Antrag auf ein persönliches Zertifikat

Als Angehöriger einer der von der WWUCA versorgten Einrichtungen können Sie ein persönliches Zertifikat beantragen.

Dieses können Sie zum elektronischen Unterschreiben und Verschlüsseln von E-Mails mit S/MIME verwenden, aber auch um sich bei WWW-Anwendungen, Rechnern oder anderen Zugangskontrollsystemen auszuweisen u. v. a. m.

Es gibt verschiedene Wege, sich ein Schlüsselpaar zu erzeugen und den Antrag an die WWUCA zu übermitteln:

Achten Sie bitte darauf, dass die Schlüssellänge mindestens 2048 Bits beträgt und dass der gewählte Name den strengen Anforderungen der Zertifizierungsrichtlinien entspricht:

  • Das Attribut „C“ (für Country) muss exakt den Wert „DE“ enthalten.

  • Das Attribut „ST“ (für State) muss exakt den Wert „Nordrhein-Westfalen“ enthalten.

  • Das Attribut „L“ (für Location) muss exakt den Wert „Muenster“ enthalten.

  • Das Attribut „O“ (für Organization) muss exakt einen der folgenden Werte enthalten:
    Westfaelische Wilhelms-Universitaet Muenster
    Universitaetsklinikum Muenster
    Kunstakademie Muenster - Hochschule fuer Bildende Kuenste

  • Das Attribut „OU“ (für Organizational Unit) sollte entfallen. Wenn es angegeben wird, muss es die Organisationseinheit benennen. Verwenden Sie dann bitte keinesfalls für Außenstehende unverständliche Abkürzungen wie „THG“, sondern die korrekte offizielle Bezeichnung wie „Klinik und Poliklinik fuer Thorax-, Herz- und Gefaesschirurgie“. Umlaute sind zwingend als ae/oe/ue/ss zu schreiben, als Satzzeichen sind nur „'()+,-./:=?“ erlaubt. Abkürzungen sind zu vermeiden, bei überlangen Bezeichnungen (über 64 Zeichen) sind verständliche Abkürzungen zulässig.

  • Das Attribut „CN“ (für Common Name) muss den Vor- und Zunamen enthalten. Personen mit mehreren Vornamen müssen den Rufnamen ausschreiben, weitere Vornamen dürfen ausgeschrieben, abgekürzt oder weggelassen werden. Titel (wie „Dr.“) dürfen nur angegeben werden, wenn sie im Ausweis stehen. Auch hier gelten die Regeln für Umlaute, Satzzeichen und Länge.

  • Das Attribut „emailAddress“ muss die bevorzugte E-Mail-Adresse enthalten. Beim Teil vor dem „@“ ist die korrekte Großkleinschreibung zu beachten (Adressen aus dem Bereich von Universität und Kunstakademie sind immer klein zu schreiben), der Teil nach dem „@“ ist komplett klein zu schreiben.

Eine gültige Angabe wäre beispielsweise:

C=DE
ST=Nordrhein-Westfalen
L=Muenster
O=Westfaelische Wilhelms-Universitaet Muenster
CN=Dr. Raimund Vogl
emailAddress=rvogl@uni-muenster.de

Mit dem Nutzerportal MeinZIV

Bei dieser Möglichkeit handelt es sich um ein Angebot der WWU IT (nicht der WWUCA) unter Verwendung einer von der DFN-PKI bereit gestellten Schnittstelle.

Inhaber einer WWU-IT-Nutzerkennung, die zum berechtigten Personenkreis gehören, finden im Nutzerportal MeinZIV unter dem Menüpunkt „Digitale ID (Zertifikat)“ eine bequeme Möglichkeit, ein Schlüsselpaar zu erzeugen und einen Zertifikatantrag zu stellen.

Der private Schlüssel wird dabei verschlüsselt und gut geschützt im MeinZIV-System abgelegt. Geben Sie bitte eine entsprechende PIN an, dann kann selbst ein Systemverwalter nicht mehr auf Ihren privaten Schlüssel zugreifen.

Auch hier müssen Sie ein Antragsformular ausdrucken, unterschreiben und persönlich unter Vorlage von Reisepass oder Personalausweis bei einem Teilnehmerservice-Mitarbeiter abgeben.

Mit dem WWW-Browser

Bei diesem Verfahren erfolgen die Erzeugung des Schlüsselpaars und das Übermitteln des Zertifikatantrags in einem einzigen Schritt.

Verwenden Sie bitte für dieses Verfahren nur einen Rechner, der vollständig unter Ihrer Kontrolle steht! Denn bei diesem Verfahren wird Ihr privater Schlüssel auf diesem Rechner im Zertifikatspeicher des Browsers abgelegt.

Gehen Sie bitte auf ca.wwu.de auf die WWW-Seiten unseres Zertifizierungsservers, dort unter „Zertifikate“ auf „Nutzerzertifikat“ und füllen Sie bitte das Formular aus.

Auf der folgenden Seite überprüfen und bestätigen Sie alle Angaben.

Danach erzeugt der Browser ein neues Schlüsselpaar. Der öffentliche Schlüssel zusammen mit Ihren persönlichen Daten an den Zertifizierungsserver übermittelt. Der private Key bleibt lokal im Browser.

Danach müssen Sie ein Antragsformular ausdrucken, unterschreiben und persönlich unter Vorlage von Reisepass oder Personalausweis bei einem Teilnehmerservice-Mitarbeiter abgeben.

Manuell mit OpenSSL oder anderer Software

Bei dieser – ansonsten sehr umständlichen – Methode brauchen Sie Ihren privaten Schlüssel weder einem WWW-Browser noch dem MeinZIV-System anzuvertrauen.

Diese Möglichkeit funktioniert genauso wie das Beantragen eines Server-Zertifikats.

Dabei sind folgende Unterschiede zu beachten:

  • Das Attribut „CN“ (für Common Name) muss nicht einen Rechnernamen, sondern Ihren Namen enthalten.

  • Das Attribut „emailAddress“ muss angegeben werden.

  • Beim Absenden des Antrags auf der „Serverzertifikat“-Seite wählen Sie das Zertifikatprofil „User“ aus.