Beantragen eines persönlichen Zertifikates mit dem Internet Explorer

Zertifikat beantragen

Starten Sie Ihren Browser und geben Sie als Adresse folgende URL ein bzw. klicken Sie den nachstehenden Link an:

 https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=basic_csr;id=1;menu_item=1&RA_ID=2900

Auf der nun folgenden Seite füllen Sie die Eingabefelder sinngemäß nach dem angezeigten Muster aus:

Tragen Sie die Mailadresse ein, unter der Sie mit dem beantragten Zertifikat sicheren Mailverkehr betreiben wollen.

  • Geben Sie Ihren vollen Namen und Ihre Abteilung ein.
  • Diese Angabe wird in den Zertifikatsnamen aufgenommen.
    Studierende können hier das Hauptfach angeben.
  • Es folgt die Festlegung einer PIN, die zum späteren Verwalten des Zertifikates über die vorliegenden Webschnittstelle benötigt wird.
    (doppelte Eingabe gegen vertippen)
  • Schließlich anerkennen Sie die Zertifizierungsrichtlinien (erforderlich)
    (ein Klick auf den Link unter "Zertifizierungsrichtlinien" führt Sie zu den Richtliniendokumenten der WHZ CA)

und

  • stimmen der Veröffentlichung des Zertifikates zu (erforderlich).

Bitte verwenden sie keine nationalen Sonderzeichen. Der erlaubte Zeichenvorrat ist im Hauptdokument beschrieben.

Nachdem Sie die Schaltfläche Weiter angeklickt haben, werden Ihnen alle Daten nochmals angezeigt. Sie haben jetzt die Möglichkeit, mit der Schaltfläche Ändern auf die vorige Seite zurückzukehren oder mit Bestätigen den Antrag als gültig abzusenden.

Nun muss der Browser ein Schlüsselpaar der angegebenen Länge erzeugen. Dazu ist ein Dialog mit dem Benutzer erforderlich.

Er sieht im Internet Explorer folgendermaßen aus:

Bevor Sie hier mit OK fortfahren, stellen Sie zunächst die hohe Sicherheitsstufe ein.

Wir raten dringend zu dieser Einstellung, da ansonsten ein "cleverer" Virus mit eigener SMTP-Engine in der Lage sein könnte, signierte Mails zu verschicken und damit eine nicht vorhandene Authentizität vorzutäuschen.

Sobald die hohe Sicherheitsstufe eingestellt ist, wird beim Zugriff auf den privaten Schlüssel immer nach dem Kennwort gefragt.

Die Sicherheitsstufe kann auch nachträglich geändert werden.

Nun legen Sie ein Passwort fest und lassen den Schlüssel fertigstellen.

Sie kommen zurück auf das erste dieser drei Dialogfenster. Dort klicken Sie auf OK.

Nach der Fertigstellung der Schlüssel erfolgt dieser Hinweis:

Die nächste Seite präsentiert Ihnen ein Antragsformular als PDF-Datei, das Sie ausdrucken, fertig ausfüllen und der Registrierungsstelle persönlich vorlegen müssen.

Die Registrierungsstelle

  • das vollständig ausgefüllte und unterschriebene Antragsformular,
  • Ihren gültigen Personalausweis oder Reisepass sowie
  • falls Sie nicht Nutzer/Nutzerin des ZKI sind, ein amtliches Dokument, das Sie als Mitglied der WHZ ausweist.
    Beispiele: Studierendenausweis, Schriftliche Bescheinigung des Abteilungsleiters.

Da es beim Eintragen der letzten 5 Stellen der Personalausweis-Nummer immer wieder zu Missverständnissen kommt, haben wir im nebenstehenden Muster-Ausweis den Ort der Ausweis-Nummer mit einem roten Kringel versehen.

Falls dem Antrag nichts entgegensteht, wird Ihnen die Zertifizierungsstelle innerhalb weniger Minuten nach der Genehmigung durch die Registrierungsstelle das Zertifikat als Attachement an die persönliche Mailadresse zuschicken. Der Inhalt sieht (an unser Beispiel angepasst) etwa folgendermaßen aus:

Sehr geehrte Nutzerin, sehr geehrter Nutzer,

 

die Bearbeitung Ihres Zertifizierungsantrags ist nun abgeschlossen.

