CSR-Datei hochladen Nutzerzertifikat RA-Portal
Die benötigten RSA-Schlüssel und die CSR-Datei für die Beantragung eines Nutzerzertifikats im RA-Portal können auch per openssl erzeugt werden.
Schritt 1:
Loggen Sie sich im RA-Portal ein (per Single Sign-On). Das RA-Portal ist nur innerhalb des RWTH-Netzes erreichbar.
Prüfen Sie, wie Ihr Vorname und Nachname im Identity Management der RWTH eingetragen sind. Diese Namen werden im Zertifikat übernommen.
Navigieren Sie zum Reiter "Meine Client-Zertifikate".
Beim ersten Besuch ist die Lister Ihrer Nutzerzertifikate leer.
Wählen Sie "+ Client-Zertifikat beantragen"
Schritt 2:
Sie können nur Anträge für E-Mail-Adressen erstellen, die Ihnen zugewiesenen sind.
Benutzen Sie den Hilfe-Link, um die passenden openssl-Befehle angezeigt zu bekommen.
"Nicht anfragbar" sind E-Mail-Adressen, für die ein gültiges Zertifikat in der GÉANT/TCS existiert, was noch länger als 28 Tage gültig ist. Falls Sie für solcheine E-Mail-Adresse ein neues Zertifikat benötigen, müssen Sie erst das gültige Zertifikat sperren. Gehen Sie zurück zu "Meine Client-Zertifikate".
Schritt 3:
Wählen Sie die E-Mail-Adresse aus, für die Sie ein Nutzerzertifikat beantragen möchten. Für persönliche Postfächer kommt der Common Name aus dem Identity Management, Funktionale Postfächer erhalten seit dem 1.9.2023 keinen Common Name.
Klicken Sie auf "Generieren" um die passenden openssl-Befehle angezeigt zu bekommen.
Schritt 4:
RSA-2048 und RSA-4096 (empfohlen) sind erlaubt. Für Ihre CSR benutzen Sie den angezeigten openssl Befehl.
openssl genrsa -out private_key.pem 4096
openssl req -new -utf8 -key private_key.pem -out request.pem -batch -subj "/C=DE/ST=Nordrhein-Westfalen/O=RWTH Aachen University/emailAddress=RA-Portal-Test@mustereinrichtung.rwth-aachen.de" -addext "subjectAltName=email:RA-Portal-Test@mustereinrichtung.rwth-aachen.de"
Schritt 5:
Gehen Sie zurück zum Schritt 2
- Wählen Sie Ihre erzeugt CSR-Datei
- Stimmen Sie den Pflichtfeldern zu
- Klicken Sie auf "Clientzertifikatsantrag hochladen"
Schritt 6:
Prüfen Sie den "Inhalt des Zertifikatsantrags".
Sie können Ihren Antrag mit dem Mülleimer-Icon löschen.
Oder Sie schicken den Antrag über das Papierflieger-Icon an die Zertifizierungsstelle ab.
Schritt 7:
Das Sanduhr-Icon verrät, dass das Zertifikat noch ausgestellt werden muss. Status ist "Gesendet, aber noch nicht ausgestellt".
Schritt 8:
Status-Icon ist grüner Haken geworden, d. h. das Zertifikat im PKCS#7 kann heruntergeladen werden.
Schritt 9:
Sie müssen die PKCS#7 (cert.p7b) formatierte Datei (aus dem RA-Portal) in eine PEM-Datei umformatieren (cert.pem).
openssl pkcs7 -print_certs -in cert.p7b -out cert.pem
Schritt 10:
Sie müssen mit openssl aus Ihrer private_key.pem (Schritt 4) und Ihrer cert.pem-Datei (Schritt 9) eine .p12-Datei (cert.p12) erzeugen.
<passout> ist das Passwort für die .p12-Datei.
openssl pkcs12 -export -in cert.pem -inkey private_key.pem -out cert.p12 -passout pass:<passout>