Beantragen eines persönlichen X.509-Zertifikats

Stand: 01.11.2011

Diese Anleitung gilt für den Fall, dass Sie mit Hilfe unserer WWW-Seiten sich ein neues persönliches Schlüsselpaar erzeugen und dieses zertifizieren lassen möchten. Sie benötigen dazu den Microsoft Internet Explorer oder eines der vielen WWW-Programme mit Kern-Komponenten von Mozilla oder Netscape.

(Falls sie bereits ein Schlüsselpaar und eine Zertifizierungsanfrage (Certification Request) erzeugt haben, dann beachten Sie bitte zwar die unten genannten Anforderungen an die Identitätsangabe, folgen ansonsten aber bitte die Anleitung zum Beantragen von X.509-Server-Zertifikaten und wählen das Zertifikatprofil »User«.)

Grundsätzlich sieht die Vorgehensweise so aus, dass Sie mit Ihrem WWW-Programm eine bestimmte WWW-Seite aufrufen. Diese löst dann mit Ihrer Zustimmung die Generierung eines Schlüssels aus, welcher in Ihrem WWW-Programm gespeichert wird, und sendet gleichzeitig die Zertifizierungsanfrage an die WWUCA. Nachdem die WWUCA das Zertifikat ausgestellt hat, müssen Sie mit dem gleichen WWW-Programm auf einen bestimmten Link in der zugeschickten E-Mail klicken, um das Zertifikat zu Ihrem Schlüssel hinzuzufügen.

Ab diesem Zeitpunkt können Sie dieses WWW-Programm benutzen, um sich gegenüber einem entsprechend konfigurierten WWW-Server auszuweisen.

(Bei Mozilla-Produkten ist es leider noch nötig, vorher die Zertifizierungsstellen gültig zu schalten, die Anleitung unten zeigt auch diese Schritte und ist nur deshalb so lang.)

Wenn Sie den Schlüssel in Ihrem E-Mail-Programm benutzen möchten, um E-Mails elektronisch zu unterschreiben und zu verschlüsseln, müssen Sie den zertifizierte Schlüssel aus Ihrem WWW-Programm in das E-Mail-Programm übertragen. Diese Übertragung erübrigt sich, falls Sie ein integriertes WWW- und E-Mail-Programm nutzen wie beispielsweise Mozilla SeaMonkey, denn dort verwenden WWW- und E-Mail-Komponente den gleichen Schlüsselspeicher. Die Übertragung entfällt ebenfalls, falls Sie Microsoft Internet Explorer und Microsoft Outlook benutzen, denn beide benutzen gemeinsam den im Betriebssystem Microsoft Windows eingebauten Zertifikatspeicher.

Es folgen Anleitungen für die einzelnen Schritte auf dem Weg zu einem eigenen Zertifikat:

  1. Erzeugen eines Schlüsselpaars und Beantragen eines Zertifikats

  2. Importieren und Aktivieren der CA-Zertifikate (nur bei wenigen WWW-Programmen nötig, darunter Mozilla Firefox und Mozilla SeaMonkey.)

  3. Importieren des eigenen Zertifikats

  4. Übertragen aus dem WWW-Programm ins E-Mail-Programm (nur bei E-Mail-Programmen nötig, die einen eigenen Zertifikatspeicher verwenden, z. B. Mozilla Thunderbird)

1. Erzeugen eines Schlüsselpaars und Beantragen eines Zertifikats

Starten Sie Ihr WWW-Programm und rufen Sie die folgende Adresse auf:

http://wwu-ca.uni-muenster.de

(Sie werden auf die abhörsichere Seite https://pki.pca.dfn.de/wwu-ca/cgi-bin/pub/pki?cmd=getStaticPage&name=index weitergeleitet.)

Klicken Sie in der Navigationsleiste unter Zertifikate auf Nutzerzertifikat.

Screenshot

Füllen Sie das Formular aus.

