungs-Mail, um einen Account im Sectigo-Portal zu erstellen und das Nutzerzertifikat zu beantragen. Die Mail ist leider nicht signiert und kommt von extern. Wir raten dazu, die im Mail-Text erwähnte zweite Variante zu verwenden (Copy & Paste des Links in den Web-Browser). Prüfen Sie unbedingt die URL, bevor Sie die Seite aufrufen. Die URL sollte mit 'https://cert-manager.com/customer/DFN/smime' anfangen. Bei Zweifeln an der Echtheit kontaktieren Sie uns gerne. ![Nach dem Aufrufen des Links gelangen Sie zum Beantragungsformular. Füllen Sie dieses aus. Die voreingestellten Werte können i.d.R. belassen werden.]()
![Nach dem Aufrufen des Links gelangen Sie zum Beantragungsformular. Füllen Sie dieses aus. Die voreingestellten Werte können i.d.R. belassen werden.]()
![Nach dem Aufrufen des Links gelangen Sie zum Beantragungsformular. Füllen Sie dieses aus. Die voreingestellten Werte können i.d.R. belassen werden.]()
Nach dem Aufrufen des Links gelangen Sie zum Beantragungsformular. Füllen Sie dieses aus. Die voreingestellten Werte können i.d.R. belassen werden. ![Wählen Sie ein ausreichend sicheres Passwort zum Schutz der Zertifikats-Datei und dem darin enthaltenen geheimen Schlüssel. Akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf "Submit".]()
![Wählen Sie ein ausreichend sicheres Passwort zum Schutz der Zertifikats-Datei und dem darin enthaltenen geheimen Schlüssel. Akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf "Submit".]()
![Wählen Sie ein ausreichend sicheres Passwort zum Schutz der Zertifikats-Datei und dem darin enthaltenen geheimen Schlüssel. Akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf "Submit".]()
Wählen Sie ein ausreichend sicheres Passwort zum Schutz der Zertifikats-Datei und dem darin enthaltenen geheimen Schlüssel. Akzeptieren Sie die Nutzungsbedingungen und klicken Sie auf "Submit". ![Sie können nun Ihre Zertifikatsdatei herunterladen.]()
![Sie können nun Ihre Zertifikatsdatei herunterladen.]()
![Sie können nun Ihre Zertifikatsdatei herunterladen.]()
Sie können nun Ihre Zertifikatsdatei herunterladen. ![Nach Klick auf "Download" kann es teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten) bevor die Zertifikatsdatei heruntergeladen werden kann. Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden.]()
![Nach Klick auf "Download" kann es teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten) bevor die Zertifikatsdatei heruntergeladen werden kann. Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden.]()
![Nach Klick auf "Download" kann es teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten) bevor die Zertifikatsdatei heruntergeladen werden kann. Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden.]()
Nach Klick auf "Download" kann es teilweise länger dauern (ca. 3, manchmal bis zu 5 Minuten) bevor die Zertifikatsdatei heruntergeladen werden kann. Wenn der Vorgang vorher abgebrochen wird, ist kein Download mehr möglich und es muss ein neuer Einladungslink beim Zertifikatsteam angefordert werden. ![Die Zertifikatsdatei kann nun heruntergeladen werden. Beachten Sie, dass die Datei auch Ihren privaten Schlüssel enthält, dementsprechend vertraulich sollte diese Datei behandelt werden. Wir empfehlen, die Zertifikatsdatei auch auf einem externen Medium zu speichern, da Sie dadurch gleich eine Sicherungskopie Ihres Zertifikats besitzen. Bei Verwendung eines Passwort-Managers (z.B. KeePassXC) bietet es sich an, das Zertifikatbundle dort zusammen mit dem verwendetem Passwort zu sichern.]()
![Die Zertifikatsdatei kann nun heruntergeladen werden. Beachten Sie, dass die Datei auch Ihren privaten Schlüssel enthält, dementsprechend vertraulich sollte diese Datei behandelt werden. Wir empfehlen, die Zertifikatsdatei auch auf einem externen Medium zu speichern, da Sie dadurch gleich eine Sicherungskopie Ihres Zertifikats besitzen. Bei Verwendung eines Passwort-Managers (z.B. KeePassXC) bietet es sich an, das Zertifikatbundle dort zusammen mit dem verwendetem Passwort zu sichern.]()
![Die Zertifikatsdatei kann nun heruntergeladen werden. Beachten Sie, dass die Datei auch Ihren privaten Schlüssel enthält, dementsprechend vertraulich sollte diese Datei behandelt werden. Wir empfehlen, die Zertifikatsdatei auch auf einem externen Medium zu speichern, da Sie dadurch gleich eine Sicherungskopie Ihres Zertifikats besitzen. Bei Verwendung eines Passwort-Managers (z.B. KeePassXC) bietet es sich an, das Zertifikatbundle dort zusammen mit dem verwendetem Passwort zu sichern.]()
Die Zertifikatsdatei kann nun heruntergeladen werden. Beachten Sie, dass die Datei auch Ihren privaten Schlüssel enthält, dementsprechend vertraulich sollte diese Datei behandelt werden. Wir empfehlen, die Zertifikatsdatei auch auf einem externen Medium zu speichern, da Sie dadurch gleich eine Sicherungskopie Ihres Zertifikats besitzen. Bei Verwendung eines Passwort-Managers (z.B. KeePassXC) bietet es sich an, das Zertifikatbundle dort zusammen mit dem verwendetem Passwort zu sichern. ![Nach Herunterladen des Zertifikats sind Sie weiterhin im Sectigo-Portal eingeloggt. Dort finden Sie verschiedene Funktionen zum Verwalten Ihrer Zertifikate. So können Sie ein neues Zertifikat beantragen oder bestehende Zertifikate einsehen oder herunterladen. Ebenso können bestehende Zertifikate gesperrt werden.]()
![Nach Herunterladen des Zertifikats sind Sie weiterhin im Sectigo-Portal eingeloggt. Dort finden Sie verschiedene Funktionen zum Verwalten Ihrer Zertifikate. So können Sie ein neues Zertifikat beantragen oder bestehende Zertifikate einsehen oder herunterladen. Ebenso können bestehende Zertifikate gesperrt werden.]()
![Nach Herunterladen des Zertifikats sind Sie weiterhin im Sectigo-Portal eingeloggt. Dort finden Sie verschiedene Funktionen zum Verwalten Ihrer Zertifikate. So können Sie ein neues Zertifikat beantragen oder bestehende Zertifikate einsehen oder herunterladen. Ebenso können bestehende Zertifikate gesperrt werden.]()
Nach Herunterladen des Zertifikats sind Sie weiterhin im Sectigo-Portal eingeloggt. Dort finden Sie verschiedene Funktionen zum Verwalten Ihrer Zertifikate. So können Sie ein neues Zertifikat beantragen oder bestehende Zertifikate einsehen oder herunterladen. Ebenso können bestehende Zertifikate gesperrt werden. ![Um später wieder auf diese Oberfläche zuzugreifen, rufen Sie erneut die Seite 'https://cert-manager.com/customer/DFN/smime/login' auf. Für den Zugriff wird Ihnen ein Authenfizierungscode an Ihre E-Mail-Adresse geschickt. Anschließend können Sie erneut Ihre Zertifikate verwalten oder ein neues Zertifikat beantragen.]()
![Um später wieder auf diese Oberfläche zuzugreifen, rufen Sie erneut die Seite 'https://cert-manager.com/customer/DFN/smime/login' auf. Für den Zugriff wird Ihnen ein Authenfizierungscode an Ihre E-Mail-Adresse geschickt. Anschließend können Sie erneut Ihre Zertifikate verwalten oder ein neues Zertifikat beantragen.]()
![Um später wieder auf diese Oberfläche zuzugreifen, rufen Sie erneut die Seite 'https://cert-manager.com/customer/DFN/smime/login' auf. Für den Zugriff wird Ihnen ein Authenfizierungscode an Ihre E-Mail-Adresse geschickt. Anschließend können Sie erneut Ihre Zertifikate verwalten oder ein neues Zertifikat beantragen.]()
Um später wieder auf diese Oberfläche zuzugreifen, rufen Sie erneut die Seite 'https://cert-manager.com/customer/DFN/smime/login' auf. Für den Zugriff wird Ihnen ein Authentifizierungscode an Ihre E-Mail-Adresse geschickt. Anschließend können Sie (theoretisch) Ihre Zertifikate verwalten. In der Praxis funktioniert das erneute Aufrufen der Übersicht im Sectigo-System jedoch leider nicht zuverlässig, die zuvor beantragten Zertifikate tauchen ggf. nicht in der Liste auf (Stand 05-2024).
Schritt 5: Weiteres Vorgehen
Das Zertifikat ist nun nutzbar und kann zur Verwendung in andere Anwendungen importiert werden (z.B. in Ihren Mailclient zum Signieren von E-Mails).
Die Zertifikatsdatei enthält Ihren privaten Schlüssel und sollte daher sorgfältig aufbewahrt und vor Zugriff von Dritten geschützt werden. Wir empfehlen dafür z.B. die Nutzung des Passwort-Managers KeePassXC, welcher neben der Verwaltung von Passwörtern auch die Möglichkeit bietet, Dateien komfortabel als eigenen Datenbank-Eintrag im verschlüsselten Container abzulegen.
Sollten Sie Probleme bei der Integration Ihres Zertifikats haben, können Sie sich sowohl an die PC-verantwortlichen Personen Ihrer Einrichtung wenden als auch Kontakt zum Zertifikatsteam des LUIS aufnehmen.