Beantragen eines persönlichen X.509-Zertifikats

Diese Anleitung gilt für den Fall, dass Sie mit Hilfe unserer WWW-Seiten sich ein neues persönliches Schlüsselpaar erzeugen und dieses zertifizieren lassen möchten. Sie benötigen dazu den Microsoft Internet Explorer oder eines der vielen WWW-Programme mit Kern-Komponenten von Mozilla oder Netscape.

(Falls sie bereits ein Schlüsselpaar und eine Zertifizierungsanfrage (Certification Request) erzeugt haben, dann beachten Sie bitte zwar die unten genannten Anforderungen an die Identitätsangabe, folgen ansonsten aber bitte die Anleitung zum Beantragen von X.509-Server-Zertifikaten und wählen das Zertifikatprofil User.)

Grundsätzlich sieht die Vorgehensweise so aus, dass Sie mit Ihrem WWW-Programm eine bestimmte WWW-Seite aufrufen. Diese löst dann mit Ihrer Zustimmung die Generierung eines Schlüssels aus, welcher in Ihrem WWW-Programm gespeichert wird, und sendet gleichzeitig die Zertifizierungsanfrage an die WWUCA. Nachdem die WWUCA das Zertifikat ausgestellt hat, müssen Sie mit dem gleichen WWW-Programm auf einen bestimmten Link in der zugeschickten E-Mail klicken, um das Zertifikat zu Ihrem Schlüssel hinzuzufügen.

Ab diesem Zeitpunkt können Sie dieses WWW-Programm benutzen, um sich gegenüber einem entsprechend konfigurierten WWW-Server auszuweisen.

Wenn Sie den Schlüssel in Ihrem E-Mail-Programm benutzen möchten, um E-Mails elektronisch zu unterschreiben und zu verschlüsseln, müssen Sie den zertifizierte Schlüssel aus Ihrem WWW-Programm in das E-Mail-Programm übertragen. Diese Übertragung erübrigt sich, falls Sie ein integriertes WWW- und E-Mail-Programm nutzen wie beispielsweise Mozilla SeaMonkey, denn dort verwenden WWW- und E-Mail-Komponente den gleichen Schlüsselspeicher. Die Übertragung entfällt ebenfalls, falls Sie Microsoft Internet Explorer und Microsoft Outlook oder Safari und Apple Mail benutzen, denn beide benutzen gemeinsam den im jeweiligen Betriebssystem eingebauten Zertifikatspeicher.

Es folgen Anleitungen für die einzelnen Schritte auf dem Weg zu einem eigenen Zertifikat:

  1. Erzeugen eines Schlüsselpaars und Beantragen eines Zertifikats

  2. Importieren und Aktivieren der CA-Zertifikate (nur noch bei sehr wenigen WWW-Programmen nötig.)

  3. Importieren des eigenen Zertifikats

  4. Übertragen aus dem WWW-Programm ins E-Mail-Programm (nur nötig, wenn keine SmartCard verwendet wird und wenn WWW-Programm und E-Mail-Programm nicht den gleichen Zertifikatspeicher verwenden, z. B. Mozilla Firefox und Mozilla Thunderbird)

 

1. Erzeugen eines Schlüsselpaars und Beantragen eines Zertifikats

Starten Sie Ihr WWW-Programm und rufen Sie die folgende Adresse auf:

http://wwu-ca.uni-muenster.de

(Sie werden auf die abhörsichere Seite https://pki.pca.dfn.de/wwu-ca/cgi-bin/pub/pki?cmd=getStaticPage&name=index weitergeleitet.)

Klicken Sie in der Navigationsleiste unter Zertifikate auf Nutzerzertifikat.

Screenshot

Füllen Sie das Formular aus.

Als E-Mail-Adresse müssen Sie eine gültige Adresse aus dem Bereich der Universität (...@uni-muenster.de, ...@wwu.de), des Universitätsklinikums (...@ukmuenster.de) oder der Kunstakademie (...@kunstakademie-muenster.de) angeben.

Den Namen schreiben Sie bitte so wie in Ihrem Personalausweis, Umlaute allerdings müssen als ae/oe/ue/ss geschrieben werden. Falls Sie mehrere Vornamen haben, brauchen Sie nur den Rufnamen auszuschreiben, weitere Vornamen dürfen Sie abkürzen oder weglassen. Ein Doktortitel oder sonstiger Zusatz darf nur angegeben werden, wenn er auch in Ihrem Personalausweis steht.

Eine Organisationseinheit sollten Sie nur dann angeben, wenn diese Angaben aus dienstlichen Gründen wünschenswert erscheint. Verwenden Sie dann bitte keinesfalls für Außenstehende unverständliche Abkürzungen wie THG, sondern die korrekte Bezeichnung wie Klinik und Poliklinik fuer Thorax-, Herz- und Gefaesschirurgie. Auch hier müssen Umlaute als ae/oe/ue/ss geschrieben werden, bei überlangen Bezeichnungen sind verständliche Abkürzungen zulässig.

Screenshot

Eine PIN benötigen Sie, um das Zertifikat später widerrufen zu können. Falls Sie der Veröffentlichung nicht zustimmen, benötigen Sie die PIN auch, ob das Zertifikat überhaupt importieren zu können.

Den Zertifizierungsrichtlinien müssen Sie zustimmen oder auf das Zertifikat verzichten.

