Nutzerzertifikate (TCS ab 2022)

Diese Seite beschreibt die aktuelle Géant-TCS-Zertifizierungsstelle – bis zum 30.08.2023 war es möglich, Zertifikate über die bisherige DFN CA auszustellen.

Personenzertifikate können für den dienstlichen Gebrauch beantragt und auf dienstliche E-Mail-Adressen ausgestellt werden. Der im Zertifikat eingetragene Name muss bei natürlichen Personen der Schreibweise im Ausweisdokument entsprechen. Dabei dürfen im Ausweis zusätzlich aufgeführte Vornamen weggelassen, jedoch nichts hinzugefügt werden.

Ihr persönliches Zertifikat ist bis zu 2 Jahre gültig.

Damit Sie Ihr persönliches Zertifikat nutzen können, müssen Sie:

  1. Ggf. eine Identitätsüberprüfung durchführen.
  2. Einen digitalen Zertifikatsantrag stellen. Die Zertifizierungsstelle erzeugt daraus das Zertifikat.
  3. Das Zertifikat installieren.

 

Identitätsüberprüfung

Um ein persönliches digitales Zertifikat zu erhalten, ist eine einmalige Identitätsprüfung notwendig, bei der die Übereinstimmung Ihrer Daten mit einem amtlichen Ausweisdokument im Rahmen eines persönlichen Treffens verifiziert wird. Dies findet bisher normalerweise nicht im Rahmen der Einschreibung oder Einstellung statt.

Um eine Identitätsüberprüfung durchzuführen, wenden Sie sich an eine der Service-Theken des RRZE und kommen dort persönlich mit Ihrem gültigen amtlichen Ausweisdokument vorbei (Personalausweis, Reisepass, Aufenthaltstitel).

Nicht als amtliche Ausweisdokumente gelten Führerscheine oder auch die FAUcard.

Wenn Sie sich unsicher sind, ob eine Identitätsprüfung für ein digitales Zertifikat anhand Ihres Ausweisdokumentes möglich ist (z.B. bei Dokumenten, die von Ländern außerhalb der EU ausgestellt wurden), wenden Sie sich gerne an die Kontaktpersonen der FAU-CA unter ca@fau.de

Im Rahmen der Identitätsprüfung können Sie dann auch festlegen, welche Namensbestandteile (z.B. weitere Vornamen oder Doktortitel) im Anzeigenamen des Zertifikats erscheinen sollen, soweit diese im Ausweisdokument eingetragen sind.

 

Persönliche Zertifikate im Self-Service per SSO-Login

Um ein persönliches Zertifikat zu erhalten, das Ihren Namen und Ihre @fau.de E-Mail-Adresse enthält, nutzen Sie direkt die

Webschnittstelle der TCS CA mit SSO-Login

Dort wählen Sie die „Friedrich-Alexander-Universität Erlangen-Nürnberg“ aus (es reicht, in das Suchfeld „Erl“ einzugeben) und klicken auf den entsprechenden Eintrag. Sie werden dann  zur Login-Maske unseres Web-SSO-Anmeldedienstes weitergeleitet. Dort geben Sie Ihre IdM-Zugangsdaten ein, falls Sie noch nicht angemeldet sind, und stimmen ggf. der Datenübertragung Ihres Namens und Ihrer E-Mail-Adresse an die Zertifizierungsstelle zu.

Wenn Sie nach diesem Punkt nicht weiterkommen, sondern eine Fehlermeldung erhalten, liegt das normalerweise daran, dass noch keine Identitätsprüfung für Ihr Benutzerkonto hinterlegt ist. Sie müssen also zunächst an einer der RRZE-Servicetheken eine Identitätsprüfung durchführen.

Die Webschnittstelle der TCS CA wird ausschließlich in englischer Sprache angeboten.

Als „Certificate Profile“ wählen Sie das folgende Profil aus:

GÉANT Personal email signing and encryption

und für die Laufzeit geben Sie als „Term“ üblicherweise

730 days

an, es ist aber auch nur 1 Jahr Laufzeit möglich.

