Beantragung von Nutzerzertifikaten ohne Identifizierung

Klassische Nutzerzertifikate können nicht ohne persönliche Identifizierung ausgestellt werden. Für den dominanten Anwendungsfall signierter und verschlüsselter E-Mails können wir aber eine Umgehungslösung anbieten.

Voraussetzungen

Antragsteller müssen

  • ein aktuell gültiges Personenzertifikat der KIT-CA besitzen und
  • in der Lage sein, damit signierte E-Mails zu versenden.

Verfahren

  1. Beantragen Sie wie gewohnt ein Nutzerzertifikat auf den Seiten des DFN.
  2. Verwenden Sie nur ihre KIT-Mail-Adresse.
  3. Geben Sie als Name (CN) PN: <Vorname> <Nachname> / Uebergangszertifikat ein. Ersetzen Sie <Vorname> <Nachname> mit dem Namen aus ihrem alten Zertifikat. Bitte halten Sie sich genau an Format und Schreibweise, also vor dem Namen PN:␣ und danach ␣/␣Uebergangszertifikat. Ebenso wichtig ist es, dass Ihr Vor- und Nachname genau so wie in Ihrem Nutzerzertifikat geschrieben sind. Abweichungen von Format oder Schreibweise erschweren die weitere Bearbeitung erheblich; wir können daher in dieser Hinsicht fehlerhafte Anträge nicht bearbeiten.
  4. Schicken Sie den Antrag unverändert(!) als PDF-Datei via (mit ihrem aktuell gültigen Personenzertifikat) signierter E-Mail an kit-ca-covid19∂scc.kit.edu.
  5. Drucken Sie den Antrag aus. Füllen Sie alles wie üblich aus und schicken Sie ihn zeitnah an die KIT-CA:
    1. Per Hauspost an »KIT-CA/SCC« oder
    2. per Brief an:
      KIT-CA Karlsruher Institut für Technologie (KIT)
      Steinbuch Centre for Computing (SCC)
      76128 Karlsruhe

Wichtig: Zertifikate, bei denen der vollständige Antrag nicht innerhalb von sechs Monaten nach Ausstellung in Papierform bei uns eingegangen sind, werden wir dann sperren. Den parallelen Betrieb eines digitalen Bearbeitungs- und Langzeit-Archivierungs-Workflows können wir mittelfristig zeitlich nicht leisten. Also bitte nicht vergessen, das Formular im Original unterschrieben enachzureichen!

Erklärung

Der Name (CN) in Pseudonym-Zertifikaten stellt keine Verknüpfung mit einer Identität dar. Man kann aber damit Mails signieren und entschlüsseln. Sie müssen sich überlegen, ob diese schwächeren Zusicherungen für Ihre Arbeit ausreichen.

Das Namenschema PN:␣<Vorname>␣<Nachname>␣/␣Uebergangszertifikat hat zwei Gründe:

  1. Normalerweise werden Pseudonym-Zertifikate nicht im Globalen Adressbuch (GAL) veröffentlich. Wir werden zeitnah eine Ausnahme dafür programmieren, damit Outlook-Benutzer weiter arbeiten können wie bisher.
  2. Es fällt uns wesentlich leichter, im Nachgang diese Zertifikate zu finden.

Textüberschrift