Nutzerzertifikate RA-Portal
Hinweis
Diese Anleitung beschreibt, wie Sie über Ihren Browser ein Nutzerzertifikat im RA-Portal beantragen und abholen können:
Bitte beachten Sie:
- Ein bestehendes Nutzerzertifikat aus dem RA-Portal muss entweder gesperrt oder abgelaufen oder noch weniger als 28 Tage gültig sein, bevor ein Neues beantragt werden kann.
- Ein bestehendes Nutzerzertifikat aus der DFN-PKI Global kann bis zum Ablaufdatum weiterverwendet werden. Das RA-Portal kennt die DFN-PKI Zertifikate nicht und verhindert somit die Ausstellung eines weiteren Nutzerzertifikats im RA-Portal nicht. Der gleichzeitige Einsatz von mehreren Nutzerzertifikaten für eine E-Mail-Adresse ist allerdings nicht zu empfehlen und führt zu erheblichen Problemen bei E-Mail-Verschlüsselung.
Nutzerzertifikat beantragen
Während der Zertifikatserstellung werden zwei Dateien erzeugt und müssen lokal gespeichert werden:
- die Zertifikatsantragsdatei (.json-Datei), enthält Ihre kryptographischen Schlüssel;
- die Zertifikatsdatei (.p12-Datei), enthält Ihr Zertifikat und Ihre kryptographischen Schlüssel.
Beide obige Dateien enthalten Ihre kryptographischen Schlüssel und müssen passwortgeschützt (verschlüsselt) gespeichert werden:
- das .json-Passwort verschlüsselt die .json-Datei (Zertifikatsantragsdatei)
- das .p12-Passwort verschlüsselt die .p12-Datei (Zertifikatsdatei inklusive kryptographischen Schlüssel)
Das .json-Passwort benötigen Sie, um die .p12-Datei nicht erzeugen (bei browsergeneriertem RSA-Schlüssel) und das .p12-Passwort benötigen Sie, um Ihr Zertifikat zu benutzen.
Um ein Nutzerzertifikat zu beantragen, bitte führen Sie folgende Schritte aus:
Schritt 1
Melden Sie sich per RWTH Single Sign-On im RA-Portal an.
- Die Anmeldung ist nur innerhalb des RWTH-Netzes möglich.
- Jede Anmeldung ist maximal für 60 Minuten gültig.
Während der Anmeldung wird dem RA-Portal Ihr Mitarbeitende(r)/Studierende(r)/Mitglied-Status übermittelt. Wenn Sie weder Mitarbeitende(r)- noch Studierende(r)-Status besitzen, dann wird Ihnen im RA-Portal angezeigt, dass Sie eine Identitätsprüfung durchführen müssen, bevor Sie mit der Client-Zertifikat Beantragung fortfahren können.
Schritt 2
Wählen Sie den Reiter Meine Client-Zertifikate. Beim ersten Besuch ist die Tabelle der eigenen Zertifikate leer.
Schritt 3
Klicken Sie auf den Button + Client-Zertifikat beantragen.
Schritt 4
Prüfen Sie, ob die E-Mail-Adresse, für die Sie das Zertifikat beantragen möchten, freigeschaltet ist.
E-Mail-Adressen in den @rwth-aachen.de- und @post.rwth-aachen.de-E-Mail-Domänen werden dem RA-Portal automatisch übermittelt und sind in der Liste der Ihnen zugewiesen E-Mail-Adressen immer sichtbar.
Ihre Instituts-E-Mail-Adresse(n) und Aliasse müssen zuerst bestätigt werden, bevor diese angezeigt werden. Bitte wenden Sie sich dazu an die IT-Ansprechpersonen Ihrer Einrichtung.
Schritt 5
Erzeugen Sie einen Zertifikatsantrag (mit Schlüsselgenerierung im Browser).
Das Feld E-Mail-Konto: Wählen Sie hier eine E-Mail-Adresse aus, für die ein Zertifikat ausgestellt werden soll.
- Aliasse für @rwth-aachen.de-Adressen können abgewählt werden. Mehr als 2 Aliasse sind von der CA nicht erlaubt (Meldung ist "Zu viele Aliasse"). Entweder Aliasse abwählen oder diese entfernen lassen (setzen Sie sich mit dem IT-SD in Verbindung) um die Zertifikatsbeantragung abschließen zu können.