Als E-Mail-Adresse müssen Sie eine gültige Adresse aus dem Bereich der Universität (...@uni-muenster.de, ...@wwu.de), des Universitätsklinikums (...@ukmuenster.de) oder der Kunstakademie (...@kunstakademie-muenster.de) angeben.

Den Namen schreiben Sie bitte so wie in Ihrem Personalausweis, Umlaute allerdings müssen als ae oe ue ss geschrieben werden. Falls Sie mehrere Vornamen haben, brauchen Sie nur den Rufnamen auszuschreiben, weitere Vornamen dürfen Sie abkürzen oder weglassen. Ein Doktortitel oder sonstiger Zusatz darf nur angegeben werden, wenn er auch in Ihrem Personalausweis steht.

Eine Organisationseinheit sollten Sie nur dann angeben, wenn diese Angaben aus dienstlichen Gründen wünschenswert erscheint. Auch hier müssen Umlaute als ae oe ue ss geschrieben werden.

Screenshot

Eine PIN benötigen Sie, um das Zertifikat später widerrufen zu können. Falls Sie der Veröffentlichung nicht zustimmen, benötigen Sie die PIN auch, ob das Zertifikat überhaupt importieren zu können.

Den Zertifizierungsrichtlinien müssen Sie zustimmen oder auf das Zertifikat verzichten.

Es macht selten Sinn, ein offizielles Zertifikat zu beantragen, dieses aber nicht zu veröffentlichen.

Klicken Sie dann auf Weiter.

Screenshot

Kontrollieren Sie noch einmal alle Daten. Mit Ändern gelangen Sie zurück zur vorherigen Seite; mit Bestätigen starten Sie die Erzeugung des Schlüsselpaars und Übertragung des öffentlichen Schlüssels zwecks Zertifizierung an die WWUCA.

Screenshot

Falls Sie einen SmartCard-Leser installiert und eine SmartCard eingeschoben haben, wird Ihnen jetzt eine Dialogbox angezeigt (hier nicht dargestellt), in der Sie zwischen dem Software-Sicherheitsmodul von Mozilla Firefox und der SmartCard als Aufbewahrungsort wählen können.

Aktuelle PCs benötigen nur noch einige Sekunden zum Erstellen eines Schlüsselpaars.

Screenshot

Damit die WWUCA überprüfen kann, dass der übertragene Schlüssel wirklich Ihnen gehört, müssen Sie noch ein Antragsformular ausdrucken. Falls Sie keinen Drucker haben, ...

Screenshot

... notieren Sie sich bitte zumindest Antragsnummer, Public Key Fingerprint und Schlüssellänge auf einem Blatt Papier.

Kontrollieren Sie die vorgedruckten Angaben und ...

Screenshot

... vervollständigen Sie die weiteren Angaben. (Diese werden von der WWUCA für Revisionszwecke archiviert, aber nicht elektronisch erfasst.)

Unterschreiben Sie den Antrag und geben Sie ihn bei einer der auf der Kontaktseite genannten Registrierungsstellen ab. Dabei müssen Sie Ihren Personalausweis oder Reisepass vorzeigen.

Antrag und Ausweis nicht vergessen!

Screenshot

2. Importieren und Aktivieren der CA-Zertifikate

Dieser komplizierte Vorgang dürfte nur noch bei Mozilla-Produkten notwendig sein und wird hoffentlich mit einer der nächsten Versionen dieser Software komplett entfallen.

Wenige Arbeitstage nach der Registrierung erhalten Sie eine E-Mail von ca@uni-muenster.de mit Ihrem Zertifikat. Diese E-Mail enthält einen Link auf die CA-Zertifikate und einen weiteren Link, auf den Sie nur zu klicken brauchen, um das Zertifikat in Ihr WWW-Programm zu importieren und mit dem generierten Schlüsselpaar zu vereinigen.

