Nutzerzertifikate RA-Portal
Hinweis
Diese Anleitung beschreibt, wie Sie über Ihren Browser ein Nutzerzertifikat im RA-Portal (GÉANT/TCS) beantragen und abholen.
Bitte beachten Sie:
- Ein bestehendes Nutzerzertifikat aus der GÉANT/TCS muss entweder gesperrt oder abgelaufen oder noch weniger als 28 Tage gültig sein, bevor ein Neues beantragt werden kann.
- Ein bestehendes Nutzerzertifikat aus der DFN-PKI Global kann bis zum Ablaufdatum weiterverwendet werden. Das RA-Portal kennt DFN-PKI Zertifikate nicht und verhindert somit die Ausstellung eines weiteren Nutzerzertifikats in der GÉANT/TCS nicht. Der gleichzeitige Einsatz von mehreren Nutzerzertifikaten für eine E-Mail-Adresse ist allerdings nicht zu empfehlen und führt zu erheblichen Problemen bei E-Mail-Verschlüsselung.
Während der Zertifikatserstellung werden zwei Dateien erzeugt und müssen lokal gespeichert werden:
- die Zertifikatsantragsdatei (.json-Datei), enthält Ihre kryptographischen Schlüssel;
- die Zertifikatsdatei (.p12-Datei), enthält Ihr Zertifikat und Ihre kryptographischen Schlüssel.
Beide obige Dateien enthalten Ihre kryptographischen Schlüssel und müssen passwortgeschützt (verschlüsselt) gespeichert werden:
- das .json-Passwort verschlüsselt die .json-Datei (Zertifikatsantragsdatei)
- das .p12-Passwort verschlüsselt die .p12-Datei (Zertifikatsdatei inklusive kryptographischen Schlüssel)
Diese Passwörter unbedingt merken.
- Ohne die .json-Datei können Sie die .p12-Datei nicht erzeugen (bei browsergenerierten RSA-Schlüssel).
- Ohne die .p12-Datei können Sie Ihr Zertifikat nicht benutzen.
Nach Speicherung der .p12-Datei kann die .json-Datei gelöscht werden.
Nutzerzertifikat beantragen
Nutzerzertifikat abholen
1. Melden Sie sich per Single Sign-On im RA-Portal an.
- Die Anmeldung ist nur innerhalb des RWTH-Netzes möglich.
- Jede Anmeldung ist maximal für 60 Minuten gültig.
Während des Single-Sign-Ons wird dem RA-Portal Ihr employee/student/member-Status übermittelt. Wenn Sie keinen employee- oder keinen student-Status besitzen, dann wird Ihnen im RA-Portal angezeigt, dass Sie eine Identitätsprüfung durchführen müssen, bevor Sie mit der Client-Zertifikat Beantragung fortfahren können. Eine Anleitung finden Sie unter "Identitätsprüfung".
2. Wählen Sie den Reiter "Meine Client-Zertifikate".
Beim ersten Besuch ist die Tabelle der eigenen Zertifikate leer.
3. Klicken Sie auf den Button "+ Client-Zertifikat beantragen".
4. Prüfen Sie, ob die E-Mail-Adresse, für die Sie das Zertifikat beantragen möchten, freigeschaltet ist.
E-Mail-Adressen in den @rwth-aachen.de- und @post.rwth-aachen.de-E-Mail-Domänen werden dem RA-Portal automatisch übermittelt und sind in der Liste der Ihnen zugewiesen E-Mail-Adressen immer sichtbar.
Ihre Instituts-E-Mail-Adresse(n) müssen erst "bestätigt" worden sein, bevor diese angezeigt werden.
- Die Bestätigung erfolgt über Bestätigungs-E-Mail(s) - so genannte Challenge-E-Mails. Diese Challenge-E-Mails werden von den Netzansprechpartner*innen Ihrer Organisation verschickt und haben den Betreff "[RA-Portal] Freischaltung für / Access for <E-Mail-Adresse>"
- Folgen Sie dem Link (URL), um Ihre E-Mail-Adresse zu bestätigen, d.h. Ihre Benutzerkennung mit Ihrer E-Mail-Adresse im RA-Portal zu verknüpfen.
