Nutzerzertifikate (TCS ab 2022)

Diese Seite beschreibt die neue Géant-TCS-Zertifizierungsstelle – bis zum 31.12.2023 ist es weiterhin möglich, Zertifikate über die bisherige DFN CA auszustellen. Wir empfehlen aber in fast allen Fällen, die neue CA zu verwenden, insbesondere da die Identifizierung einfacher erfolgen kann und nicht mehr alle 39 Monate wiederholt werden muss.

Personenzertifikate können für den dienstlichen Gebrauch beantragt und auf dienstliche E-Mail-Adressen ausgestellt werden. Der im Zertifikat eingetragene Name muss bei natürlichen Personen der Schreibweise im Ausweisdokument entsprechen. Dabei dürfen im Ausweis zusätzlich aufgeführte Vornamen oder Titel weggelassen, jedoch nichts hinzugefügt werden.

Ihr persönliches Zertifikat ist bis zu 3 Jahre gültig.

Damit Sie Ihr persönliches Zertifikat nutzen können, müssen Sie:

  1. Ggf. eine Identitätsüberprüfung durchführen.
  2. Einen digitalen Zertifikatsantrag erstellen. Die Zertifizierungsstelle erzeugt daraus das Zertifikat.
  3. Das Zertifikat installieren.

Identitätsüberprüfung

Um ein persönliches digitales Zertifikat zu erhalten, ist eine einmalige Identitätsprüfung notwendig, bei der die Übereinstimmung Ihrer Daten mit einem amtlichen Ausweisdokument im Rahmen eines persönlichen Treffens verifiziert wird. Dies findet bisher normalerweise nicht im Rahmen der Einschreibung oder Einstellung statt.

Um eine Identitätsüberprüfung durchzuführen, wenden Sie sich an eine der Service-Theken des RRZE und kommen dort persönlich mit Ihrem gültigen amtlichen Ausweisdokument vorbei (Personalausweis, Reisepass, Aufenthaltstitel). Nicht als amtliche Ausweisdokumente gelten Führerscheine oder auch die FAUcard.

Wenn Sie sich unsicher sind, ob eine Identitätsprüfung für ein digitales Zertifikat anhand Ihres Ausweisdokumentes möglich ist (z.B. bei Dokumenten, die von Ländern außerhalb der EU ausgestellt wurden), wenden Sie sich gerne an die Kontaktpersonen der FAU-CA unter ca@fau.de

Im Rahmen der Identitätsprüfung können Sie dann auch festlegen, welche Namensbestandteile (z.B. weitere Vornamen oder Doktortitel) im Anzeigenamen des Zertifikats erscheinen sollen, soweit diese im Ausweisdokument eingetragen sind.

 

Persönliche Zertifikate im Self-Service per SSO-Login

Um ein persönliches Zertifikat zu erhalten, das Ihren Namen und Ihre @fau.de E-Mail-Adresse enthält, nutzen Sie direkt die

Webschnittstelle der TCS CA mit SSO-Login

Dort wählen Sie die „Friedrich-Alexander-Universität Erlangen-Nürnberg“ aus (es reicht, in das Suchfeld „Erl“ einzugeben) und klicken auf den entsprechenden Eintrag. Sie werden dann  zur Login-Maske unseres Web-SSO-Anmeldedienstes weitergeleitet. Dort geben Sie Ihre IdM-Zugangsdaten ein, falls Sie noch nicht angemeldet sind, und stimmen ggf. der Datenübertragung Ihres Namens und Ihrer E-Mail-Adresse an die Zertifizierungsstelle zu.

Wenn Sie nach diesem Punkt nicht weiterkommen, sondern eine Fehlermeldung erhalten, liegt das normalerweise daran, dass noch keine Identitätsprüfung für Ihr Benutzerkonto hinterlegt ist. Sie müssen also zunächst an einer der RRZE-Servicetheken eine Identitätsprüfung durchführen.

Die Webschnittstelle der TCS CA wird ausschließlich in englischer Sprache angeboten.

Als „Certificate Profile“ wählen Sie das folgende Profil aus:

GÉANT Personal Certificate

und für die Laufzeit geben Sie als „Term“ üblicherweise

1095 Tage

an, es sind aber natürlich auch kürzere Laufzeiten möglich.

Im nächsten Punkt „Enrollment Method“ werden Sie gefragt, ob Sie selbst ein Schlüsselpaar und einen digitalen Zertifikatsantrag (CSR) erzeugen und hochladen möchten oder ob die TCS CA das Schlüsselpaar für Sie generieren soll („Key Generation“).

