Nutzerzertifikate RA-Portal
Hinweis
Diese Anleitung beschreibt, wie Sie über Ihren Browser ein Nutzerzertifikat im RA-Portal (GÉANT/TCS) beantragen und abholen.
Ein bestehendes Nutzerzertifikat (aus der GÉANT/TCS) muss entweder gesperrt oder abgelaufen oder noch weniger als 28 Tage gültig sein, bevor ein Neues beantragt werden kann.
Ein bestehendes Nutzerzertifikat aus der DFN-PKI Global kann bis zum Ablaufdatum weiterverwendet werden. Das RA-Portal kennt DFN-PKI Zertifikate nicht und verhindert somit die Ausstellung eines weiteren Nutzerzertifikats in der GÉANT/TCS nicht.
Der gleichzeitige Einsatz von mehreren Nutzerzertifikaten für eine E-Mail-Adresse ist allerdings nicht zu empfehlen und führt zu erheblichen Problemen bei E-Mail-Verschlüsselung.
Während der Zertifikatserstellung werden zwei Dateien erzeugt und müssen lokal gespeichert werden:
Beide obige Dateien enthalten Ihre kryptographischen Schlüssel und müssen passwortgeschützt (verschlüsselt) gespeichert werden:
Diese Passwörter unbedingt merken. Ohne die .json-Datei können Sie die .p12-Datei nicht erzeugen (bei browsergenerierten RSA-Schlüssel). Ohne die .p12-Datei können Sie Ihr Zertifikat nicht benutzen. Nach Speicherung der .p12-Datei kann die .json-Datei gelöscht werden. |  |
Anleitung
1. Melden Sie sich per Single Sign-On im RA-Portal an
- Die Anmeldung ist nur innerhalb des RWTH-Intranets möglich.
- Jede Anmeldung ist maximal für 30 Minuten gültig.
- Nach 10 Minuten Inaktivität wird eine Neuanmeldung verlangt.
Wählen Sie den Reiter "Meine Client-Zertifikate".
Beim ersten Besuch ist die Tabelle der eigenen Zertifikate leer.
Klicken Sie auf den Button "+ Client-Zertifikat beantragen".
 |
2. E-Mail-Adressen prüfen
Prüfen Sie, ob die E-Mail-Adresse, für die Sie das Zertifikat beantragen möchten, freigeschaltet ist.
E-Mail-Adressen in den @rwth-aachen.de- und @post.rwth-aachen.de-E-Mail-Domänen werden dem RA-Portal automatisch übermittelt und sind in der Liste der Ihnen zugewiesen E-Mail-Adressen immer sichtbar.
Ihre Instituts-E-Mail-Adresse(n) müssen erst "bestätigt" worden sein, bevor diese angezeigt werden. Die Bestätigung erfolgt über Bestätigungs-E-Mail(s) - so genannte Challenge-E-Mails. Diese Challenge-E-Mails werden von den Netzansprechpartner*innen Ihrer Organisation verschickt.
Eine Challenge-E-Mail sieht wie folgt aus:
From: ra-portal-noreply@itc.rwth-aachen.de Ihre Einrichtung hat folgende E-Mail-Adresse für Sie im RA-Portal hinterlegt: <Ihre-E-Mail>@<mustereinrichtung>.rwth-aachen.de Sie müssen die E-Mail-Adresse bestätigen, um Client-Zertifikate für diese beantragen zu können. Die Bestätigung erfolgt über folgenden Link: Leiten Sie diese E-Mail keinesfalls weiter |
Folgen Sie dem Link (URL), um Ihre E-Mail-Adresse zu bestätigen, d.h. Ihre Benutzerkennung mit Ihrer E-Mail-Adresse im RA-Portal zu verknüpfen.
 | Wenn Sie die URL aus der Challenge-E-Mail folgen, landen Sie im RA-Portal und Ihre E-Mail-Adresse wird mit Ihrem Benutzernamen verknüpft. Wenn keine weiteren ausstehenden Challenge-E-Mails existieren, z.B. für Aliase der Absender-E-Mail-Adresse Ihres Postfaches, dann können Sie ab diesem Zeitpunkt Zertifikate für Ihre E-Mail-Adresse im RA-Portal beantragen. Entweder direkt oder beim nächsten Aufruf des RA-Portals. |
3. Client-Zertifikat beantragen
Klicken Sie auf den Button "+ Client-Zertifikat beantragen", um den Prozess zu starten.