Falls keine weiteren ausstehenden Challenge-E-Mails existieren, z.B. für Aliase der Absender-E-Mail-Adresse Ihres Postfaches, dann können Sie ab diesem Zeitpunkt Zertifikate für Ihre E-Mail-Adresse im RA-Portal beantragen.
5. Erzeugen Sie einen Zertifikatsantrag (mit Schlüsselgenerierung im Browser).
Alternativ zur Schlüsselgenerierung im Browser können Sie einen "Zertifikatsantrag hochladen". Dies erfordert das Erzeugen eigener kryptographischen Schlüssel und einer CSR-Datei via openssl.
Wählen Sie eine E-Mail-Adresse im Feld "E-Mail-Konto" aus, für die ein Zertifikat ausgestellt werden soll.
- Aliase für @rwth-aachen.de-Adressen können abgewählt werden.
- "Nicht anfragbar" sind E-Mail-Adressen, für die ein gültiges Zertifikat in der GÉANT/TCS existiert, was noch länger als 28 Tage gültig ist. Falls Sie für solcheine E-Mail-Adresse ein neues Zertifikat benötigen, müssen Sie erst das gültige Zertifikat sperren. Dafür gehen Sie zurück zu "Meine Client-Zertifikate".
Das Feld "Common Name": Für persönliche E-Mail-Adressen wird Ihr Name aus dem Identity Management übernommen, sobald Sie ein E-Mail-Konto auswählt haben. Für funktionale Postfächer wird seit dem 01.09.2023 kein Common Name in das Zertifikat übernommen.
Das Feld "Von der CA festgelegte Attribute":Diese Felder (Attribute) werden von der CA (PKI) vorgegeben und gelten RWTH-weit.
Das Feld "Passwort zum Verschlüsseln des Private Key": Setzen Sie ein Passwort zum Verschlüsseln Ihrer .json-Antragsdatei. Die .json-Datei enthält Ihre kryptographischen Schüssel. Sie benötigen diese Datei und das Kennwort dazu, um Ihr Zertifikat abholen und benutzen zu können. Es ist kein Kennwortreset möglich, bitte bewahren Sie Datei und Kennwort vorsichtig auf.
Das Feld "Schlüsselalgorithmus": Wählen Sie "RSA-4096" (empfohlen) oder "RSA-2048" aus.
Hinweis zu Ihrem Namen aus dem Identity Management (IdM):
- Wenn Ihr Name nicht mit dem Namen in Ihrem amtlichen Ausweisdokument übereinstimmt, lassen Sie Ihren Namen von der für Sie zuständigen Einrichtung der zentralen Hochschulverwaltung (z.B. Personalabteilung) anpassen.
- Die GÉANT/TCS Nutzerzertifikate übernehmen keine (akademischen) Titel, auch wenn diese auf Ihrem Ausweisdokument eingetragen sind.
Pflichtfelder:
- Bestätigen Sie, dass Ihr Name, wie er aus dem IdM übermittelt wird, korrekt ist sowie, dass Sie rechtmäßigen Zugriff auf das Postfach haben.
- Sie müssen Ihre Zustimmung geben, dass Ihre Daten zum Zwecke der Zertifikatserstellung verarbeitet werden dürfen. Lesen Sie den Text sorgfältig durch.
- Sie nehmen zur Kenntnis, dass Ihr Zertifikat im RWTH-LDAP (RWTH-interner Verzeichnisdienst) aufgenommen wird.
6. Laden Sie den Zertifikatsantrag hoch.
Mit dem Klick auf den entsprechenden Button werden drei Ereignisse angestoßen:
- Zertifikatsantrag im Browser generieren (hier werden u.a. Ihre kryptographische Schlüssel im Browser erzeugt).
- Antragsdatei lokal speichern (hier wird die .json-Datei lokal auf Ihren Rechner gespeichert).
- Zertifikatsantrag im RA-Portal hochladen (hier wird Ihr Zertifikatsantrag im RA-Portal hochgeladen).
Der Speicherort der .json-Datei ist abhängig von den individuellen Einstellungen Ihres Browsers. Wenn Sie kein Dialogfenster zum Speicherort und Namen der Datei erhalten und/oder die Default-Browser-Einstellungen benutzen, dann wird die .json-Datei in den Downloads-Ordner gespeichert.
7. Senden Sie den Zertifikatsantrag ab.
Nachdem Sie Ihren Zertifikatsantrag generiert haben, müssen Sie diesen an die CA (engl. Certification Authority, deutsch Zertifizierungsstelle) absenden.
