Beantragung von Nutzerzertifikaten ohne Identifizierung

Klassische Nutzerzertifikate können nicht ohne persönliche Identifizierung ausgestellt werden. Für den dominanten Anwendungsfall signierter und verschlüsselter E-Mails können wir aber eine Umgehungslösung mit Pseudonymzertifikaten anbieten.

Voraussetzungen

Antragsteller müssen

  • ein aktuell gültiges Personenzertifikat der KIT-CA besitzen und
  • in der Lage sein, damit signierte E-Mails zu versenden.

Verfahren

  1. Beantragen Sie ein Pseudonymzertifikat auf den Seiten des DFN:
  2. Verwenden Sie ihre KIT-Mail-Adresse.
  3. Geben Sie als Pseudonym (pseudonym) <Vorname> <Nachname> / Uebergangszertifikat ein. Ersetzen Sie <Vorname> <Nachname> mit dem Namen aus ihrem alten Zertifikat.
    Bitte halten Sie sich genau an Format und Schreibweise, also vor dem Namen und danach ␣/␣Uebergangszertifikat. Ebenso wichtig ist es, dass Ihr Vor- und Nachname genau so wie in Ihrem Nutzerzertifikat geschrieben sind. Abweichungen von Format oder Schreibweise erschweren die weitere Bearbeitung erheblich; wir können daher in dieser Hinsicht fehlerhafte Anträge nicht bearbeiten.
  4. Schicken Sie den Antrag unverändert (keine Scans!) als PDF-Datei via (mit ihrem aktuell gültigen Personenzertifikat für das sie eine persönliche Identifizierung durchgeführt haben) signierter E-Mail an kit-ca-covid19∂scc.kit.edu
  5. Drucken Sie den Antrag aus. Füllen Sie alles wie üblich aus und schicken Sie ihn zeitnah an die KIT-CA
    1. Per Hauspost an »KIT-CA/SCC CN« bzw. »KIT-CA/SCC CS« oder
    2. Per Brief an eine dieser beiden Adressen:
      • KIT-CA
        Karlsruher Institut für Technologie (KIT)
        Scientific Computing Center (SCC)
        Zirkel 2

        76128 Karlsruhe
      • KIT-CA
        Karlsruher Institut für Technologie (KIT)
        Scientific Computing Center (SCC)
        Hermann-von-Helmholtz-Platz 1 
        76344 Eggenstein-Leopoldshafen

 

Wichtig: Zertifikate, bei denen der vollständige Antrag nicht innerhalb von sechs Monaten nach Ausstellung in Papierform bei uns eingegangen sind, werden wir dann sperren. Den parallelen Betrieb eines digitalen Bearbeitungs- und Langzeit-Archivierungs-Workflows können wir mittelfristig zeitlich nicht leisten. Also bitte nicht vergessen, das Formular im Original unterschrieben nachzureichen!

Erklärung

Der Name (CN) in Pseudonym-Zertifikaten stellt keine Verknüpfung mit einer Identität dar. Man kann aber damit Mails signieren und entschlüsseln. Sie müssen sich überlegen, ob diese schwächeren Zusicherungen für Ihre Arbeit ausreichen.

Das Namenschema <Vorname>␣<Nachname>␣/␣Uebergangszertifikat hat zwei Gründe:

  1. Normalerweise werden Pseudonym-Zertifikate nicht im Globalen Adressbuch (GAL) veröffentlich. Für diese Variante haben wir eine Ausnahme programmiert damit Outlook-Benutzer weiter arbeiten können wie bisher.
  2. Es fällt uns wesentlich leichter, im Nachgang diese Zertifikate zu finden.