4. Kein Mitarbeiter- oder Studierenden-Status?
Während des Single-Sign-Ons wird dem RA-Portal Ihr employee/student/member-Status übermittelt. Wenn Sie keinen employee- oder keinen student-Status besitzen, dann wird Ihnen im RA-Portal angezeigt, dass Sie eine Identitätsprüfung durchführen müssen, bevor Sie mit der Client-Zertifikat Beantragung fortfahren können. Eine Anleitung finden Sie unter "Identitätsprüfung".
5. Antrag erzeugen (mit Schlüsselgenerierung im Browser)
Alternativ zur Schlüsselgenerierung im Browser können Sie einen "Zertifikatsantrag hochladen". Dies erfordert das Erzeugen eigener kryptographischen Schlüssel und einer CSR-Datei via openssl.
 | Sie müssen eine Ihrer E-Mail-Adressen auswählen, für die ein Zertifikat ausgestellt werden soll. Aliase für @rwth-aachen.de-Adressen können abgewählt werden. "Nicht anfragbar" sind E-Mail-Adressen, für die ein gültiges Zertifikat in der GÉANT/TCS existiert, was noch länger als 28 Tage gültig ist. Falls Sie für solcheine E-Mail-Adresse ein neues Zertifikat benötigen, müssen Sie erst das gültige Zertifikat sperren. Gehen Sie zurück zu "Meine Client-Zertifikate" |
 | E-Mail-Konto: Wählen Sie das E-Mail-Konto aus, für welches das Zertifikat ausgestellt werden soll. Eventuelle Aliase für das Konto werden rechts davon angezeigt. Aliase für @rwth-aachen.de-Adressen können abgewählt werden. Common Name: Für persönliche E-Mail-Adressen wird Ihr Name aus Ihre IdM-Daten übernommen, sobald Sie ein E-Mail-Konto auswählt haben. Für funktionale Postfächer wird seit dem 01.09.2023 kein Common Name in das Zertifikat übernommen. |
 | Von der CA festgelegte Attribute: Diese Felder (Attribute) werden von der CA (PKI) vorgegeben und gelten RWTH-weit. Passwort zum Verschlüsseln des Private Key: Setzen Sie ein Passwort zum Verschlüsseln Ihrer .json-Antragsdatei. Die .json-Datei enthält Ihre kryptographischen Schüssel. Sie benötigen diese Datei und das Kennwort dazu, um Ihr Zertifikat abholen und benutzen zu können. Es ist kein Kennwortreset möglich, bitte bewahren Sie Datei und Kennwort vorsichtig auf. Schlüsselalgorithmus: Wählen Sie "RSA-4096" (empfohlen) oder "RSA-2048" aus. |
 | Hinweis zu Ihrem Namen aus dem Identity Management (IdM): Wenn Ihr IdM-Namen nicht mit dem Namen in Ihrem amtlichen Ausweisdokument übereinstimmt, lassen Sie Ihren Namen im IdM von der für Sie zuständigen Einrichtung der zentralen Hochschulverwaltung (z.B. Personalabteilung) anpassen. Pflichtfelder: Bestätigen Sie, dass Ihr Name, wie er aus dem IdM übermittelt wird, korrekt ist sowie, dass Sie rechtmäßigen Zugriff auf das Postfach haben. Sie müssen Ihre Zustimmung geben, dass Ihre Daten zum Zwecke der Zertifikatserstellung verarbeitet werden dürfen. Lesen Sie den Text sorgfältig durch. Sie nehmen zur Kenntnis, dass Ihr Zertifikat im RWTH-LDAP (RWTH-interner Verzeichnisdienst) aufgenommen wird. |
 | Ein Button drei Ereignisse: 1. Zertifikatsantrag im Browser generieren (hier werden Ihre kryptographische Schlüssel im Browser erzeugt). 2. Antragsdatei lokal speichern (hier wird die .json-Datei lokal auf Ihren Rechner gespeichert). 3. Zertifikatsantrag im RA-Portal hochladen (hier wird Ihr Zertifikatsantrag im RA-Portal hochgeladen). |
 | Der Speicherort der .json-Datei ist abhängig von den individuellen Einstellungen Ihres Browsers. Wenn Sie kein Dialogfenster zum Speicherort und Namen der Datei erhalten und/oder die Default-Browser-Einstellungen benutzen, dann wird die .json-Datei in den Downloads Ordner gespeichert. |
6. Antrag absenden oder Antrag anzeigen?
Nachdem Sie Ihren Zertifikatsantrag generiert haben, müssen Sie diesen an die CA (engl. Certification Authority, deutsch Zertifizierungsstelle) absenden. Es gibt dazu zwei Möglichkeiten.