Im nächsten Punkt „Enrollment Method“ werden Sie gefragt, ob Sie selbst ein Schlüsselpaar und einen digitalen Zertifikatsantrag (CSR) erzeugen und hochladen möchten oder ob die TCS CA das Schlüsselpaar für Sie generieren soll („Key Generation“).

Wenn Sie sich unsicher sind, wählen Sie „Key Generation“ aus.

Als nächstes muss in diesem Fall bei „Key Type“ noch der zu generierende Schlüsseltyp ausgewählt werden.

Wir empfehlen derzeit „RSA – 4096„, aber Sie können natürlich auch andere Schlüssellängen verwenden. Bitte beachten Sie aber, dass derzeit nur mit den RSA-Schlüsseln ein Verschlüsseln von E-Mails möglich ist. Die EC-Schlüssel auf Basis von elliptischen Kurven sind derzeit nur für die digitale Signatur freigeschaltet.

Dann wird nach einem Passwort und dessen Bestätigung gefragt. Mit diesem Passwort wird das Zertifikat, das Sie im Anschluss herunterladen können, verschlüsselt. Bitte sorgen Sie dafür, dass Sie sich dieses Passwort mindestens über die 2 Jahre Zertifikatslaufzeit merken können, da es keine Möglichkeit gibt, das Zertifikat erneut zu installieren, wenn Sie dieses Passwort nicht mehr kennen (und die Zertifikatsdatei vorliegen haben).

Bei der Option „Choose key protection algorithm.“ wird nach der Verschlüsselung für den Zertifikatscontainer gefragt.
Hier sollte derzeit „Compatible TripleDES-SHA1“ ausgewählt werden, damit der Container problemlos auf allen Clientbetriebssystemen geöffnet werden kann.

Zuletzt müssen die Geschäftsbedingungen bestätigt und das Zertifikat durch Klick auf „Submit“ beantragt werden.

Dann warten Sie bitte kurz. Es kann bis zu 3 Minuten dauern, bis die Zertifizierungsstelle im Hintergrund das Zertifikat ausstellt und Ihnen dieses direkt zum Herunterladen zur Verfügung stellt.

Gruppenzertifikate, Zertifikate für Funktionspostfächer und Zertifikate mit weiteren E-Mail-Adressen

Wenn die von Ihnen benötigten Zertifikatsinhalte nicht über den SSO-Login zur Verfügung stehen, wenden Sie sich bitte an die FAU-CA unter ca@fau.de um ein entsprechendes Zertifikat zu erhalten.

Nach Prüfung der Angaben durch die FAU-CA erhalten Sie eine Einladung per E-Mail von der Absenderadresse „Sectigo Certificate Manager <support@cert-manager.com>“ mit dem Betreff „Certificate Enrollment Invitation„.

Zertifikatsprofil und Laufzeit sowie Schlüsseltyp und -länge sind in diesem Fall bereits vorausgefüllt.

In die Eingabefelder „First Name“ und „Last Name“ sind Vorname und Nachname der für diese E-Mail-Adresse verantwortlichen Person einzutragen. Nach Möglichkeit behalten Sie die vorausgefüllten Werte bei.

Gruppenzertifikate enthalten aufgrund neuer regulatorischer Bestimmungen leider keinen Anzeigenamen mehr. Das Zertifikat wird über die Haupt-E-Mail-Adresse identifiziert.

Zuletzt müssen die Geschäftsbedingungen bestätigt und das Zertifikat durch Klick auf „Submit“ beantragt werden.

Dann warten Sie bitte kurz. Es kann bis zu 3 Minuten dauern, bis die Zertifizierungsstelle im Hintergrund das Zertifikat ausstellt und Ihnen dieses zum Herunterladen zur Verfügung stellt.

