In den folgenden Schritt-für-Schritt Anleitungen zeigen wir Ihnen, wie Sie ein digitales Zertifikat beantragen, verwalten oder sperren. Bitte wählen Sie das entsprechende Zertifkat aus. Nähere Informationen zu den einzelnen Zertifikaten erhalten Sie unter Services/
Schritt 1:
Klicken Sie zunächst auf diesen Link um zur Beantragung zu unserem derzeitigen Zertifikatsanbieter Sectigo zu gelangen.
Schritt 2:
Nachdem Sie auf den Link geklickt haben, müssen Sie zunächst eine Institution auswählen. Hier genügt es „Mannheim“ in der Suchleiste einzugeben um das Suchergebnis „University of Mannheim“ angezeigt zu bekommen. Bitte wählen Sie diesen Eintrag aus um auf die Anmeldeseite weitergeleitet zu werden.
Schritt 3:
Melden Sie sich mit ihrer Uni-ID und ihrem Passwort an und stimmen Sie der Datenübermittlung an Sectigo zu.
Schritt 4:
Wählen Sie nun gemäß der folgenden Auflistung die entsprechende Werte im angezeigten Formular aus:
Bitte merken Sie sich das Passwort gut! Es wird immer dann benötigt, wenn Sie das Zertifikat auf einem neuen Gerät installieren möchten.
Klicken Sie in das Kästchen „I have read and agree to the terms of the EULA” und akzeptieren Sie die angezeigten EULA mit einem Klick auf „Agree“. Zum Absenden des Antrags wählen Sie bitte „Submit“.
Schritt 5:
Das Zertifikat wird nun durch Ihren Browser für Sie generiert. Die Dauer kann bis zu mehreren Minuten betragen. Bitte warten Sie bis Ihnen das Zertifikat im .p12 Format zum Download angeboten wird und speichern Sie diese Datei anschließend.
Schritt 6:
Um das Zertifikat nun auf ihrem Gerät zu installieren, öffnen Sie die heruntergeladene .p12 Datei und folgenden den Anweisungen ihres Gerätes.
Standardmäßig verwendet Outlook beim Signieren das Verfahren SHA1, welches u.a. bei Empfänger*innen, die Thunderbird nutzen, die Fehlermeldung „Digitale Signatur ist ungültig“ generiert. Die Universitäts-IT empfiehlt daher, ein neueres Verfahren zu verwenden, wie zum Beispiel SHA256.
Gehen Sie hierfür wie folgt vor:
1. Zertifikat in Outlook importieren:
2. Zertifikat anzeigen
Sollten Sie Ihr Zertifikat nicht mehr benötigen, wurde das Zertifikat kompromittiert oder sind nicht mehr berechtigte Personen weiterhin im Besitz des privaten Schlüssels sollten Sie eine Sperrung des Zertifikats veranlassen. Schreiben Sie hierzu bitte eine E-Mail an ca-admin mit der Bitte um Sperrung und der Nennung des betroffenen Zertifikats. Sobald das Zertifikat gesperrt wurde, erhalten Sie durch Sectigo eine Benachrichtigung. uni-mannheim.de
Schritt 1:
Gruppenzertifikate werden nur über eine „Einladung“ durch Sectigo erzeugt. Falls Sie ein Gruppenzertifikat beantragen möchten, nutzen Sie bitte dieses Formular oder senden Sie uns alternativ eine E-Mail an ca-admin. Ihre E-Mail muss die E-Mailadresse enthalten für welche das Zertifikat beantragt wird und außerdem muss auch der Anzeigename des Zertifikats bestimmt werden. uni-mannheim.de
Der Antragsteller muss Inhaber*in bzw. in Verbindung zum Inhaber*in des Postfaches stehen, für welches die E-Mailadresse registriert ist.
Schritt 2:
Sie werden zum IdP-Login der Universität Mannheim weitergeleitet. Geben Sie hier Ihre Uni-ID und das zugehörige Passwort ein und klicken Sie auf den Button „Anmelden“.
Schritt 3:
Füllen Sie das Antragsformular aus und klicken Sie dann auf „Antrag senden“.
Schritt 4:
Sobald wir Ihren Antrag bearbeitet haben, erhalten Sie eine E-Mail von Sectigo mit einem Link zur Beantragung des Zertifikats.
Bitte folgen Sie dem Link in der E-Mail und lassen Sie alle vorausgefüllten Felder im angezeigten Formular unverändert! Sie müssen lediglich die EULA akzeptieren und das Formular mit einem Klick auf „Submit“ absenden.
