Nutzerzertifikat mit GnuTLS beantragen
Die folgende Anleitung ist nicht für Endanwender sondern für IT-affine Personen und Administratoren gedacht. Der SCC-Servicedesk kann hier keinen Support leisten.
Mit diesem Verfahren kann ein Zertifikat für mehrere E-Mail-Adressen beantragt werden.
Vorraussetzung ist certtool aus der GnuTLS-Bibliothek. Das entsprechende Paket in Linux-Distributionen heisst üblicherweise gnutls-utils oder gnutls-bin. Windows-Nutzern empfehlen wir cygwin, MSYS2 oder das Windows Subsystem for Windows (ab Windows 10).
Die Antragsgenerierung erfolgt analog zu Serverzertifikaten. Geben Sie unter »Hostname hier eintragen« ihren Namen wie auch beim normalen Verfahren ein. Pseudonym- und Gruppenzertifikate entsprechend mit Präfix versehen, also beispielsweise: »PN: Beate Beispiel/Codesigning« oder »GRP: Pruefungsanmeldung Metaphysisches Institut«. Entfernen Sie in der Templatedatei das Kommentarzeichen beim Attribut email= und fügen Sie pro E-Mail-Adresse eine weitere Zeile email=…@… ein.
Hinweis für die Erstellung von Nutzerzertifikaten über diesen Weg:
GnuTLS kann die seit einiger Zeit nötigen Attribute givenName und surName nicht über einzelne Key-Value-Paare in der Template-Datei erzeugen. Stattdessen müssen hier die einzelnen Attribute des distinguished name weggelassen und der komplette DN am Stück angegeben werden. Beispiel:
dn = "CN = Beate Beispiel, givenName = Beate, surName = Beispiel, O = Karlsruhe Institute of Technology, C = DE"
Attribute die nicht Teil der distinguished names sind (in diesem Fall in der Regel email) müssen weiterhin als eigene Key-Value-Paare in der Template-Datei stehen; Beispiel:
email = “beate beispiel ∂does-not-exist.kit edu”
email = “beispiel ∂does-not-exist.kit edu”
email = “beate-beatrice beispiel ∂does-not-exist.kit edu”
Wählen Sie beim Hochladen des Requests mittels Eigene CSR-Datei (PKCS#10) einreichen das Zertifikatprofil User oder Code Signing aus. Die weiteren mit User beginnenden sind in der Regel die falsche Wahl; User beinhaltet sämtliche Eigenschaften (Signing, Encryption, Authentication) in einem Profil:
Da die meisten Anwendungen das Zertifikat und den privaten Schlüssel im Format PKCS12 (Microsoft nutzt die Endung .pfx) benötigen, müssen Sie nach Erhalt des Zertifikates alles noch konvertieren. Eine entsprechende Anleitung findet sich am Ende der GnuTLS-Anleitung für Serverzertifikate.