Bei der Option „Choose key protection algorithm.“ wird nach der Verschlüsselung für den Zertifikatscontainer gefragt.
Hier sollte derzeit „Compatible TripleDES-SHA1“ ausgewählt werden, damit der Container problemlos auf allen Clientbetriebssystemen geöffnet werden kann.

Danach wird nach einem Passwort und dessen Bestätigung gefragt. Mit diesem Passwort wird das Zertifikat, das Sie im Anschluss herunterladen können, lokal verschlüsselt. Es findet damit keine Authentifizierung an Systemen der FAU statt. Bitte sorgen Sie dafür, dass Sie sich dieses Passwort mindestens über die 2 Jahre Zertifikatslaufzeit merken können, da es keine Möglichkeit gibt, das Zertifikat erneut zu installieren, wenn Sie dieses Passwort  nicht mehr kennen (und die Zertifikatsdatei vorliegen haben). Bitte verwenden Sie ein Passwort, das Sie ggf. auch den anderen Mitgliedern der Funktionsmailadresse zusammen mit der Zertifikatsdatei zur Verfügung stellen können.

 

Codesigning-Zertifikate

Dieser Zertifikatstyp wurde bis Ende 2023 über die bisherige DFN PKI ausgestellt. Die Ausstellung von Codesigning Zertifikaten in TCS unterliegt verschiedenen Beschränkungen.
Die FAU-CA steht Ihnen unter ca@fau.de gerne für Beratung zur Verfügung.

Videoanleitungen

Für die Einrichtung Ihres persönlichen Zertifikats müssen Sie selbst tätig werden. Alle notwendigen Schritte werden in den folgenden vom CIO-Office zur Verfügung gestellten Anleitungsvideos ausführlich erklärt:
1. Zertifikat erstellen: https://www.intern.fau.de/informationstechnik-it/it-tipps-aus-dem-cio-office/#27
2. Zertifikat einbinden: https://www.intern.fau.de/informationstechnik-it/it-tipps-aus-dem-cio-office/#28
3. Zertifikat verwenden: https://www.intern.fau.de/informationstechnik-it/it-tipps-aus-dem-cio-office/#29
4. Zertifikat aufbewahren: https://www.intern.fau.de/informationstechnik-it/it-tipps-aus-dem-cio-office/#30

(Die Videos sind vom Stand Dezember 2022 – Durch Änderungen seitens der Zertifizierungsstelle im Herbst 2023 ist im Zweifelsfall dieses Textdokument hier maßgeblich)

Zertifikat installieren

Für den Import Ihres Zertifikates in gängige Mailprogramme stehen Anleitungen zur Verfügung.

Import in Outlook 2016 / 2019 Import in Thunderbird Import in Outlook for Mac

Import Ihres Zertifikats in Adobe Acrobat zum digitalen Signieren von PDF-Dateien

Leider hat die Firma Sectigo, von der die neuen TCS Zertifikate ausgestellt werden, die Signatur von Dokumenten in Adobe Acrobat explizit gesperrt. Um die Sperre aufzuheben wären zusätzliche Schritte auf jedem Rechner aller Personen notwendig, die solche Signaturen und Zertifikate überprüfen möchten. Solche Anpassungen schwächen das Vertrauen in die Zertifikatsinfrastruktur und wären allenfalls für FAU-interne Zwecke nutzbar. Sie werden daher von uns nicht mehr empfohlen.

Wir sind in Gesprächen mit dem DFN und anderen Anbietern mit dem Ziel, 2025 eine FAU-weite Dokumentensignaturlösung anbieten zu können.

Wenn es um offizielle externe digitale Signaturen im Namen der FAU geht, wenden Sie sich bitte an die zuständigen Stellen in der ZUV. Die für die FAU unterschriftsberechtigten Personen sind mit Qualifizierten Elektronischen Signaturkarten ausgestattet und können solche digitalen Unterschriften nach den höchsten technischen und rechtlichen Standards leisten.

Anleitungen für ältere Versionen von Mailprogrammen

Import in Outlook 2010 / 2013 Import in MacMail