Digitale Zertifikate

RUM-CA-G Zertifizierungs­instanz der Universität Mannheim

Die Universitäts-IT bietet allen Mitgliedern der Universität Mannheim kostenlose Zertifikate für einen sicheren nichtgewerblichen Gebrauch an.

Digitale Zertifikate sind eine Art digitaler Ausweis, mit denen sich Personen, Organisationen und Maschinen im Internet ausweisen können. Damit besteht die Möglichkeit, E-Mails rechts­verbindlich zu unterschreiben oder sich für Webseiten zu authentifizieren, sofern dies vom Web-Server unterstützt wird.


Wie funktioniert ein digitales Zertifikat?

Zertifikate beinhalten einen privaten und einen öffentlichen Schlüssel. Mit dem Schlüssel können Daten von dem Besitzer verschlüsselt und auch nur von diesem wieder entschlüsselt werden. Die Identität des Besitzers eines privaten Schlüssels wird durch das Zertifikat bestätigt.

Derzeit bieten wir folgende Zertifikate an:

  • Nutzerzertifikate (Laufzeit drei Jahre)
    • User (Standard­zertifikat für digitale Unterschrift, Verschlüsselung und Anmeldung an Rechnern und Portalen mit den Funktionen Unterschrift, Verschlüsselung und Login)
    • Code Signing (Code zum Signieren von Anwendungen, wie Java, Adobe Air, MS Office, VBA und zur Sicherung der Integrität)
  • Serverzertifikate (Laufzeit 13 Monate)
    • Web Server (für eine verschlüsselte Verbindung zum Server)

Falls Sie ein anderes Zertifikatsprofil benötigen, können Sie dieses auf dem Antrag handschriftlich vermerken. Eine vollständige Liste der möglichen Profile finden Sie in der Übersicht.

    Wie erhalte ich ein Zertifikat?

  • Nutzerzertifikat

    1. Schritt: Zertifikatantrag stellen

    • Rufen Sie die Seite https://pki.pca.dfn.de/uni-mannheim-ca-g2/pub/  auf und folgen Sie dem dort angegebenen Link.
    • Klicken Sie„Nutzerzertifikat“ an.
    • Wählen Sie „Ein neues Zertifikat beantragen“ aus.
    • Füllen Sie folgende Felder aus:
      • Zertifikatsprofil „User“
      • Name
      • E-Mail-Adresse
      • Abteilung: Universitäts-IT, Abteilung XY
      • Namensraum: unverändert lassen
      • Sperr-PIN, um das Zertifikat ggf. sperren zu lassen
      • Beide Haken bei „Ich verpflichte mich, die in den Informationen für Zertifikatinhaber aufgeführten Regelungen einzuhalten“ und „Ich stimme der Veröffentlichung des Zertifikates mit meinem darin enthaltenen Namen (…) zu“ setzen.
      • Klicken Sie „weiter“.
    • Befolgen Sie die nun angezeigten Schritte und speichern Sie die Antragsdatei (JSON) ab.
    • Erstellen Sie nun eine weitere PIN für die Antragsdatei inklusive Schlüssel (diese benötigen Sie bei Schritt 3)
    • Laden Sie nun das Zertifikatantragsformular (PDF) her­unter und drucken es aus.
    • Nachdem Sie Ihre Unterschrift gesetzt haben, scannen Sie das Formular wieder ein.
    • Speichern Sie bitte die automatisch erstellte Antragsdatei (JSON) ebenfalls ab.

    2. Schritt: Identifizierung

    Bitte vereinbaren Sie einen Termin mit der Registrierungs­stelle, telefonisch unter +49 621 181-3174 oder per E-Mail an rum-ca(at)rz.uni-mannheim.de. Die Registrierungs­stelle befindet sich im Gebäude der Universitäts-IT in L 15, 1-6, 6. OG.

      Vergessen Sie bitte nicht, zum vereinbarten Termin den Zertifikatantrag und Ihr Ausweisdokument mitzubringen. Eventuelle Sonderwünsche können Sie handschriftlich auf dem Antrag vermerken. Sollte es nicht möglich sein, persönlich vorbeizukommen, können Sie alternativ das Video-Ident-Verfahren nutzen.

      Video-Ident-Verfahren über DFN-PKI
      DFN-PKI bietet die Möglichkeit, die persönliche Identifizierung von Antragstellern für persönliche Zertifikate über ein Video-Ident-Verfahren durchzuführen. Für das Video-Ident-Verfahren über DFN-PKI sind ausschließlich die im folgenden PDF aufgelisteten Ausweisdokumente freigegeben: Merkmale von Ausweisdokumenten. Andere oder ältere Ausweisdokumente sind ausdrücklich nicht möglich. In diesem Fall muss die persönliche Identifizierung direkt bei der Registrierungs­stelle vorgenommen werden. Bitte sehen Sie sich dieses Dokument vor Beginn des Verfahrens an und prüfen, ob die Sicherheitsmerkmale in einer Videosession auf dem Bildschirm erkennbar sind und reproduzierbar dargestellt werden können.

      Wenn Sie das Video-Ident-Verfahren nutzen möchten, senden Sie bitte vorab eine E-Mail an rum-ca(at)rz.uni-mannheim.de mit folgenden Inhalten und vereinbaren Sie einen Termin:

      • Eingescannter Zertifikatsantrag
      • Art des Ausweises, den Sie bei der Identifizierung vorzeigen werden.
      • eventuelle Sonderwünsche oder Ergänzungen zum Antrag (wie zum Beispiel Zertifikatsprofil, weitere Aliase oder Namen etc.)