Schritt 5:
Wählen Sie nun unter „Choose key protection algorithm“ die Option „Compatible TripleDES-SHA1“ aus und wählen Sie ein Passwort. Dieses Passwort wird zum späteren Import/
Ein Klick auf „Download“ erzeugt das Zertifikat und lädt das Zertifikat herunter.
Sollten Sie Ihr Zertifikat nicht mehr benötigen, wurde das Zertifikat kompromittiert oder sind nicht mehr berechtigte Personen weiterhin im Besitz des privaten Schlüssels sollten Sie eine Sperrung des Zertifikats veranlassen. Schreiben Sie hierzu bitte eine E-Mail an ca-admin mit der Bitte um Sperrung und der Nennung des betroffenen Zertifikats. Sobald das Zertifikat gesperrt wurde, erhalten Sie durch Sectigo eine Benachrichtigung. uni-mannheim.de
ACME (Automatic Certificate Management Environment) ist ein Verfahren mit welchem das Ausstellen und Widerrufen von Serverzertifikaten vereinfacht werden kann. ACME ermöglicht die automatische Beantragung und Einbindung von Serverzertifikaten sowie auch eine regelmäßige Erneuerung um Ausfälle durch abgelaufene Zertifikate zu vermeiden.Für die Nutzung von ACME mit Sectigo ist kein seperates ACME Challenge Verfahren zur Verifizierung der Domain notwendig! Die Nutzung ist also auch für ausschließlich intern verfügbare Server möglich.
Für die Impletierung von ACME ist ein kompatibler ACME-Client notwendig. Es gibt eine Vielzahl an Clients für nahezu jedes Betriebssystem oder Programmiersprache. Eine Auswahl kann hier eingesehen werden.
Um einen ACME-Account zu beantragen, nutzen Sie bitte dieses Formular
Bitte beachten Sie, dass für jeden FQDN ein eigener ACME-Account beantragt werden muss. Somit können, im Falle einer Kompromittierung, gezielt Zertifikate widerrufen werden, ohne andere Dienst zu beeinträchtigen.
Nachfolgend finden Sie ein Konfigurationsbeispiel für den weitverbreiteten ACME-Client „acme.sh“ unter Linux.
Es wird eine funktionierende Installation von „acme.sh“ für die folgendenen Schritte vorrausgesetzt. Weiterhin ist es notwendig das der User, mit welchem das Tool ausgeführt wird, ausreichend Rechte besitzt um die gewünschten Verzeichnisse zu schreiben oder Systemdienste neuzustarten. Eine Vielzahl an weiteren Beispielen für die unterschiedlichsten Konfigurationen entnehmen Sie bitte der verlinkten Projektseite.
Schritt 1 – ACME Account registrieren
acme.sh --server acme.sectigo.com/v2/OV --register-account --email „vorname.nachname uni-mannheim.de“ --eab-kid „abc1234“ --eab-hmac-key „abc1234“
Bitte passen Sie die fett markierten Werte entsprechend an. Bei der Beantragung des ACME-Accounts haben Sie bereits die „Key ID“ (--eab-kid) sowie den „HMAC Key“ (--eab-hmac-key) erhalten.
Schritt 2 – Zertifikat beantragen
acme.sh --issue -d xyz.uni-mannheim.de --keylength 4096 --days 350 --stateless --cert-file /path/to/place/cert.pem --key-file /path/to/place/key.pem --fullchain-file /path/to/place/chain.pem --ca-file /path/to/place/ca.pem --reloadcmd „systemctl restart apache2.service“
Bitte passen Sie die fett markierten Werte entsprechend an:
Schritt 3 – Zertifikatserneuerung einrichten
Um die Zertifikate automatisch und rechtzeitig vor Ablauf erneuern zu lassen, ist es wichtig eine automatische Aufgabe (cronjob) zu hinterlegen:
acme.sh --install-cronjob
Haben Sie Fragen oder sollten Sie Unterstützung bei der Konfiguration des ACME-Clients benötigen, schreiben Sie uns gerne eine E-Mail ca-admin uni-mannheim.de
Schritt 1:
Um ein Serverzertifikat zu beantragen, müssen Sie zunächst einen „Certificate Request“ erzeugen. In diesem sind alle relevanten Informationen zur Generierung des Zertifikats enthalten. Der folgende Befehl auf einem Windows- oder Linux Betriebssystem mit installiertem „openssl“ ausgeführt, generiert einen Zertifikatsrequest (CSR):
openssl req -new -newkey rsa:4096 -sha512 -nodes -subj '/C=DE/ST=Baden-Wuerttemberg/O=Universitet Mannheim/
Bitte ersetzen Sie im obigen Befehl die fett markierten Attribute mit den passenden Werten. Möchten Sie alternative Domainnamen in das Zertifikat mit aufnehmen, können Sie diese später problemlos auf der Antragsseite von Sectigo ergänzen.