Ihr Zertifikat mit der Seriennummer 123456789 ist auf den Namen CN=Martin Mustermann,OU=ZKI,O=Westsaechsische Hochschule Zwickau,C=DE erstellt worden und im Anhang dieser Mail beigelegt.

 

Sie benötigen die Seriennummer, um Ihr Zertifikat gegebenenfalls sperren zu können.

 

Um Ihr Zertifikat nutzen zu können, müssen Sie alle folgenden Zertifikate in Ihren Browser importieren. Achten Sie darauf, dass Sie die Zertifikate auf dem Rechner importieren, von dem aus Sie den Antrag gestellt haben, weil sich dort der zugehörige Schlüssel befindet.

 

1. Für die CA-Zertifikate wählen Sie bitte die Seite

 

https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2;RA_ID=2900

 

und folgen den Anweisungen.

 

2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:

 

https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getcert&key=123456789&type=CERTIFICATE&RA_ID=2900

 

Befolgen Sie bitte die in dem Dokument "Informationen für Zertifikatinhaber" aufgeführten Regelungen: https://info.pca.dfn.de/doc/Info_Zertifikatinhaber.pdf

 

Mit freundlichen Grüßen

 

Ihr DFN-PKI-Team

Nutzen Sie bis zum Eintreffen der Mail die Zeit, um die Zertifikatskette zu importieren, falls Sie dies bis jetzt noch nicht getan haben.

Sobald Sie das Zertifikat per Mail erhalten haben, fahren Sie mit dem folgenden Abschnitt fort.

Zertifikat installieren

Wichtig:

Die Installation des Zertifikates mit Hilfe dieser Webadresse gelingt nur mit dem Browser, der auch die Schlüssel erzeugt hat.  Wenn Sie das Zertifikat in einem anderen Browser benötigen, sei es auf demselben oder einem weiteren Rechner,  müssen sie das Zertifikat aus dem aktuellen (Standard-)Browser exportieren und anschließend mit dem anderen Browser importieren.

Wenn der Internet Explorer Ihr Standard-Browser ist, genügt ein Klick auf die in der oben dargestellten Beispiel-Mail rot markierte Zeile, um den Import nach Windows auszulösen. Der Internet Explorer startet und zeigt folgendes Bild:

Klicken Sie auf die Schaltfläche Zertifikat importieren.

Der Import wird nicht unbedingt vom Browser bestätigt. D.h. es kann für Sie so aussehen, als hätte sich nichts ereignet. In diesem Fall ist es sinnvoll, im Zertifikatsspeicher nach dem betreffenden Zertifikat zu suchen. Lesen Sie dazu den nächsten Abschnitt.

Ab sofort steht dieses Zertifikat dann allen Microsoft-Anwendungen zur Verfügung, die auf Zertifikate zurückgreifen.

Das ist neben dem Internet Explorer z.B. auch Outlook oder Outlook Express.

Falls der Internet Explorer nicht Ihr Standard-Browser ist, übertragen Sie den angegebenen Link in die Adresszeile des zuvor gestarteten Internet Explorer.

Zertifikat überprüfen

Falls Sie sich nachträglich das Zertifikat ansehen wollen, finden Sie es auf folgendem Weg
Öffnen Sie die Internet-Optionen im Internet Explorer über Extras / Internetoptionen.
Wechseln Sie zur Karteikarte Inhalte und klicken Sie auf die Schaltfläche Zertifikate.

Es öffnet sich dieses Fenster:

Die Karteikarte Eigene Zertifikate stellt sozusagen einen "Schlüsselbund" zur Verfügung, an den Sie diejenigen Zertifikate "anhängen" können, deren privater Schlüssel Ihnen gehört. Im Feld Beabsichtigte Zwecke... wird aufgeführt, welche Sicherheitsfunktionen das Zertifikat abdeckt. Die Schaltfläche Anzeigen öffnet ein Fenster, in dem Sie sich die Details des Zertifikates ansehen können.

