Der Weg zum Persönlichen Zertifikat

Wichtige Änderung!

Wegen einiger Sicherheitsvorfälle wurde vom DFN-Cert die Video-Identisprüfungen untersagt. Im Moment können wir also nur noch persönliche Identitätsprüfungen vor Ort durchführen. Verlängerungsanträge können mit dem bestehen Zertifikat signiert werden. Dazu ist keine weitere Identifizierung erforderlich.

Wir bauen gerade ein neues Verfahren zur Zertifikatausgabe auf. Sobald die Testphase abgeschlossen ist, wird dieses das bisherige Verfahren ablösen.

Um ein Zertifikat zur Signatur oder zur Verschlüsselung einsetzen zu können, müssen Sie folgende Schritte durchlaufen:

1. Zertifikat anfordern

Füllen Sie den Antrag beim DFN aus.

Bitte merken Sie sich unbedingt das von Ihnen vergebene Passwort und speichern die .json Datei.

Anleitung zum Ausfüllen

2. Identitätsprüfung

Wir müssen Ihre Identität prüfen. Die Identitätsprüfung kann im Moment nur noch in einem persönlichen Termin erfolgen.

Für eine Überprüfung im ZIM füllen Sie bitte dieses Formular aus.

Ein:e Kollege:in wird sich zu einer Terminabsprache bei Ihnen melden.

Ansprechpartner in den Fakultäten

3. Zertifikat installieren

Nachdem die Identitätsprüfung erfolgt ist, wird das Zertifikat ausgestellt und Sie erhalten eine E-Mail mit einem Link, über den Sie das Zertifikat installieren.

Hinweise zur Installation

4.a. Zertifikat in E-Mail Klient importieren

Sie können nun das Zertifikat in E-Mail-Klienten wie 'Mozilla Thunderbird' oder 'Microsoft Outlook' zum Signieren Ihrer E-Mails verwenden.

Anleitungen

4.b. Zertifikat in PDF Dokumenten verwenden

Sie können nun das Zertifikat in Foxit oder Adobe Acrobat DC einbinden und ein PDF Dokument signieren.

Anleitungen

Erneuerung von Zertifikaten

Wenn ein Zertifikat abläuft, erhalten Sie eine automatisch generierte E-Mail vom DFN. Auf den Text dieser E-Mail haben wir keinen Einfluß.

Beantragen Sie bitte wie beschrieben das neue Zertifikat und laden dieses wie beim ersten Antrag über die Webseite 'Identitätsprüfung für Nutzerzertifikate' hoch. Wenn die letzte Überprüfung noch keine 39 Monate her ist, signieren Sie den neuen Antrag mit ihrem bisherigen Zertifikat (siehe Anleitung). Es muss dann keine erneute Identitätsprüfung durchgeführt werden.

Sperren eines Zertifikates

Wenn Sie Ihr Zertifikat nicht mehr benötigen, können Sie dieses sperren lassen. Das Zertifikat wird damit ungültig und kann nicht missbraucht werden.

Sie können die Sperrung direkt über die Webseite https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4110/revoke beantragen.

Falls ihnen die notwendigen Informationen (Seriennummer und Sperr-PIN) nicht mehr vorliegen, können Sie die Sperrung auch über die ZIM-Hotline beantragen.

 

Anleitung zum Ausfüllen des DFN-Antrages

Besuchen Sie folgende Homepage, um Ihr persönliches Zertifikat anzufordern: 'Uni-DUE CA'

