Anleitungen digitale Zertifikate
In den folgenden Schritt-für-Schritt Anleitungen zeigen wir Ihnen, wie Sie ein digitales Zertifikat beantragen, verwalten oder sperren. Bitte wählen Sie das entsprechende Zertifkat aus. Nähere Informationen zu den einzelnen Zertifikaten erhalten Sie unter Services/
Der DFN hat uns darüber informiert, dass Sectigo den Vertrag mit GÉANT gekündigt hat! Dies hat folgende Auswirkungen für Sie:
- Es ist damit zu rechnen, dass bereits ab dem 10.1.2025 keine neuen Zertifikate ausgestellt werden können.
- Mit einem Widerrufen bestehender Zertifikate wird laut DFN aktuell nicht gerechnet.
- Den aktuellen Stand zu diesem Thema können Sie unter https://doku.tid.dfn.de/de:dfnpki:tcsfaq:aktuellesituation verfolgen
- GÉANT und DFN arbeiten mit Hochdruck an der Suche nach einem neuen Anbieter.
Unsere aktuelle Handlungsempfehlung:
- Erneuern Sie bei kritischen Server rechtzeitig vor Ende des Vertrages die Zertifikate um auch ggf. eine Zeit ohne neuen Anbieter überbrücken zu können.
Persönliches Zertifikat
beantragen
Schritt 1:
Klicken Sie zunächst auf diesen Link um zur Beantragung zu unserem derzeitigen Zertifikatsanbieter Sectigo zu gelangen.
Schritt 2:
Nachdem Sie auf den Link geklickt haben, müssen Sie zunächst eine Institution auswählen. Hier genügt es „Mannheim“ in der Suchleiste einzugeben um das Suchergebnis „University of Mannheim“ angezeigt zu bekommen. Bitte wählen Sie diesen Eintrag aus um auf die Anmeldeseite weitergeleitet zu werden.
Schritt 3:
Melden Sie sich mit ihrer Uni-ID und ihrem Passwort an und stimmen Sie der Datenübermittlung an Sectigo zu.
Schritt 4:
Wählen Sie nun gemäß der folgenden Auflistung die entsprechende Werte im angezeigten Formular aus:
- Certificate Profile: „GÉANT Personal email signing and encryption“
- Term: „730 days“
- Enrollment Method: „Key Generation“
- Key Type: „RSA – 4096“
- Password: Ein Passwort ihrer Wahl
- Key Protection Algorithm: „Compatible TripleDES-SHA1“
Bitte merken Sie sich das Passwort gut! Es wird immer dann benötigt, wenn Sie das Zertifikat auf einem neuen Gerät installieren möchten.
Klicken Sie in das Kästchen „I have read and agree to the terms of the EULA” und akzeptieren Sie die angezeigten EULA mit einem Klick auf „Agree“. Zum Absenden des Antrags wählen Sie bitte „Submit“.
Schritt 5:
Das Zertifikat wird nun durch Ihren Browser für Sie generiert. Die Dauer kann bis zu mehreren Minuten betragen. Bitte warten Sie bis Ihnen das Zertifikat im .p12 Format zum Download angeboten wird und speichern Sie diese Datei anschließend.
Schritt 6:
Um das Zertifikat nun auf ihrem Gerät zu installieren, öffnen Sie die heruntergeladene .p12 Datei und folgenden den Anweisungen ihres Gerätes.
in Outlook einbinden
Standardmäßig verwendet Outlook beim Signieren das Verfahren SHA1, welches u.a. bei Empfänger*innen, die Thunderbird nutzen, die Fehlermeldung „Digitale Signatur ist ungültig“ generiert. Die Universitäts-IT empfiehlt daher, ein neueres Verfahren zu verwenden, wie zum Beispiel SHA256.
Gehen Sie hierfür wie folgt vor:1. Zertifikat in Outlook importieren:
- Klicken Sie in Outlook unter „Datei“ auf „Optionen“ und anschließend auf „Trust Center“. Wählen Sie hier „Einstellungen für das Trust Center...“ aus.
- Klicken Sie nun unter „E-Mail-Sicherheit“ auf „Importieren/ Exportieren...“.
- Wählen Sie nun im sich öffnenden Fenster die exportierte Zertifikatsdatei aus, geben Sie das Kennwort ein und klicken Sie auf „OK“:
- Setzen Sie den Haken bie „Ausgehende Nachrichten digitale Signatur hinzufügen“.
2. Zertifikat anzeigen
- Klicken Sie in Outlook unter „Datei“ auf „Optionen“ und anschließend auf „Trust Center“. Wählen Sie hier „Einstellungen für das Trust Center...“ aus.
- Klicken Sie unter dem Reiter „E-Mail-Sicherheit“ bei „Verschlüsselte E-Mail-Nachrichten“ auf „Einstellungen“.
- Wählen Sie im sich öffnenden Fenster die entsprechende Sicherheitsregel (siehe Screenshot) aus und klicken Sie auf „Auswählen…"
- Anschließend kann unter „Zertifikateigenschaften anzeigen“ das Zertifikat angezeigt werden.
sperren
Sollten Sie Ihr Zertifikat nicht mehr benötigen, wurde das Zertifikat kompromittiert oder sind nicht mehr berechtigte Personen weiterhin im Besitz des privaten Schlüssels sollten Sie eine Sperrung des Zertifikats veranlassen. Schreiben Sie hierzu bitte eine E-Mail an ca-admin mit der Bitte um Sperrung und der Nennung des betroffenen Zertifikats. Sobald das Zertifikat gesperrt wurde, erhalten Sie durch Sectigo eine Benachrichtigung. uni-mannheim.de
Gruppenzertifikat
beantragen
Schritt 1:
Gruppenzertifikate werden nur über eine „Einladung“ durch Sectigo erzeugt. Falls Sie ein Gruppenzertifikat beantragen möchten, nutzen Sie bitte dieses Formular oder senden Sie uns alternativ eine E-Mail an ca-admin. Ihre E-Mail muss die E-Mailadresse enthalten für welche das Zertifikat beantragt wird und außerdem muss auch der Anzeigename des Zertifikats bestimmt werden. uni-mannheim.de
Der Antragsteller muss Inhaber*in bzw. in Verbindung zum Inhaber*in des Postfaches stehen, für welches die E-Mailadresse registriert ist.
Schritt 2:Sie werden zum IdP-Login der Universität Mannheim weitergeleitet. Geben Sie hier Ihre Uni-ID und das zugehörige Passwort ein und klicken Sie auf den Button „Anmelden“.
Schritt 3:
Füllen Sie das Antragsformular aus und klicken Sie dann auf „Antrag senden“.
Schritt 4:
Sobald wir Ihren Antrag bearbeitet haben, erhalten Sie eine E-Mail von Sectigo mit einem Link zur Beantragung des Zertifikats.
Bitte folgen Sie dem Link in der E-Mail und lassen Sie alle vorausgefüllten Felder im angezeigten Formular unverändert! Sie müssen lediglich die EULA akzeptieren und das Formular mit einem Klick auf „Submit“ absenden.
Schritt 5:
Wählen Sie nun unter „Choose key protection algorithm“ die Option „Compatible TripleDES-SHA1“ aus und wählen Sie ein Passwort. Dieses Passwort wird zum späteren Import/
Export des Zertifikats benötigt.
Ein Klick auf „Download“ erzeugt das Zertifikat und lädt das Zertifikat herunter.sperren
Sollten Sie Ihr Zertifikat nicht mehr benötigen, wurde das Zertifikat kompromittiert oder sind nicht mehr berechtigte Personen weiterhin im Besitz des privaten Schlüssels sollten Sie eine Sperrung des Zertifikats veranlassen. Schreiben Sie hierzu bitte eine E-Mail an ca-admin mit der Bitte um Sperrung und der Nennung des betroffenen Zertifikats. Sobald das Zertifikat gesperrt wurde, erhalten Sie durch Sectigo eine Benachrichtigung. uni-mannheim.de
Serverzertifikat
beantragen
Schritt 1:
Um ein Serverzertifikat zu beantragen, müssen Sie zunächst einen „Certificate Request“ erzeugen. In diesem sind alle relevanten Informationen zur Generierung des Zertifikats enthalten. Der folgende Befehl auf einem Windows- oder Linux Betriebssystem mit installiertem „openssl“ ausgeführt, generiert einen Zertifikatsrequest (CSR):
openssl req -new -newkey rsa:4096 -sha512 -nodes -subj '/C=DE/ST=Baden-Wuerttemberg/O=Universitet Mannheim/
CN=FQDN/emailAddress=ihre-emailadresse uni-mannheim.de' -keyout FQDN.key -out FQDN.csr
Bitte ersetzen Sie im obigen Befehl die fett markierten Attribute mit den passenden Werten. Möchten Sie alternative Domainnamen in das Zertifikat mit aufnehmen, können Sie diese später problemlos auf der Antragsseite von Sectigo ergänzen.Schritt 2:
Rufen Sie nun den Sectigo Certificate Manager auf um den soeben erzeugten CSR hochzuladen.