Weiterhin stehen Ihnen folgende Manipulationswerkzeuge zur Verfügung:

(Manche Funktionen sind nur zugänglich, wenn mindestens ein Zertifikat durch anklicken markiert ist)

  • Importieren
    Hiermit hängen Sie ein weiteres Zertifikat an den Schlüsselbund, das als Datei auf einem Speichermedium vorliegt.
  • Exportieren
    Mit dieser Funktion speichern Sie das ausgewählte Zertifikat als Datei ab.
    Im nächsten Abschnitt wird diese Möglichkeit genauer beschrieben.
  • Entfernen
    Damit löschen Sie das ausgewählte Zertifikat.
  • Erweitert
    Hiermit öffnen Sie ein weiteres Fenster, in dem Sie die Zertifikatszwecke ändern (normalerweise nicht erforderlich) und das Exportformat festlegen können.

Zertifikat sichern

Es empfiehlt sich, das Zertifikat samt privatem Schlüssel abzuspeichern (z.B. auf Diskette) und an einem sicheren Ort aufzubewahren.

Dazu öffnen Sie den Exportassístenten für die eigenen Zertifikate (siehe vorige Abbildung).

Auf der Eröffnungsseite klicken Sie auf Weiter.

Wählen Sie entsprechend der Abbildung den Punkt Ja und klicken Sie auf Weiter.

Beziehen Sie alle Zertifikate aus der Vertrauenskette mit ein und sichern Sie mit der höchsten Stufe.

Sie werden nach dem Klick auf Weiter nach einem Kennwort gefragt.

Damit wird der Zugriff auf abgespeicherte Datei geschützt.

Nach Eingabe des Kennwortes und einem Klick auf Weiter zeigt Ihnen ein weiteres Fenster die Zusammenstellung der gewählten Optionen.

Klicken Sie nun auf Fertigstellen.

Da zum Speichern der Zugriff auf Ihren privaten Schlüssel erforderlich ist, werden Sie nach dem Kennwort für diesen Zugriff gefragt.

Nachdem Sie OK angeklickt haben (und alles fehlerfrei ablief) sehen Sie die Exportbestätigung:

Zertifikatsdatei importieren und Sicherheitsstufe ändern

Falls Sie die Sicherheitsstufe nachträglich ändern wollen, müssen den Umweg über den Import-Assistenten gehen, denn nur während des Importvorganges lässt sich diese Option einstellen.
Dazu ist es aber erforderlich, dass das Zertifikat zuvor exportiert wurde.
Setzen wir voraus, dass dies geschehen ist.
Klicken Sie also nun im Zertifikatsfenster auf die Schaltfläche Importieren.
Es startet ein Begrüßungsfenster des Import-Assistenten. Sie klicken auf Weiter.
Danach erscheint eine Maske zur Festlegung des Import-Dateinamens.
Falls Sie nach der obigen Export-Anleitung vorgegangen sind, liegt die Datei im Format .PFX vor.
Geben Sie den vollen Pfadnamen ein oder durchsuchen Sie die Verzeichnisse.

Wenn die Datei gefunden ist und Sie auf Weiter klicken, werden Sie nach dem Kennwort gefragt, mit dem die Datei beim Abspeichern gesichert wurde.

Wählen Sie nun die hohe Sicherheitsstufe und markieren Sie den Schlüssel als exportierbar.

Akzeptieren Sie im folgenden Fenster den Zertifikatsspeicher Eigene Zertifikate.

Anschließend läuft ein Dialog ab, wie er bei der Antragstellung schon beschrieben wurde:

Bevor Sie hier mit OK fortfahren, stellen Sie nochmals die hohe Sicherheitsstufe ein.

Sobald die hohe Sicherheitsstufe eingestellt ist, wird beim Zugriff auf den privaten Schlüssel immer nach dem Kennwort gefragt.

Nun legen Sie ein Passwort fest und lassen den Schlüssel fertigstellen.

Nun ist der Import abgeschlossen und die Sicherheitseinstellungen sind angepasst.