Es macht selten Sinn, ein offizielles Zertifikat zu beantragen, dieses aber nicht zu veröffentlichen.

Klicken Sie dann auf Weiter.

Screenshot

Kontrollieren Sie noch einmal alle Daten. Mit Ändern gelangen Sie zurück zur vorherigen Seite; mit Bestätigen starten Sie die Erzeugung des Schlüsselpaars und Übertragung des öffentlichen Schlüssels zwecks Zertifizierung an die WWUCA.

Screenshot

Falls Sie einen SmartCard-Leser installiert und eine SmartCard eingeschoben haben, wird Ihnen jetzt eine Dialogbox angezeigt (hier nicht dargestellt), in der Sie zwischen dem Software-Sicherheitsmodul von Mozilla Firefox und der SmartCard als Aufbewahrungsort wählen können.

Aktuelle PCs benötigen nur noch einige Sekunden zum Erstellen eines Schlüsselpaars.

Screenshot

Damit die WWUCA überprüfen kann, dass der übertragene Schlüssel wirklich Ihnen gehört, müssen Sie noch ein Antragsformular ausdrucken. Falls Sie keinen Drucker haben, ...

Screenshot

... notieren Sie sich bitte zumindest Antragsnummer und Public Key Fingerprint auf einem Blatt Papier.

Kontrollieren Sie die vorgedruckten Angaben und ...

Screenshot

... vervollständigen Sie die weiteren Angaben. (Diese werden von der WWUCA für Revisionszwecke archiviert, aber nicht elektronisch erfasst.)

Unterschreiben Sie den Antrag und geben Sie ihn bei einer der auf der Kontaktseite genannten Teilnehmerservice-Mitarbeiter ab. Dabei müssen Sie Ihren gültigen Personalausweis oder Reisepass vorzeigen.

Antrag und Ausweis nicht vergessen!

Screenshot


 

2. Importieren und Aktivieren der CA-Zertifikate

Dieser Schritt ist nur bei den wenigen Produkten notwendig, bei denen das Wurzelzertifikat Deutsche Telekom Root CA 2 noch nicht herstellerseitig mitgeliefert und freigeschaltet ist.

Wenige Arbeitstage nach der Registrierung erhalten Sie eine E-Mail von ca@uni-muenster.de mit Ihrem Zertifikat. Diese E-Mail enthält einen Link auf die CA-Zertifikate und einen weiteren Link, auf den Sie nur zu klicken brauchen, um das Zertifikat in Ihr WWW-Programm zu importieren und mit dem generierten Schlüsselpaar zu vereinigen.

Wichtig: Bisher existiert der oben erzeugte geheime Schlüssel nur unsichtbar im Zertifikatspeicher des oben benutzten WWW-Programms. Zur Vereinigung von Zertifikat und geheimem Schlüssel müssen Sie also dasselbe WWW-Programm verwenden.

Starten Sie zuerst das Importieren der CA-Zertifikate.

Screenshot

Klicken Sie auf Wurzelzertifikat.

Screenshot

Kontrollieren Sie die Echtheit des Zertifikats, ...

Screenshot

... indem Sie den Fingerabdruck mit einer vertrauenswürdigen Quelle vergleichen.

Sofern diese Anleitung nicht manipuliert wurde, lauten die Fingerprints:
SHA1: 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF
MD5: 74:01:4A:91:B1:08:C4:58:CE:47:CD:F0:DD:11:53:08
(SHA1 und das unsicherere MD5 sind verschiedene Berechnungsmethoden.)
Sie können diese Angaben auch gerne telefonisch erfragen.

Screenshot

Schalten Sie das Zertifikat für alle Zwecke frei.

Screenshot

Falls Sie diese Dialogbox sehen, hatten Sie das Zertifikat bereits früher importiert.

Screenshot


 

3. Importieren des eigenen Zertifikats

Wenige Arbeitstage nach der Registrierung erhalten Sie eine E-Mail von ca@uni-muenster.de mit Ihrem Zertifikat. Diese E-Mail enthält auch einen Link, auf den Sie nur zu klicken brauchen, um das Zertifikat in Ihr WWW-Programm zu importieren und mit dem generierten Schlüsselpaar zu vereinigen.

Wichtig: Falls Sie oben keine SmartCard verwendet haben, existiert der oben erzeugte geheime Schlüssel bisher nur unsichtbar im Zertifikatspeicher des oben benutzten WWW-Programms. Zur Vereinigung von Zertifikat und geheimem Schlüssel müssen Sie dann also dasselbe WWW-Programm verwenden.

Screenshot

Die mit dem Link erreichte WWW-Seite erlaubt das Importieren des Zertifikats durch einen einzigen Knopfdruck.

Screenshot

Viele WWW-Programme geben beim Importieren überhaupt keine Bestätigung, bei anderen erscheint wie hier eine kurze Dialogbox zum Abschluss.

Screenshot


 

4. Übertragen aus dem WWW-Programm ins E-Mail-Programm

Dieser Schritt ist nur nötig, wenn keine SmartCard verwendet wird und wenn WWW-Programm und E-Mail-Programm nicht den gleichen Zertifikatspeicher verwenden, z. B. Mozilla Firefox und Mozilla Thunderbird.

Bei diesem Schritt gibt es erfahrungsgemäß einige Fallstricke; beachten Sie daher bitte unsere ausführlichen Anleitungen.