Zunächst besteht hier Ihre letzte Chance, die .json-Datei (nochmal) zu speichern: Die Antragsdatei (.json) sollte im vorherigen Schritt automatisch auf Ihrem Rechner heruntergeladen worden sein (prüfen Sie ggf. Ihren Downloads-Ordner). Mit dem "Antragsdatei erneut speichern"-Button können Sie den Download nochmal manuell anfordern. Die .json-Datei ist notwendig, um Ihr Zertifikat später benutzen zu können (die .json-Datei enthält Ihre kryptographischen Schlüssel).
Ihr Antrag muss nun an die CA (PKI) abgeschickt werden. Es gibt hier zwei Möglichkeiten:
- Durch Klick auf den Button "Zertifikatsantrag jetzt absenden" wird Ihr Antrag an die CA abgesendet. Sie werden innerhalb des RA-Portals zum Schritt 8 weitergeleitet.
- Durch Klick auf den Button "Zertifikatsantrag erst anzeigen", können Sie Ihren Antrag nochmal prüfen bevor Sie diesen an die CA absenden.
- Unter "Inhalt des Zertifikatsantrages" können Sie die Antragsdaten überprüfen.
- Sie haben noch die Möglichkeit, Ihren Antrag über das Mülleimer-Icon zu löschen.
- Oder Sie klicken auf das Papierflieger-Icon, um Ihren Antrag an die CA abzusenden.
8. Ihr Antrag wird bearbeitet.
Unter dem Menüpunkt "Meine Client-Zertifikate" können Sie den Status Ihres Zertifikatsantrags jederzeit einsehen. Während der Bearbeitung ist der Antragstatus "Gesendet, aber noch nicht ausgestellt" und es wird ein blaues Sanduhr-Icon angezeigt.
Nachdem Ihr Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail-Benachrichtigung von ra-portal-noreply@itc.rwth-aachen.de mit dem Betreff "[ra-portal] Client-Zertifikat für <E-Mail-Adresse> ausgestellt".
Im RA-Portal wird ein grüner Haken neben dem Zertifikats-"Status" angezeigt. Es ist jetzt möglich, Ihr Zertifikat herunterzuladen. Wählen Sie hier die Option "Im Browser PKCS#12-Datei generieren".
- Option PKCS#7: Dies ist das Nutzerzertifikat mit Kette. Diese Option wird benötigt, wenn der Zertifikatsantrag per openssl erzeugt wurde.
Das Feld "Antragsdatei": Klicken Sie auf "Durchsuchen" und wählen Sie hier die von Ihnen heruntergeladene Zertifikatsantragsdatei (.json-Datei) aus Schritt 6 aus.
Das Feld "Passwort zum Entschlüsseln des Private Key": Geben Sie das Passwort für die .json-Datei, das im Schritt 5 gesetzt wurde, ein.
Das Feld "Passwort zum Verschlüsseln der PKCS#12-Datei": Setzen Sie ein Passwort für Ihre .p12-Datei. Sie benötigen dieses Passwort, um Ihre .p12-Datei (und als Folge Ihr Zertifikat und die dazugehörigen kryptographischen Schlüssel) in z.B. Ihre E-Mail-Anwendung importieren zu können. Bewahren Sie dieses Passwort sicher auf, es gibt keine Möglichkeit es zurückzusetzen.
Klicken Sie auf den Button "PCKS#12-Datei erstellen", um die .p12-Datei zu erzeugen und lokal zu speichern.
Es besteht die Möglichkeit, das .json-Passwort auch für die Sicherung der .p12-Datei zu benutzen. Klicken Sie dafür in den Kasten "Gleiches Passwort ... benutzen".
Sie erhalten eine Bestätigung, dass die .p12-Datei erstellt wurde. Wenn Sie die Datei nicht herunterladen konnten, können Sie auf den grünen Button "PKCS#12-Datei erneut speichern" klicken.
Nachdem Sie die Datei erfolgreich heruntergeladen und gespeichert haben, können Sie das Pop-up schließen. Bitte bewahren Sie diese .p12-Datei sicher auf, die wird später benötigt um Ihr "Zertifikat" in Anwendungen zu importieren.
Weitere Informationen: