Zertifikat für Bedienstete in HARICA per Web-Formular beantragen

Beantragung eines X.509-Zertifikats (TLS/SSL) für Bedienstete in HARICA per Web-Formular.

Persönliches S/MIME-Zertifikat

Mit dem hier erzeugten Zertifkat können

Sie signierte Mails an Dritte und
Dritte verschlüsselte Mails an Sie

versenden.

Das ausgestellte Zertifikat ist gültig für und enthält Ihre persönliche primäre Mail-Adresse, wie sie im HRZ-LDAP eingetragen ist. Die Aufnahme weiterer oder anderer Mail-Adressen ist nicht möglich.

Mit dem hier beschriebenen Verfahren ist es nicht möglich, S/MIME-Zertifikate für Verteiler- oder unpersönliche Mail-Adressen (bspw. sekretariat-abc@uni-giessen.de) zu erhalten.

Weder das HRZ noch HARICA besitzt eine Kopie Ihres zum Zertifikat gehörenden privaten Schlüssels. Sofern Sie Ihren privaten Schlüssel verlieren (bspw. Passphrase vergessen oder Datenträger defekt und kein Backup vorhanden), verlieren Sie evtl. endgültig den Zugriff auf die an Sie versandten verschlüsselten Mails.

Login bei HARICA

Loggen Sie sich ein wie hier beschrieben. Sofern Sie die Anzeige der übermittelten Attribute nicht deaktiviert haben, wird Ihnen hier auch die an HARICA übermittelte Mail-Adresse angezeigt,

Zertifikats-Antrag einreichen

Klicken Sie im Dashboard links auf Email, es werden die folgenden Schritte durchlaufen:

Request
- Product
  - auswählen: "Email-only", das ausgestellte Zertifikat wird weder Vor-/Nachname noch Organisations-Angaben enthalten,
  - weitere Zertifikats-Typen mit Vor-/Nachname und Organisations-Angaben sind geplant,
- Details: wird übersprungen,
- Authorization: prüfen Sie die Angaben,
- Summary: Prüfen Sie die Angaben zu Ihrem Zertifikat und akzeptieren Sie die HARICA-Bedingungen,
  Klicken "Submit" löst E-Mail-Challenge aus.

Sofern Ihre letzte Mail-Validierung noch nicht zu lange zurückliegt, erhalten Sie an die angegebene Mail-Adresse eine Validierungs-Mail, klicken Sie auf den Validierungs-Link in der Mail. Sollte Ihre Mail-Adresse innerhalb der letzten Tage bereits validiert worden sein, erhalten Sie keine neue Validierungs-Mail.

Im HARICA-Dashboard finden Sie (Feld S/MIME muss aktiviert sein, sodass es grün hinterlegt ist) unter "Ready Certificates" Ihre aktivierbaren Zertifikate. Sie können die ausstehende Aktivierung löschen (Details -> Cancel Request) oder mit "Enroll your Certificate" die Ausstellung starten:

Methode "Generate Certificate" (nicht empfohlen)
- Der private Schlüssel wird im Browser erzeugt.
- Algorithm:
  - RSA (empfohlen) mit Key Size von mind. 3072 Bits (2048 Bits wird nicht empfohlen),
  - ECDSA: nicht empfohlen, da damit keine SMIME-Verschlüsselung möglich ist.
- Setzen und merken Sie sich eine Passphrase.
Methode "Submit CSR manually" (empfohlen)
- privater Schlüssel wurde durch Sie selbst erzeugt (s.u., Kap. "Technische Hinweise"), Copy&Paste des Inhalts der durch Sie erzeugten CSR-Datei.
Enroll Certificate:
- Die Erzeugung Ihres privaten Schlüssels und Zertifikats wird direkt gestartet.
- Warten Sie ab, bis Ihnen eine PKCS12-Datei zum Download bereitgestellt wird.

Dashboard

Im HARICA-Dashboard finden Sie (Bereich SMIME muss aktiviert sein) unter

Pending Certificates: Zertifikats-Anträge, für die Sie die Mail-Challenge noch nicht abgeschlossen haben. Diese Anträge können Sie stornieren, oder Sie können einen erneuten Versand der Challenge-Mail anstoßen.

Technische Hinweise

Es wird emfohlen, dass Sie keine Dateien überschreiben, sondern neue Schlüssel -oder PKCS12-Dateien unter einem neuen Namen anlegen; passen Sie die Dateinamen in den folgenden Beispielen entsprechend an.

Neuen privaten Schlüssel und CSR-Datei erzeugen

Einen neuen privaten Schlüssel müssen Sie i.allg. nur einmalig erzeugen. Wenn Ihr Zertifikat abgelaufen ist und verlängert werden muss, nutzen Sie den bisherigen privaten Schlüssel am besten weiter.

Ausnahme: Ihr privater Schlüssel ist kompromittiert (ist an Dritte abgeflossen). In diesem Fall sperren Sie Ihr Zertifikat und beantragen ein neues Zertifikat zu einem neuen privaten Schlüssel.

Erzeugung eines privaten RSA-Schlüssels (es ist zweimal eine Passphase für Ihren zu erzeugenden privaten Schlüssel anzugeben):

openssl genrsa -aes256 -out my_key_2025.pem 4096

Damit wird nun die bei der Antragstellung benötigte CSR-Datei erzeugt. Mit Parameter "-subj" geben Sie den technischen Namen des Zertifikats an; die Angabe hier ohne Belang (da Sie durch HARICA überschrieben wird), es ist aber eine Angabe notwendig; belassen Sie diese wie im Beispiel:

openssl req -new -key my_key_2025.pem -out my_csr.pem -subj "/C=DE"

Ansehen der CSR-Datei in menschen-lesbarer Form:

openssl req -text -noout -in my_csr.pem

Zum Einfügen im HARICA ist nicht obige Ausgabe zu verwenden, sondern der Inhalt der Datei my_csr.pem, die in etwa wie folgt aussieht:

-----BEGIN CERTIFICATE REQUEST-----
MIIC5TCCAc0CAQAwgZ4xCzAJBgNVBAYTAkRFMR0wGwYDVQQKExRVbml2ZXJzaXRh
...
7m1wCaTncPvwLM5V00IHPnF64llL35kvkw==
-----END CERTIFICATE REQUEST-----

CSR-Datei aus PKCS12-Datei erzeugen

Sollte Ihnen bereits eine PKCS12-Datei aus einer früheren Beantragung oder als Export aus Ihrem Mail-Client vorliegen, können Sie die CSR-Datei wie folgt erzeugen.

Privaten Schlüssel aus PKCS12-Datei extrahieren (dabei ist die Passphrase Ihrer PKCS12-Datei anzugeben, außerdem zweimal eine neue Passphrase für die anzulegende Datei mit Ihrem privaten Schlüssel):

openssl pkcs12 -in my_2022.p12 -out my_key_2022.pem -nocerts

Damit Erzeugung der CSR-Datei:

openssl req -new -key my_key_2022.pem -out my_csr.pem -subj "/C=DE"