Grid-Zertifikate (IGTF) beantragen und abholen

Voraussetzungen

  1. Die Identität des Nutzers muss bereits in einer den strengen Anforderungen der Zertifizierungsrichtlinie für „GÉANT eScience Personal Certificates“ genügenden Weise überprüft worden sein.

    Anders als bei den normalen „GÉANT Personal Certificates“ muss also zwingend eine Ausweiskontrolle stattgefunden haben und diese muss dem IT-Portal bekannt sein. Das ist der Fall bei

    • Personen, die früher bereits im IT-Portal eine persönliche digitale ID „Global“ erhalten haben,

    • Personen, bei denen eine persönliche Ausweiskontrolle durch berechtigte Personen im IT-Portal eingetragen wurde.

  2. Außerdem muss die Person dem Sectigo-System bereits bekannt sein, und zwar unter der E-Mail-Adresse Kennung@uni-muenster.de. (Die Kennung ist die Nutzerkennung, der Loginname, der Accountname, der Ihnen von der IT zugeteilt wurde.)

    Das ist genau dann der Fall, falls die Person vorher im IT-Portal persönliche digitale IDs (Zertifikate) von GÉANT TCS beantragt hat und dabei mindestens einmal als Haupt-E-Mail-Adresse genau diese E-Mail-Adresse Kennung@uni-muenster.de ausgewählt hat.

    Natürlich darf die Person (vorher und hinterher) auch digitale IDs mit anderen Haupt-E-Mail-Adressen beantragen, beispielsweise mit der Wunsch-E-Mail-Adresse.

Vorgehensweise

  1. Im Browser öffnen: https://cert-manager.com/customer/DFN/idp/clientgeant

  2. Auf der Seite „Find Your Institution“: Universität Münster auswählen

  3. Auf der Seite „Zentrales Shibboleth-Single-Sign-On der Universität Münster“: Kennung und Passwort eingeben

  4. Auf der Seite „Digital Certificate Enrollment“ auswählen bzw. eintippen:

    • Certificate Profile: GÉANT IGTF-MICS Personal (für Personen) oder GÉANT IGTF-MICS-Robot Personal (für Automatismen)

    • Term: 365 days

    • Enrollment Method: Key Generation (oder CSR, dann geht es aber anders weiter)

    • Key Type: RSA-4096 (abhängig vom gewünschten Sicherheitsniveau und von den technischen Begrenzungen der relevanten Systeme)

      (Achtung: Die EC-Schlüssel können nur signieren oder anmelden, aber nicht verschlüsseln)

    • Password: Der Passwortsatz, mit dem die später herunter geladene PKCS#12-Datei geschützt werden soll.

    • Password Confirmation: Der gleiche Passwortsatz noch einmal

    • I have read and agree to the terms of the EULA: Ankreuzen und im Popup-Fenster bestätigen

  5. Nach Klick auf Submit geduldig abwarten, bis die fertige digitale ID als PKCS#12-Datei zum Download angeboten wird

Inhalt des Zertifikats

Die digitale ID enthält folgendes Subject:

domainComponent  = DC = org
domainComponent  = DC = terena
domainComponent  = DC = tcs
countryName      = C  = DE
organizationName = O  = Westfaelische Wilhelms-Universitaet Muenster
commonName       = CN = VVVVVVVV NNNNNNNN KKKKKKKK@uni-muenster.de

und folgenden Subject Alternative Name:

email:EEEEEEEE@uni-muenster.de

Dabei bedeuten:

VVVVVVVV = Vornamen wie im IT-Portal unter „Angaben zur Person“ | „Name“ eingestellt
NNNNNNNN = Nachname wie im IT-Portal unter „Angaben zur Person“ | „Name“ eingestellt
KKKKKKKK = Kennung
EEEEEEEE = Wunsch-E-Mail-Name wie im IT-Portal unter „E-Mail“ | „E-Mail-Namen“ eingestellt

Die gewünschten Inhalte sind also vorab im IT-Portal einzustellen. Dabei ist zu beachten, dass es mehr als eine Stunde dauern kann, bis eine Änderung im zentralen Shibboleth-Single-Sign-On angekommen ist.

Es besteht keine Möglichkeit, weitere E-Mail-Adressen oder andere Angaben in das Zertifikat eintragen zu lassen.