KIT-CA - Steinbuch Centre for Computing

Nutzerzertifikat mit GnuTLS beantragen

Die folgende Anleitung ist nicht für Endanwender sondern für IT-affine Personen und Administratoren gedacht. Der SCC-Servicedesk kann hier keinen Support leisten.

Mit diesem Verfahren kann ein Zertifikat für mehrere E-Mail-Adressen beantragt werden.

Vorraussetzung ist certtool aus der GnuTLS-Bibliothek. Das entsprechende Paket in Linux-Distributionen heisst üblicherweise gnutls-utils oder gnutls-bin. Windows-Nutzern empfehlen wir cygwin, MSYS2 oder das Windows Subsystem for Windows (nur Windows 10).

Die Antragsgenerierung erfolgt analog zu Serverzertifikaten. Geben Sie unter »Hostname hier eintragen« ihren Namen wie auch beim normalen Verfahren ein. Pseudonym- und Gruppenzertifikate entsprechend mit Präfix versehen, also beispielsweise: »PN: Beate Beispiel/Codesigning« oder »GRP: Pruefungsanmeldung Metaphysisches Institut«. Entfernen Sie in der Templatedatei das Kommentarzeichen beim Attribut email= und fügen Sie pro E-Mail-Adresse eine weitere Zeile email=…@… ein.

Wählen Sie beim Hochladen des Requests das Zertifikatprofil User aus. Sollten Sie ein anderes Profil (beispielsweise Codesigning oder Nur-Login) benötigen vermerken Sie das bitte gut lesbar (dick, groß, farbig) auf dem Papierantrag.

Da die meisten Anwendungen das Zertifikat und den privaten Schlüssel im Format PKCS12 (Microsoft nutzt die Endung .pfx) benötigen, müssen Sie nach Erhalt des Zertifikates alles noch konvertieren. Eine entsprechende Anleitung findet sich am Ende der GnuTLS-Anleitung für Serverzertifikate.