- "Nicht anfragbar" sind E-Mail-Adressen, für die ein gültiges Zertifikat im RA-Portal existiert, was noch länger als 28 Tage gültig ist. Falls Sie für eine solche E-Mail-Adresse ein neues Zertifikat benötigen, müssen Sie erst das gültige Zertifikat sperren. Dafür gehen Sie zurück zu Meine Client-Zertifikate.
Das Feld Vorname (für Zertifikat):
- Für persönliche E-Mail-Adressen können Sie zwischen Ihren vollständigen Vornamen oder Ihren Rufnamen wählen. Diese werden aus dem Identity Management übernommen, sobald Sie ein E-Mail-Konto ausgewählt haben. z.Z. werden Umlaute und andere besondere Zeichen von der CA (Harica) nicht unterstütz, d.h. das RA-Portal transkribiert diese.
- Für funktionale Postfächer wird dieses Feld in das Zertifikat nicht übernommen.
Das Feld Nachname (für Zertifikat):
- Für persönliche E-Mail-Adressen wird Ihr Nachname aus dem Identity Management übernommen, sobald Sie ein E-Mail-Konto ausgewählt haben. z.Z. werden Umlaute und andere besondere Zeichen von der CA (Harica) nicht unterstütz, d.h. das RA-Portal transkribiert diese.
- Für funktionale Postfächer wird dieses Feld in das Zertifikat nicht übernommen.
Das Feld Common Name (für Zertifikat):
- Für persönliche E-Mail-Adressen wird dieses Feld durch den gewählten Vornamen und den Nachnamen erzeugt.
- Für funktionale Postfächer wird dieses Feld in das Zertifikat nicht übernommen.
Das Feld Passwort zum Verschlüsseln des Private Key: Setzen Sie ein Passwort zum Verschlüsseln Ihrer .json-Antragsdatei. Die .json-Datei enthält Ihre kryptographischen Schüssel. Sie benötigen diese Datei und das Kennwort dazu, um Ihr Zertifikat abholen und benutzen zu können. Bitte bewahren Sie die Datei und das Kennwort vorsichtig auf, da das Kennwort nicht zurückgesetzt werden kann.
Das Feld Schlüsselalgorithmus: Wählen Sie RSA-4096 (empfohlen) oder RSA-2048 aus.
Hinweis zu Ihrem Namen aus dem Identity Management:
- Wenn Ihr Name nicht mit dem Namen in Ihrem amtlichen Ausweisdokument übereinstimmt, lassen Sie Ihren Namen von der für Sie zuständigen Einrichtung der zentralen Hochschulverwaltung (z.B. Personalabteilung) anpassen.
- Die RA-Portal Nutzerzertifikate übernehmen keine (akademischen) Titel, auch wenn diese in Ihrem Ausweisdokument eingetragen sind.
Pflichtfelder:
- Bestätigen Sie, dass Ihr Name korrekt ist sowie, dass Sie rechtmäßigen Zugriff auf das Postfach haben.
- Sie müssen Ihre Zustimmung geben, dass Ihre Daten zum Zwecke der Zertifikatserstellung verarbeitet werden dürfen. Lesen Sie den Text sorgfältig durch.
- Sie nehmen zur Kenntnis, dass Ihr Zertifikat im RWTH-LDAP (RWTH-interner Verzeichnisdienst) aufgenommen wird.
Schritt 6
Laden Sie den Zertifikatsantrag im RA-Portal hoch.
Mit dem Klick auf den entsprechenden Button werden drei Ereignisse angestoßen:
- Zertifikatsantrag im Browser generieren: Hier werden u.a. Ihre kryptographische Schlüssel im Browser erzeugt.
- Antragsdatei lokal speichern: Hier wird die .json-Datei lokal auf Ihren Rechner gespeichert.
- Zertifikatsantrag im RA-Portal hochladen: Hier wird Ihr Zertifikatsantrag im RA-Portal hochgeladen.
Der Speicherort der .json-Datei ist abhängig von den individuellen Einstellungen Ihres Browsers. Wenn Sie kein Dialogfenster zum Speicherort und Namen der Datei erhalten und/oder die Default-Browser-Einstellungen benutzen, dann wird die .json-Datei in den Downloads-Ordner gespeichert.