 | Zunächst beseht hier Ihre letzte Chance, die .json-Datei (nochmal) zu speichern: Die Antragsdatei (.json) sollte im vorherigen Schritt automatisch auf Ihrem Rechner heruntergeladen worden sein (prüfen Sie ggf. Ihren Downloads-Ordner). Mit dem "Antragsdatei erneut speichern"-Button können Sie den Download noch mal manuell anfordern. Die .json-Datei ist notwendig, um Ihr Zertifikat später benutzen zu können (da diese Ihrer kryptographischen Schlüssel enthält). Ihr Antrag muss noch an die CA (PKI) abgeschickt werden. Es gibt hier zwei Möglichkeiten:
|
7. Antrag an CA absenden
 | Unter "Inhalt des Zertifikatsantrages" können Sie die Antragsdaten überprüfen. Sie haben noch die Möglichkeit, Ihren Antrag über das Mülleimer-Icon zu löschen. Oder Sie klicken auf das Papierflieger-Icon, um Ihren Antrag an die CA abzusenden. |
8. Antrag wird bearbeitet, warten auf Zertifikatausstellung
 | Sie können unter dem Menüpunkt "Meine Client-Zertifikate" den Status Ihres Zertifikatsantrags jederzeit einsehen. Während der Bearbeitung ist der Antragstatus "Gesendet, aber noch nicht ausgestellt" und es wird ein blaues Sanduhr-Icon angezeigt. |
9. Nutzerzertifikat abholen
 | Nachdem Ihr Zertifikat von der CA ausgestellt wurde, erhalten Sie eine E-Mail-Benachrichtigung von ra-portal-noreply@itc.rwth-aachen.de. Im RA-Portal wird ein grüner Haken neben dem Zertifikats-"Status" angezeigt. Es ist jetzt möglich, Ihr Zertifikat durch Klick auf den Download-Button herunterzuladen. |
 | Wählen Sie hier die Option "Im Browser PKCS#12-Datei generieren". Option PKCS#7: Dies ist das Nutzerzertifikat mit Kette. Diese Option wird benötigt, wenn der Zertifikatsantrag per openssl erzeugt wurde. |
 | Antragsdatei: Wählen Sie hier die von Ihnen heruntergeladene Zertifikatsantragsdatei (.json-Datei) aus Schritt 6 aus. Passwort zum Entschlüsseln des Private Key: Geben Sie das Passwort für die .json-Datei, das im Schritt 5 gesetzt wurde, ein. Passwort zum Verschlüsseln der PKCS#12-Datei: Setzen Sie ein Passwort für Ihre .p12-Datei. Sie benötigen dieses Passwort, um Ihre .p12-Datei (und als Folge Ihr Zertifikat und die dazugehörigen kryptographischen Schlüssel) in z.B. Ihre E-Mail-Anwendung importieren zu können. Bewahren Sie dieses Passwort sicher auf, es gibt keine Möglichkeit es zurückzusetzen. PCKS#12-Datei erstellen: Klicken Sie auf diesen Button, um die .p12-Datei zu erzeugen und lokal zu speichern. Es besteht die Möglichkeit, das .json-Passwort auch für die Sicherung der .p12-Datei zu benutzen. Klicken Sie dafür in den Kasten "Gleiches Passwort ... benutzen". |
 | Sie erhalten eine Bestätigung, dass die .p12Datei erstellt wurde. Wenn Sie die Datei nicht herunterladen konnten, können Sie auf den grünen Button "PKCS#12-Datei erneut speichern" klicken. Nachdem Sie die Datei erfolgreich heruntergeladen und gespeichert haben, können Sie das Pop-up schließen. Bitte bewahren Sie diese .p12-Datei sicher auf, die wird später benötigt um Ihr "Zertifikat" in Anwendungen zu importieren. |
