Anleitungen zur Nutzung von Personen- und Gruppenzertifikaten der KIT-CA

  1. Passenden Zertifikatstyp auswählen: Personen- oder Gruppenzertifikat

    Wenn Sie mindestens eine der folgenden Fragen mit »Ja« beantworten, beantragen Sie ein Gruppenzertifikat:

    1. Wird die E-Mail-Adresse zum Zertifikat von mehreren Personen genutzt?
    2. Handelt es sich bei der E-Mail-Adresse, für die Sie das Zertifikat beantragen, um eine Funktions-E-Mail-Adresse? E-Mail-Adressen wie sekretariat@, info@, poststelle@, prüfungsamt@ sind beispielsweise regelmäßig Funktionspostfächer.

    Bitte beachten Sie für die Beantragung von Gruppenzertifikaten im weiteren Verlauf die Anmerkungen zum Beantragen von Gruppenzertifikaten.

  2. Zertifikate beantragen

    Die DFN-PKI hat im September 2019 das Antragsverfahren komplett geändert. Alle modernen Browser bis auf den Internet Explorer werden beim Beantragen automatisch auf das neue System geleitet. Mit dem Internet Explorer ist kein Antrag möglich. Die Seite funktioniert zwar, beim Absenden des Formulars wird dann allerdings ein kryptischer Fehler angezeigt.

    Der Antrag erfolgt über das Antragsportal bei der DFN PKI.

    • Nachdem das Formular ausgefüllt wurde, werden Sie aufgefordert, die Antragsdatei im JSON-Format an einem wiederfindbaren Ort mit einem Passwort abzuspeichern. Diese Datei benötigen Sie, um das fertige Zertifikat nach der Ausstellung abzuholen. Finden Sie die Datei dann nicht mehr oder haben das gesetzte Passwort vergessen, kann das Zertifikat durch niemanden abgeholt oder wiederhergestellt werden. In diesem Fall muss ein neues Zertifikat beantragt werden.
    • Das Zertifikatsantragsformular muss ausgedruckt und vollständig ausgefüllt persönlich zum Servicedesk gebracht werden. Bitte denken Sie an einen amtlichen Lichtbildausweis (Personalausweis, Reisepass, Aufenthaltsgenehmigung), da eine Identifizierung durchgeführt werden muss. Ein Führerschein kann nicht akzeptiert werden.

    Alternativ ist (für technisch versierte Nutzende) auch eine Beantragung via Certificate Signing Request analog zu Serverzertifikaten mit GnuTLS/OpenSSL möglich.

  3. Ausgestellte Zertifikate abholen

    Sie bekommen nach erfolgreicher Ausstellung eine E-Mail vom DFN. Die Ausstellung kann einige Tage dauern, da der Antrag manuell von einem Teilnehmerservice-Mitarbeiter geprüft und freigegeben werden muss. Folgen Sie dort dem ersten Link und laden Sie die Antragsdatei (JSON-Format) hoch, die sie im vorherigen Schritt heruntergeladen haben. Sie erhalten am Ende eine sogenannte PKCS12-Datei (diese hat üblicherweise die Endung .pfx oder .p12) mit ihrem Zertifikat und dem zugehörigen privaten Schlüssel. Die Datei ist mit dem beim Antrag vergebenen Passwort verschlüsselt und kann nur mit diesem Passwort gelesen werden.

  4. Backup des Zertifikats erstellen

    Eine Sicherung ihres Zertifikats ist zur Absicherung gegen Verlust (Neuinstallation, Hardwareschaden) wichtig. Andernfalls können Sie sonst z.B. alte, verschlüsselte Mails nicht mehr lesen, wenn die Datei verloren geht. Sichern Sie die im vorherigen Schritt erhaltene PKCS12-Datei an einem geeignetem Ort, z.B. auf Ihrem persönlichen Netzlaufwerk oder auf einem USB-Stick. Stellen Sie sicher, dass Sie auch in ferner Zukunft das Passwort noch kennen.

  5. Zertifikat in den E-Mail-Client importieren

    Webmailer wie beispielsweise OWA sind hierfür grundsätzlich nicht geeignet, das dies im Allgemeinen den privaten Schlüssel Dritten zugänglich macht.

    Anleitungen zum Wiedereinspielen von Zertifikaten im E-Mail-Client:

  6. E-Mail-Programm zum Verschlüsseln und Signieren konfigurieren

Für Anleitungen zu älteren Browser-/Client- und Betriebssystem-Versionen schauen Sie bitte in unser Archiv.