      Den Ablauf des Video-Ident-Verfahrens sehen Sie im Video: DFN PKI Video-Ident.

      Eine Übersicht aller Informationen ist außerdem unter www.pki.dfn.de/policies/videoident zu finden.

      3. Schritt: Zertifikat abholen

      • Nach erfolgreicher Registrierung erhalten Sie eine Bestätigung per E-Mail.
      • Klicken Sie auf den Link in der E-Mail, um die Zertifikatdatei im PKCS#12 Format abzuholen.
      • Laden Sie unter „Antragsdatei“ die json-Datei (von Schritt 2) hoch und geben Sie Ihre PIN ein.
      • Speichern Sie abschließend die Zertifikatsdatei für den späteren Import in den Anwendungen (z.B. Outlook).
      • Tipp: Installieren Sie das Zertifikat nach dem Erhalt auf mehr als einem persönlichen Rechner/ System. So kann im Falle eines Systemfehlers das Zertifikat wieder einfacher importiert werden.
    • Serverzertifikat

      1. Schritt: Serverzertifikat erstellen

      • Loggen Sie sich per ssh mit Ihrer gültigen Uni-ID auf Ihrem virtuellen Webserver ein. Wenn Sie Windows verwenden, können Sie dazu das Programm PuTTY verwenden (siehe Zugangs­möglichkeiten). 
      • Wenn Sie mit Ihrem virtuellen Webserver per ssh verbunden sind, geben Sie nachfolgenden Befehl ein:
        openssl req -nodes -newkey rsa:4096 -sha512 -out IHR-server.uni-mannheim.de-csr.pem -keyout IHR-server.uni-mannheim.de-priv.pem -subj '/C=DE/ST=Baden-Wuerttemberg/L=Mannheim/O=Universitaet Mannheim/OU=IHRE Einrichtung/CN=IHR-server.uni-mannheim.de'
        wobei Sie alle oben fett dargestellen Variablen durch Ihre ersetzen (verwenden Sie dabei bitte keine Umlaute):
        • „IHR-server“ kann entweder ein Hostname oder ein Hostname.Subdomain sein, je nachdem, wie der vollständige System-/Hostname lautet.
        • „IHRE Einrichtung“ ist entweder eine zentrale Einrichtung, ein Lehr­stuhl, ein Projekt oder eine sonstige Unter­einrichtung.
      • Drücken Sie die Enter-Taste
      • Ihr Zertifikatantrag (pem) und Ihr geheimer Schlüssel (priv.pem) wird erstellt.
      • Führen Sie als nächstes folgenden Befehl durch:
        chmod 600 IHR-server.uni-mannheim.de-priv.pem
        wobei Sie IHR-server mit dem oben angegebenen Namen ersetzen. Dadurch wird der geheime Schlüssel nur lesbar für Sie selbst.
      • Laden Sie anschließend den erzeugten Zertifikatantrag (csr.pem) IHR-server.uni-mannheim.de.pem (wobei Sie bitte IHR-server wieder durch den von Ihnen gewählten Namen ersetzen), mit scp auf Ihren lokalen Rechner. Wenn Sie Windows verwenden, dann können Sie zum Beispiel dafür WinSCP verwenden. Nähere Informationen zu WinSCP finden Sie unter Zugangs­möglichkeiten.

      2. Schritt: Zertifizierung beim DFN

      • Rufen Sie die Seite https://pki.pca.dfn.de/uni-mannheim-ca-g2/pub/ auf.
      • Klicken Sie auf „Datei auswählen“ und wählen Sie den oben erwähnten, nun auf Ihrem lokalen Rechner vorhandene Zertifikat-Request aus.
      • Das Zertifikatsprofil lassen Sie unverändert auf Webserver stehen.
      • Bei „Weitere Angaben“ machen Sie die erforderlichen Angaben. Beachten Sie, dass Sie bei PIN ein weiteres Passwort vergeben müssen.
      • Klicken Sie auf „weiter“ und bestätigen Sie die folgenden Seiten erneut.
      • Im Anschluss wird automatisch ein PDF erzeugt, welches Sie bitte ausdrucken und mit weiteren Informationen zu Ihrer Person vervollständigen!
      • WICHTIG: Das Zertifikat kann nur auf die Person ausgestellt werden, auf die auch die Funktions­kennung eingetragen ist. Im Zweifel ist dies immer die Leitung der Einrichtung, für welche der Webserver betrieben wird.
      • Mit dem Formular und einem amtlichen Ausweis gehen Sie dann zur Registrierungs­stelle. Bitte vereinbaren Sie vorab einen Termin, telefonisch unter +49 621 181-3174 oder per E-Mail an rum-ca(at)rz.uni-mannheim.de. Die Registrierungs­stelle befindet sich im Gebäude der Universitäts-IT in L 15, 1-6, 6. OG.
        Bitte beachten Sie: Sofern Sie nicht die Person sind, auf welche die oben genannte Funktions­kennung zugelassen ist, benötigen Sie eine Vollmacht. Bitte klären Sie dies im Zweifel vorher mit der Zertifizierungs­telle ab.
      • Danach erhalten Sie vom DFN eine E-Mail mit Ihrem zertifizierten Serverzertifikat.
      • Diese Mail leiten Sie bitte an webmaster(at)uni-mannheim.de weiter, und teilen dem Webmaster mit, wo Sie die Datei: IHR-server.uni-mannheim.de.pem und dsa Zertifikat gespeichert haben. Senden Sie bitte niemals den IHR-server.uni-mannheim.de-key.pem per E-Mail!
      • Danach wird der Server für Sie als SSL-Server eingerichtet. Über die erfolgte Einrichtung werden Sie dann per E-Mail informiert.