Schritt 2:
Rufen Sie nun den Sectigo Certificate Manager auf um den soeben erzeugten CSR hochzuladen.
Schritt 3:
Klicken Sie auf „Your Institution“ und suchen Sie zunächst die passende Institution. Hier genügt es „Mannheim“ in der Suchleiste einzugeben um das Suchergebnis „University of Mannheim“ angezeigt zu bekommen. Bitte wählen Sie diesen Eintrag aus um auf die Anmeldeseite weitergeleitet zu werden.
Schritt 4:
Melden Sie sich mit ihrer Uni-ID und ihrem Passwort an und stimmen Sie der Datenübermittlung an Sectigo zu.
Schritt 5:
Falls Sie nicht automatisch auf das „SSL Certificate Enrollment“ Formular geleitet werden, klicken Sie bitte oben rechts auf „Enroll Certificate“.
Schritt 6:
Klicken Sie in dem angezeigten Formular nun auf „Upload CSR“ und laden Sie den Zertifikatsantrag (CSR) hoch.
Falls Sie Alternative Domainnamen in das Zertifikat aufnehmen möchten, tragen Sie diese bitte als komma-getrennte Liste in das Feld „Subject Alternative Names“ ein
Falls Sie außerdem weitere Personen mit relevanten Informationen über das Zertifikat informieren möchten, geben Sie die zutreffenden E-Mailadressen unter „External Requesters“ an.
Schritt 7:
Ein Klick auf „Submit“ sendet den Antrag ab.
Das CA-Team wird automatisch über Ihren Antrag informiert und diesen zeitnah bearbeiten. Sobald das Zertifikat genehmigt wurde, erhalten Sie eine E-Mail von Sectigo mit weiteren Informationen sowie diversen Downloadmöglichkeiten des Zertifikats.
Sollten Sie Ihr Zertifikat nicht mehr benötigen, wurde das Zertifikat kompromittiert oder sind nicht mehr berechtigte Personen weiterhin im Besitz des privaten Schlüssels sollten Sie eine Sperrung des Zertifikats veranlassen. Schreiben Sie hierzu bitte eine E-Mail an ca-admin mit der Bitte um Sperrung und der Nennung des betroffenen Zertifikats. Sobald das Zertifikat gesperrt wurde, erhalten Sie durch Sectigo eine Benachrichtigung. uni-mannheim.de
Alternativ können Sie auch folgende Schritte durchführen um selbst eine Sperrung zu veranlassen:
Schritt 1:
Rufen Sie den Sectigo Certificate Manager auf
Schritt 2:
Klicken Sie auf „Your Institution“ und suchen Sie zunächst die passende Institution. Hier genügt es „Mannheim“ in der Suchleiste einzugeben um das Suchergebnis „University of Mannheim“ angezeigt zu bekommen. Bitte wählen Sie diesen Eintrag aus um auf die Anmeldeseite weitergeleitet zu werden.
Schritt 3:
Melden Sie sich mit ihrer Uni-ID und ihrem Passwort an und stimmen Sie der Datenübermittlung an Sectigo zu.
Schritt 4:
Klicken Sie auf „Back to Certificate List“ um eine Liste aller bisher beantragen Zertifikate anzuzeigen.
Schritt 5:
Wählen Sie das gewünschte Zertifikat aus der Liste aus und aktivieren Sie die Checkbox vor dem Listeneintrag. Mit einem Klick auf „Revoke“ kann das Zertifikat nach der Angabe einer Begründung widerrufen werden.
Sobald das Zertifikat widerrufen wurde, erhalten Sie von Sectigo eine Bestätigung per E-Mail.
Code-Signing Zertifikate werden für die Signierung von Software verwendet und stellen sicher, dass die Software nicht durch Dritte manipuliert und ggf. mit Schadsoftware infiziert wurde. Derzeit bietet Sectigo lediglich OV (Organisation Validation) Code-Signing Zertifikate an, welche nur eine eingeschränkte Vertraulichkeit vorweißen. Es existiert jedoch ein kostenpflichtiges Angebot, über welches ein EV (Extended Validation) Code Signing Zertifikat erworben werden kann. Dieser Zertifikatstyp weißt eine höhere Vertrauchlichkeit durch einen aufwendigeren Validierungsprozess auf.
Falls Sie Interesse an einem Code-Signing Zertifikat haben, schreiben Sie uns bitte eine E-Mail mit ihrem konkreten Vorhaben an ca-admin um das weitere Vorgehen zu besprechen. uni-mannheim.de