Antrag auf ein persönliches Zertifikat

Als Angehöriger einer der von der WWUCA versorgten Einrichtungen können Sie ein persönliches Zertifikat beantragen.

Dieses können Sie zum elektronischen Unterschreiben und Verschlüsseln von E-Mails mit S/MIME verwenden, aber auch um sich bei WWW-Anwendungen, Rechnern oder anderen Zugangskontrollsystemen auszuweisen u. v. a. m.

Es gibt verschiedene Wege, sich ein Schlüsselpaar zu erzeugen und den Antrag an die WWUCA zu übermitteln:

Achten Sie bitte darauf, dass die Schlüssellänge mindestens 2048 Bits beträgt und dass der gewählte Name den strengen Anforderungen der Zertifizierungsrichtlinien entspricht:

  • Das Attribut „C“ (für Country) muss exakt den Wert „DE“ enthalten.

  • Das Attribut „ST“ (für State) muss exakt den Wert „Nordrhein-Westfalen“ enthalten.

  • Das Attribut „L“ (für Location) muss exakt den Wert „Muenster“ enthalten.

  • Das Attribut „O“ (für Organization) muss exakt einen der folgenden Werte enthalten:
    Westfaelische Wilhelms-Universitaet Muenster
    Universitaetsklinikum Muenster
    Kunstakademie Muenster - Hochschule fuer Bildende Kuenste

  • Das Attribut „OU“ (für Organizational Unit) darf nur für zentrale Systeme entfallen, muss ansonsten angegeben werden und sollte dann die Organisationseinheit benennen. Verwenden Sie dann bitte keinesfalls für Außenstehende unverständliche Abkürzungen wie „THG“, sondern die korrekte Bezeichnung wie „Klinik und Poliklinik fuer Thorax-, Herz- und Gefaesschirurgie“. Umlaute sind zwingend als ae/oe/ue/ss zu schreiben, als Satzzeichen sind nur „'()+,-./:=?“ erlaubt. Abkürzungen sind zu vermeiden, bei überlangen Bezeichnungen (mehr als 64 Zeichen) sind verständliche Abkürzungen zulässig.

  • Das Attribut „CN“ (für Common Name) muss den Vor- und Zunamen enthalten. Personen mit mehreren Vornamen müssen den Rufnamen ausschreiben, weitere Vornamen dürfen ausgeschrieben, abgekürzt oder weggelassen werden. Titel (wie „Dr.“) dürfen nur angegeben werden, wenn sie im Ausweis stehen. Auch hier gelten die Regeln für Umlaute, Satzzeichen und Länge.

  • Das Attribut „emailAddress“ muss die bevorzugte E-Mail-Adresse enthalten. Beim Teil vor dem „@“ ist die korrekte Großkleinschreibung zu beachten (Adressen aus dem Bereich von Universität und Kunstakademie sind immer klein zu schreiben), der Teil nach dem „@“ ist komplett klein zu schreiben.

Eine gültige Angabe wäre beispielsweise:

C=DE
ST=Nordrhein-Westfalen
L=Muenster
O=Westfaelische Wilhelms-Universitaet Muenster
OU=Zentrum fuer Informationsverarbeitung
CN=Dr. Raimund Vogl
emailAddress=rvogl@uni-muenster.de

Mit dem Nutzerportal MeinZIV

Bei dieser Möglichkeit handelt es sich um ein Angebot des Zentrums für Informationsverarbeitung (nicht der WWUCA) unter Verwendung einer von der DFN-PKI bereit gestellten Schnittstelle.

Inhaber einer ZIV-Nutzerkennung, die zum berechtigten Personenkreis gehören, finden im Nutzerportal MeinZIV unter dem Menüpunkt „Digitale ID (Zertifikat)“ eine bequeme Möglichkeit, ein Schlüsselpaar zu erzeugen und einen Zertifikatantrag zu stellen.

Der private Schlüssel wird dabei verschlüsselt und gut geschützt im MeinZIV-System abgelegt. Geben Sie bitte eine entsprechende PIN an, dann kann selbst ein Systemverwalter nicht mehr auf Ihren privaten Schlüssel zugreifen.

Auch hier müssen Sie ein Antragsformular ausdrucken, unterschreiben und persönlich unter Vorlage von Reisepass oder Personalausweis bei einem Teilnehmerservice-Mitarbeiter abgeben.

Mit dem WWW-Browser

Bei diesem Verfahren erfolgen die Erzeugung des Schlüsselpaars und das Übermitteln des Zertifikatantrags in einem einzigen Schritt.

Dieses Verfahren funktioniert nicht mit allen Browsern, insbesondere nicht mit Chrome! Wir empfehlen Mozilla Firefox, ersatzweise Microsoft Internet Explorer.

Verwenden Sie bitte für dieses Verfahren nur einen Rechner, der vollständig unter Ihrer Kontrolle steht! Denn bei diesem Verfahren wird Ihr privater Schlüssel auf diesem Rechner im Zertifikatspeicher des Browsers abgelegt.

Setzen Sie bitte in den Sicherheitseinstellungen Ihres Browsers zuerst ein Master-Passwort, damit der private Schlüssel nicht offen lesbar abgelegt wird!

Gehen Sie bitte auf ca.wwu.de auf die WWW-Seiten unseres Zertifizierungsservers, dort unter „Zertifikate“ auf „Nutzerzertifikat“ und füllen Sie bitte das Formular aus.

Auf der folgenden Seite überprüfen und bestätigen Sie alle Angaben.

Falls Sie eine Smartcard (oder ein eToken oder ein sonstiges kryptographisches Gerät) benutzen und falls Ihr Browser über den notwendigen Treiber verfügt, werden Sie jetzt gefragt, mit welchem Gerät Sie das Schlüsselpaar erzeugen möchten.

Danach erzeugt der Browser (bzw. die Smartcard) ein neues Schlüsselpaar. Der öffentliche Schlüssel zusammen mit Ihren persönlichen Daten an den Zertifizierungsserver übermittelt. Der private Key bleibt lokal im Browser (bzw. in der Smartcard).

Danach müssen Sie ein Antragsformular ausdrucken, unterschreiben und persönlich unter Vorlage von Reisepass oder Personalausweis bei einem Teilnehmerservice-Mitarbeiter abgeben.

Manuell mit OpenSSL oder anderer Software

Bei dieser – ansonsten sehr umständlichen – Methode brauchen Sie Ihren privaten Schlüssel weder einem WWW-Browser noch dem MeinZIV-System anzuvertrauen.

Diese Möglichkeit funktioniert genauso wie das Beantragen eines Server-Zertifikats.

Dabei sind folgende Unterschiede zu beachten:

  • Das Attribut „CN“ (für Common Name) muss nicht einen Rechnernamen, sondern Ihren Namen enthalten.

  • Das Attribute „emailAddress“ muss angegeben werden.

  • Beim Absenden des Antrags auf der „Serverzertifikat“-Seite wählen Sie das Zertifikatprofil „User“ aus.