Zertifikat-01

  • ​Wählen Sie dort 'Nutzerzertifikat beantragen'.
  • Bitte füllen Sie das Formular aus.
    Geben Sie als E-Mail Adresse die Kurzform @uni-due.de an.
    'Abteilung' muss nicht ausgefüllt werden. Wenn Sie es ausfüllen wollen, dann eher grob strukturiert z.B. 'Verwaltung'.
    Belassen Sie den Namensraum auf O=Universitaet Duisurg-Essen,C=DE.
    Sperr-PIN (die benötigen Sie, wenn Sie das Zertifikat sperren lassen wollen. Sie ist hier erforderlich aber nicht wirklich wichtig.)
  • Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats zustimmen, wird dieses zum Verzeichnisdienst der DFN-PKI hinzugefügt, der im Internet frei zugänglich ist. Der Vorteil einer Veröffentlichung besteht darin, dass jeder, der Ihnen eine verschlüsselte E-Mail senden möchte, dies leicht tun kann, da das entsprechende Zertifikat frei verfügbar ist.
    Bitte beachten Sie:
    Sie können Ihre Zustimmung zur Veröffentlichung Ihres Zertifikats jederzeit mit Wirkung für die Zukunft durch eine E-Mail an dfnpca@dfn-cert.de widerrufen.
    Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats nicht zustimmen, kann dies nachträglich nicht geändert werden. Sie müssen dann ein neues Zertifikat beantragen und dafür der Veröffentlichung zustimmen.
  • Bestätigen Sie die Angaben mit 'Weiter' und klicken dann auf 'Antragsdatei speichern'
  • Sie werden aufgefordert die Datei mit einem Passwort zu sichern
    (dieses Passwort unbedingt merken!)
  • Ihnen wird nun einen Dialog angezeigt, in dem Sie zwischen "Datei öffnen" und "Datei speichern" wählen können. Wählen Sie unbedingt "Datei speichern". Die Datei hat die Endung .json und wird in das von Ihnen gewählte Download-Verzeichnis gelegt. Speichern Sie diese Datei an einem Ort, an dem Sie die Datei später auch wiederfinden.
  • Die Webseite beinhaltet nun einen Knopf mit der Aufschrift 'Zerifikatsantragsformular (PDF) herunterladen'. Hier können Sie auf "öffnen" klicken.
  • Drucken Sie die PDF-Datei aus und unterschreiben Sie den Antrag. Da wir eine Identitätsprüfung vornehmen müssen, scannen Sie bitte den unterschriebenen Antrag ein und laden diesen über das Formular Identitätsprüfung hoch.

Hinweise zur Installation des Zertifikates

Nachdem Sie bei der Registrierungsstelle waren, wird das Zertifikat ausgestellt und Sie erhalten eine E-Mail mit einem Link.

​Wenn Sie diesem Link folgen, werden Sie nach der 'Antragsdatei' gefragt. Damit ist nicht die PDF-Datei gemeint, sondern die JSON-Datei, die zuerst erstellt wurde.

Jetzt benötigen Sie auch das Passwort, das Sie für die Datei gesetzt haben.

Die Informationen aus der JSON-Datei (privater Schlüssel) werden jetzt mit dem Zertifikat verknüpft und in eine dritte Datei gegossen. Sie hat die Endung .p12 . Diese wird ebenfalls mit einem Passwort gesichert.

Legen Sie sich die .p12-Datei an einem sichereren Ort ab. Die JSON-Datei und die PDF-Datei werden nicht mehr benötigt.

Die .p12 Datei (und das zugehörige Passwort) benötigen Sie, um das Zertifikat in Ihr Mailprogramm (vielleicht Outlook) einzubinden und dort mit dem Mailkonko zu verknüpfen.

Achtung:

Bewahren Sie unbedingt die Zertifikatsdatei und das zugehörige Passwort auf. Das gilt auch für alte Zertifikate, die abgelaufen sind!

Sie brauchen diese alten Zertifikatsdateien z.B. um ältere verschlüsselte E-Mails lesen zu können. Weiterhin benötigen Sie die Zertifikatsdatein, wenn Sie den Rechner wechseln.

Ohne diese Zertifikatsdatei (mit Passwort) können Sie diese E-Mails nicht mehr lesen. Es besteht dann keine Möglichkeit mehr, diese E-Mails zu entschlüsseln!