Schritt 3:
Klicken Sie auf „Your Institution“ und suchen Sie zunächst die passende Institution. Hier genügt es „Mannheim“ in der Suchleiste einzugeben um das Suchergebnis „University of Mannheim“ angezeigt zu bekommen. Bitte wählen Sie diesen Eintrag aus um auf die Anmeldeseite weitergeleitet zu werden.
Schritt 4:
Melden Sie sich mit ihrer Uni-ID und ihrem Passwort an und stimmen Sie der Datenübermittlung an Sectigo zu.
Schritt 5:
Falls Sie nicht automatisch auf das „SSL Certificate Enrollment“ Formular geleitet werden, klicken Sie bitte oben rechts auf „Enroll Certificate“.
Schritt 6:
Klicken Sie in dem angezeigten Formular nun auf „Upload CSR“ und laden Sie den Zertifikatsantrag (CSR) hoch.
Falls Sie Alternative Domainnamen in das Zertifikat aufnehmen möchten, tragen Sie diese bitte als komma-getrennte Liste in das Feld „Subject Alternative Names“ ein
Falls Sie außerdem weitere Personen mit relevanten Informationen über das Zertifikat informieren möchten, geben Sie die zutreffenden E-Mailadressen unter „External Requesters“ an.Schritt 7:
Ein Klick auf „Submit“ sendet den Antrag ab.
Das CA-Team wird automatisch über Ihren Antrag informiert und diesen zeitnah bearbeiten. Sobald das Zertifikat genehmigt wurde, erhalten Sie eine E-Mail von Sectigo mit weiteren Informationen sowie diversen Downloadmöglichkeiten des Zertifikats.
sperren
Sollten Sie Ihr Zertifikat nicht mehr benötigen, wurde das Zertifikat kompromittiert oder sind nicht mehr berechtigte Personen weiterhin im Besitz des privaten Schlüssels sollten Sie eine Sperrung des Zertifikats veranlassen. Schreiben Sie hierzu bitte eine E-Mail an ca-admin mit der Bitte um Sperrung und der Nennung des betroffenen Zertifikats. Sobald das Zertifikat gesperrt wurde, erhalten Sie durch Sectigo eine Benachrichtigung. uni-mannheim.de
Alternativ können Sie auch folgende Schritte durchführen um selbst eine Sperrung zu veranlassen:
Schritt 1:
Rufen Sie den Sectigo Certificate Manager auf
Schritt 2:
Klicken Sie auf „Your Institution“ und suchen Sie zunächst die passende Institution. Hier genügt es „Mannheim“ in der Suchleiste einzugeben um das Suchergebnis „University of Mannheim“ angezeigt zu bekommen. Bitte wählen Sie diesen Eintrag aus um auf die Anmeldeseite weitergeleitet zu werden.
Schritt 3:
Melden Sie sich mit ihrer Uni-ID und ihrem Passwort an und stimmen Sie der Datenübermittlung an Sectigo zu.
Schritt 4:
Klicken Sie auf „Back to Certificate List“ um eine Liste aller bisher beantragen Zertifikate anzuzeigen.
Schritt 5:
Wählen Sie das gewünschte Zertifikat aus der Liste aus und aktivieren Sie die Checkbox vor dem Listeneintrag. Mit einem Klick auf „Revoke“ kann das Zertifikat nach der Angabe einer Begründung widerrufen werden.
Sobald das Zertifikat widerrufen wurde, erhalten Sie von Sectigo eine Bestätigung per E-Mail.
Code-Signing Zertifikat
beantragen
Code-Signing Zertifikate werden für die Signierung von Software verwendet und stellen sicher, dass die Software nicht durch Dritte manipuliert und ggf. mit Schadsoftware infiziert wurde. Derzeit bietet Sectigo lediglich OV (Organisation Validation) Code-Signing Zertifikate an, welche nur eine eingeschränkte Vertraulichkeit vorweißen. Es existiert jedoch ein kostenpflichtiges Angebot, über welches ein EV (Extended Validation) Code Signing Zertifikat erworben werden kann. Dieser Zertifikatstyp weißt eine höhere Vertrauchlichkeit durch einen aufwendigeren Validierungsprozess auf.
Falls Sie Interesse an einem Code-Signing Zertifikat haben, schreiben Sie uns bitte eine E-Mail mit ihrem konkreten Vorhaben an ca-admin um das weitere Vorgehen zu besprechen. uni-mannheim.de