Schritt 7
Nachdem Sie Ihren Zertifikatsantrag generiert haben, müssen Sie diesen an die CA (engl. Certification Authority, deutsch Zertifizierungsstelle) absenden.
Zunächst besteht hier Ihre letzte Chance, die .json-Datei (nochmal) zu speichern: Die Antragsdatei (.json) sollte im vorherigen Schritt automatisch auf Ihrem Rechner heruntergeladen worden sein (prüfen Sie ggf. Ihren Downloads-Ordner). Mit dem Antragsdatei erneut speichern-Button können Sie den Download nochmal manuell anfordern. Die .json-Datei ist notwendig, um Ihr Zertifikat später benutzen zu können (die .json-Datei enthält Ihre kryptographischen Schlüssel).
Klicken Sie auf Zertifikatsantrag jetzt absenden.
Wenn Sie Ihren Antrag nochmal prüfen möchten, klicken Sie auf Zertifikatsantrag erst anzeigen.
- Unter Inhalt des Zertifikatsantrages können Sie die Antragsdaten überprüfen.
- Sie haben noch die Möglichkeit, Ihren Antrag über den Button "Löschen" endgültig zu löschen .
- Klicken Sie anschließend auf Absenden um Ihren Antrag endgültig an die CA abzusenden.
Nutzerzertifikat abholen
Nachdem Ihr Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail-Benachrichtigung von ra-portal-noreply@itc.rwth-aachen.de mit dem Betreff [ra-portal] Client-Zertifikat für <E-Mail-Adresse> ausgestellt.
Im RA-Portal wird ein grüner Haken neben dem Zertifikats-Status angezeigt. Es ist jetzt möglich, Ihre p12-Datei zu generieren und herunterzuladen.
- Sie MÜSSEN Option "PKCS#12-Datei generieren" wählen: hierdurch wird Ihr Zertifikat mit Ihren kryptographischen Schlüssel (aus der .json) zusammengefügt in Form einer .p12-Datei. Diese .p12-Datei müssen Sie in Ihre E-Mail oder Dokument- Anwendung importieren um digital signieren zu können.
- Sie können die Option "Zertifikat-Download (PKCS#7)" wählen: Dies ist das Nutzerzertifikat mit Kette.
- Sie können die Option "Inhalt als Text Anzeigen" wählen: Hier wird der Inhalt das Zertifikats als plaintext angezeigt (nur z.I.).
Das Feld Antragsdatei: Klicken Sie auf Durchsuchen und wählen Sie hier die von Ihnen heruntergeladene Zertifikatsantragsdatei (.json-Datei) aus Schritt 6 aus.
Das Feld Passwort zum Entschlüsseln des Private Key: Geben Sie das Passwort für die .json-Datei, das im Schritt 5 gesetzt wurde, ein.
Das Feld Passwort zum Verschlüsseln der PKCS#12-Datei: Setzen Sie ein Passwort für Ihre .p12-Datei. Sie benötigen dieses Passwort, um Ihre .p12-Datei (und als Folge Ihr Zertifikat und die dazugehörigen kryptographischen Schlüssel) in z.B. Ihre E-Mail-Anwendung importieren zu können. Bewahren Sie dieses Passwort sicher auf, es gibt keine Möglichkeit es zurückzusetzen.
Klicken Sie auf den Button PCKS#12-Datei erstellen, um die .p12-Datei zu erzeugen und lokal zu speichern.
Sie können .json-Passwort auch für die Sicherung der .p12-Datei zu benutzen. Bitte aktivieren Sie dazu die entsprechende Option.
Sie erhalten eine Bestätigung, dass die .p12-Datei erstellt wurde. Wenn Sie die Datei nicht herunterladen konnten, können Sie auf den grünen Button PKCS#12-Datei erneut speichern klicken.
Nachdem Sie die Datei erfolgreich heruntergeladen und gespeichert haben, können Sie das Pop-up schließen. Bitte bewahren Sie diese .p12-Datei sicher auf, die wird benötigt um Ihr Zertifikat plus kryptographische Schlüssel in Ihre Anwendungen zu importieren. Solange Sie die .p12-Datei sicher gespeichert haben, können (und sollten) Sie die .json-Datei löschen.