Wichtig: Bisher existiert der oben erzeugte geheime Schlüssel nur unsichtbar im Zertifikatspeicher des oben benutzten WWW-Programms. Zur Vereinigung von Zertifikat und geheimem Schlüssel müssen Sie also dasselbe WWW-Programm verwenden.

Starten Sie zuerst das Importieren der CA-Zertifikate.

Screenshot

Klicken Sie auf Wurzelzertifikat.

Screenshot

Kontrollieren Sie die Echtheit des Zertifikats, ...

Screenshot

... indem Sie den Fingerabdruck mit einer vertrauenswürdigen Quelle vergleichen, z. B. mit der Veröffentlichung in der Hauszeitschrift inforum des ZIV.

Screenshot

Schalten Sie das Zertifikat für alle Zwecke frei.

Screenshot

Falls Sie diese Dialogbox sehen, hatten Sie das Zertifikat bereits früher importiert.

Screenshot

Klicken Sie auf DFN-PCA Zertifikat.

Screenshot

Kontrollieren Sie die Echtheit des Zertifikats, ...

Screenshot

... indem Sie den Fingerabdruck mit einer vertrauenswürdigen Quelle vergleichen, z. B. mit der Veröffentlichung in der Hauszeitschrift inforum des ZIV.

Screenshot

Schalten Sie das Zertifikat für alle Zwecke frei.

Screenshot

Falls Sie diese Dialogbox sehen, hatten Sie das Zertifikat bereits früher importiert.

Screenshot

Klicken Sie auf ZIV der WWU Münster - Zertifizierungsstelle (WWUCA).

Screenshot

Kontrollieren Sie die Echtheit des Zertifikats, ...

Screenshot

... indem Sie den Fingerabdruck mit einer vertrauenswürdigen Quelle vergleichen, z. B. mit der Veröffentlichung in der Hauszeitschrift inforum des ZIV.

Screenshot

Schalten Sie das Zertifikat für alle Zwecke frei.

Screenshot

Falls Sie diese Dialogbox sehen, hatten Sie das Zertifikat bereits früher importiert.

Screenshot

3. Importieren des eigenen Zertifikats

Wenige Arbeitstage nach der Registrierung erhalten Sie eine E-Mail von ca@uni-muenster.de mit Ihrem Zertifikat. Diese E-Mail enthält auch einen Link, auf den Sie nur zu klicken brauchen, um das Zertifikat in Ihr WWW-Programm zu importieren und mit dem generierten Schlüsselpaar zu vereinigen.

Wichtig: Bisher existiert der oben erzeugte geheime Schlüssel nur unsichtbar im Zertifikatspeicher des oben benutzten WWW-Programms. Zur Vereinigung von Zertifikat und geheimem Schlüssel müssen Sie also dasselbe WWW-Programm verwenden.

Screenshot

Die mit dem Link erreichte WWW-Seite erlaubt das Importieren des Zertifikats durch einen einzigen Knopfdruck.

Screenshot

Viele WWW-Programme geben beim Importieren überhaupt keine Bestätigung, bei anderen erscheint wie hier eine kurze Dialogbox zum Abschluss.

Screenshot

4. Übertragen aus dem WWW-Programm ins E-Mail-Programm

Wie oben beschrieben müssen Sie eventuell jetzt noch Ihr zertifiziertes Schlüsselpaar inklusive aller Zertifikate aus Ihrem WWW-Programm in Ihr E-Mail-Programm übertragen, siehe oben. Dabei gibt es einige Fallstricke; beachten Sie daher bitte unsere ausführlichen Anleitungen.

Diese Seite:
Impressum | © 2010 Universität Münster
Zentrum für Informationsverarbeitung (ZIV)
Zertifizierungsstelle der Universität Münster (WWUCA) · 48149 Münster
 Tel.: +49 251 83-31600 · Fax: +49 251 83-31555
 E-Mail: