Nutzerzertifikate

Achtung: Die DFN-PKI hat auf einen neuen Zertifikatsanbieter umgestellt. Auf dem hier beschriebenen Weg können keine Nutzerzertifikate mehr neu ausgestellt werden. Bitte verwenden Sie die neue CA, die auf der Seite https://www.anleitungen.rrze.fau.de/internet-zugang/nutzerzertifikate-tcs-2022/ beschrieben ist. Dort ist u.a. eine papierlose Beantragung möglich!

Personenzertifikate konnten für den dienstlichen Gebrauch beantragt werden und müssen den Richtlinien der DFN-PKI entsprechen. Beachten Sie hier insbesondere Abschnitt 3.1.2 b) zur Namensform. Außerdem sind Sie verpflichtet, die in den Informationen für Zertifikatinhaber aufgeführten Regelungen einzuhalten.
Ihr persönliches Zertifikat ist 3 Jahre gültig.

Damit Sie ihr persönliches Zertifikat nutzen können, müssen Sie:

  1. Einen digitalen Zertifikatsantrag im PEM-Format erstellen.
  2. Den ausgedruckten Antrag ausfüllen und unterschreiben.
  3. Einen Termin bei der RA zur persönlichen Identifizierung ihrer Person vereinbaren.
  4. Ihren privaten Schlüssel und das Zertifikat zusammenführen.

1. Zertifikatantrag erstellen

Mittels der Weboberfläche der DFN-PKI können Sie den Antrag für das Nutzerzertifikat generieren.
Webschnittstelle der CA aufrufen (https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca-g2/pub/)

  • Wählen Sie „Nutzerzertifikat“ im Menü des Hauptpunktes „Zertifikate“
  • Wählen Sie „Nutzerzertifikat beantragen“
  • Formular ausfüllen
    • Vorname: – Verwenden Sie bei der Eingabe ihres Namens keine Umlaute.
    • Nachname: – Verwenden Sie bei der Eingabe ihres Namens keine Umlaute.
    • E-Mail: – Ihre FAU-E-Mailadresse. Diese Mailadresse wird in ihr Zertifikat aufgenommen, keine Privatadresse möglich.
    • Abteilung (OU): – Optional Ihr Instituts- oder Lehrstuhlname
    • Sperr-PIN: – Diese benötigen Sie, um Ihr Zertifikat sperren zu lassen.
  • Zertifizierungsrichtlinie lesen und zustimmen.
  • Wenn Sie einer Veröffentlichung nicht zustimmen, steht ihr Zertifikat nicht im öffentlichen Verzeichnisdienst und Sie können selbst entscheiden, an wen Sie ihren öffentlichen Schlüssel weitergeben möchten.
  • Klicken Sie auf „Weiter“ und bestätigen Sie Ihre Daten. Ihr Schlüsselpaar wird für das beantragte Zertifikat generiert und mit dem Klicken auf „Antragsdatei speichern“ lokal abgelegt. Aktiviert wird dieses jedoch erst, nachdem Sie alle beschriebenen Punkte abgearbeitet haben.
  • Wichtig: Die erzeugte .json Datei wird mit einem zusätzlichen Passwort beim Abspeichern verschlüsselt. Bewahren Sie Datei und Passwort unbedingt auf, da diese beim Zusammenführen des Schlüsselpaars wieder benötigt werden.
  • Zertifikatantrag anzeigen lassen und ausdrucken.
  • Sollten Sie mehrere E-Mailadressen im Zertifikat haben wollen, können Sie sie handschriftlich auf dem Antrag vermerken. Alternativ können Sie wie auf der Seite Serverzertifikate beschrieben einen selbst generierten CSR hochladen und als Zertifikatsprofil „User“ auswählen.

Durch die Umstellung der DFN PKI Anfang 2017 auf eine neue Zertifikatshierarchie und damit verbunden das neue Wurzelzertifikat „T-TeleSec GlobalRoot Class 2“ können Geräte mit Android Version kleiner 5 die Gültigkeit dieser Zertifikate nicht mehr ohne weiteres verifizieren, da ihnen das hierfür nötige Wurzelzertifikat fehlt.

2. Zertifikatsantrag ausfüllen und unterschreiben

Den ausgedruckten Zertifikatsantrag füllen Sie bitte komplett aus und unterschreiben diesen.

3. Termin mit der RA

Kommen Sie innerhalb von 6 Monaten mit ihrem Antrag und gültigem Personalausweis bzw. Reisepass zu einer unserer Kontaktpersonen (siehe oben rechts). Entweder ohne Voranmeldung (und damit ohne Garantie, einen der unterschriftsberechtigten Kollegen zu erreichen) oder Sie vereinbaren einen Termin unter ca@fau.de. Nach 6 Monaten werden die Anträge automatisch aus der PKI-Schnittstelle gelöscht und können vom Teilnehmerservice nicht mehr bearbeitet werden.

4. Schlüsselpaar zusammenführen

Nachdem der Antrag von der Zertifizierungsstelle bearbeitet wurde, wird Ihnen ihr Zertifikat per E-Mail zugeschickt.

  • Sie müssen den Link in der E-Mail für ihr persönliches Zertifikat aufrufen und dort die zuvor gespeicherte .json Datei hochladen sowie das hierfür definierte Passwort angeben.
    Exportieren Sie ihr Schlüsselpaar in eine Datei um ihr Zertifikat im Browser bzw. in ihrem Mailprogramm verwenden zu können.
  • Dazu setzen Sie ein Passwort zur Verschlüsselung des Zertifikatscontainers und speichern die angebotene .p12 Datei an einem sicheren Ort
  • Wichtig: Stellen Sie sicher, dass der private Schlüssel nicht in fremde Hände gelangt. Falls dies doch passiert, müssen Sie ihr Zertifikat sofort sperren.

 

Für den Import Ihres Zertifikates in gängige Mailprogramme stehen Anleitungen zur Verfügung.

Import in Outlook 2016 / 2019 Import in Thunderbird Import in Outlook for Mac

Import Ihres Zertifikats in Adobe Acrobat zum digitalen Signieren von PDF-Dateien

Dokumente signieren mit Adobe Acrobat

die neuesten Adobe Acrobat Versionen benötigen das Root-Zertifikat im PKCS#7 Format mit der Endung .p7b (hier als ZIP-Archiv herunterladen)

Anleitungen für ältere Versionen

Import in Outlook 2010 / 2013 Import in MacMail