Wenn Sie sich unsicher sind, wählen Sie „Key Generation“ aus.

Als nächstes muss in diesem Fall bei „Key Type“ noch der zu generierende Schlüsseltyp ausgewählt werden.

Wir empfehlen derzeit „RSA – 4096„, aber Sie können natürlich auch andere Schlüssellängen verwenden. Bitte beachten Sie aber, dass derzeit nur mit den RSA-Schlüsseln ein Verschlüsseln von E-Mails möglich ist. Die EC-Schlüssel auf Basis von elliptischen Kurven sind derzeit nur für die digitale Signatur freigeschaltet.

Dann wird nach einem Passwort und dessen Bestätigung gefragt. Mit diesem Passwort wird das Zertifikat, das Sie im Anschluss herunterladen können, verschlüsselt. Bitte sorgen Sie dafür, dass Sie sich dieses Passwort mindestens über die 3 Jahre Zertifikatslaufzeit merken können, da es keine Möglichkeit gibt, das Zertifikat erneut zu installieren, wenn Sie dieses Passwort nicht mehr kennen (und die Zertifikatsdatei vorliegen haben).

Zuletzt müssen die Geschäftsbedingungen bestätigt und das Zertifikat durch Klick auf „Submit“ beantragt werden.

Dann warten Sie bitte kurz. Es kann bis zu 3 Minuten dauern, bis die Zertifizierungsstelle im Hintergrund das Zertifikat ausstellt und Ihnen dieses direkt zum Herunterladen zur Verfügung stellt.

Gruppenzertifikate, Zertifikate für Funktionspostfächer und Zertifikate mit weiteren E-Mail-Adressen

Wenn die von Ihnen benötigten Zertifikatsinhalte nicht über den SSO-Login zur Verfügung stehen, wenden Sie sich bitte an die FAU-CA unter ca@fau.de um ein entsprechendes Zertifikat zu erhalten.

Nach Prüfung der Angaben durch die FAU-CA erhalten Sie eine Einladung per E-Mail von der Absenderadresse „Sectigo Certificate Manager <support@cert-manager.com>“ mit dem Betreff „Certificate Enrollment Invitation„.

Zertifikatsprofil und Laufzeit sowie Schlüsseltyp und -länge sind in diesem Fall bereits vorausgefüllt.

In die Eingabefelder „First Name“ und „Last Name“ sind Vorname und Nachname der für diese E-Mail-Adresse verantwortlichen Person einzutragen. Nach Möglichkeit behalten Sie die vorausgefüllten Werte bei.

Der eigentliche Anzeigename der Funktions- bzw. Gruppenadresse wurde schon von der FAU-CA festgelegt und wird nur leider im Formular nicht angezeigt.

Dann wird nach einem Passwort und dessen Bestätigung gefragt. Mit diesem Passwort wird das Zertifikat, das Sie im Anschluss herunterladen können, verschlüsselt. Bitte sorgen Sie dafür, dass Sie sich dieses Passwort mindestens über die 3 Jahre Zertifikatslaufzeit merken können, da es keine Möglichkeit gibt, das Zertifikat erneut zu installieren, wenn Sie dieses Passwort  nicht mehr kennen (und die Zertifikatsdatei vorliegen haben).

Zuletzt müssen die Geschäftsbedingungen bestätigt und das Zertifikat durch Klick auf „Submit“ beantragt werden.

Dann warten Sie bitte kurz. Es kann bis zu 3 Minuten dauern, bis die Zertifizierungsstelle im Hintergrund das Zertifikat ausstellt und Ihnen dieses direkt zum Herunterladen zur Verfügung stellt.

Codesigning-Zertifikate

Dieser Zertifikatstyp wird bis mindestens Ende 2023 über die bisherige DFN PKI ausgestellt. Die FAU-CA steht Ihnen unter ca@fau.de gerne für Beratung zur Verfügung.

Zertifikat installieren

Für den Import Ihres Zertifikates in gängige Mailprogramme stehen Anleitungen zur Verfügung.

Import in Outlook 2016 / 2019 Import in Thunderbird Import in Outlook for Mac

Import Ihres Zertifikats in Adobe Acrobat zum digitalen Signieren von PDF-Dateien

Dokumente signieren mit Adobe Acrobat => diese Anleitung ist noch nicht auf die neue Zertifizierungsstelle angepasst.

Leider sind bei der Verwendung der neuen TCS Zertifikate in Adobe Acrobat zusätzliche Schritte am Rechner der Person notwendig, die die Zertifikate überprüfen möchte.

Anleitungen für ältere Versionen von Mailprogrammen

Import in Outlook 2010 / 2013 Import in MacMail