Inhaltspezifische Aktionen

Zertifikat für Bedienstete in SCM per Web-Formular beantragen

Beantragung eines X.509-Zertifikats (TLS/SSL) für Bedienstete in SCM per Web-Formular.

Sectigo SCM stellt seit 15.1.2025 keine neuen Zertifikate mehr aus! Bitte beachten Sie die aktuellen Hinweise und nutzen das Nachfolgesystem HARICA.

Nutzer-Zertifikat

Diese Anleitung beschreibt die Ausstellung von Zertifikaten für natürliche Personen.

Das Zertifikat enthält folgende Informationen:

  1. Vorname und  Nachname,
  2. primäre Uni-Mail-Adresse

wie im HRZ-LDAP eingetragen.

Der Eintrag anderer Namen, weiterer oder anderer Mail-Adressen (Aliase) oder die Ausstellung von Zertifikaten für unpersönliche Mail-Adressen von bspw. Sekretariaten ist auf dem hier beschriebenen Weg nicht möglich.

Freischaltung TCS-Zugang

Voraussetzung für Ihr Login in SCM ist i.allg. die Genehmigung Ihres Antrags auf Zugang zu TCS. Solange dieser Antrag nicht genehmigt ist, ist ein Login nicht möglich.

Für einige Personengruppen dagegen ist ein SCM-Login auch ohne manuellen Antrag auf TCS-Zugang möglich.

Weitere Voraussetzungen sind, dass

  • Sie zum Zeitpunkt der Beantragung des Zertifikats einen Status als Bediensteter der JLU haben,
  • Ihr Account über das IAM der JLU verwaltet wird.

Hinweis

Der Sectigo Certificate Manager ist aktuell dynamisch, auch funktionale Änderungen sind möglich. Daher sind evtl. kurzfristige Anpassungen unsererseits notwendig.

Bitte konsultieren Sie daher auch bei künftigen Anträgen diese Anleitung und folgenden evtl. geänderten Links.

Sofern etwas nicht funktionieren sollte, wenden Sie sich bitte an support.

Wichtige Hinweise

Es ist möglich, dass der Zertfikatsdiensteanbieter Sectigo ältere oder seiner Meinung nach ungültige Zertifikate automatisch sperrt, bspw. wenn

  • eine größere Anzahl gültiger Zertifikate für Sie ausgestellt ist, wird ggf. das älteste gesperrt (aktuell, 08/2025, beträgt das Limit anscheinend 5 gültige Zertifikate),
  • sich der übermittelte Vor- oder Nachname ändert.

Diese Sperrung kann auch erfolgen, ohne dass Sie durch Sectigo eine Nachricht erhalten.

Antrag für Nutzer-Zertifikat einreichen

Rufen Sie https://cert-manager.com/customer/DFN/idp/clientgeant auf.

In der folgenden Abfrage zur Organisationszugehörigkeit wählen Sie "Justus-Liebig-Universität Gießen" (dtsch.) bzw. "Justus Liebig University Giessen" (engl.).

Bestätigen Sie auf der nachfolgenden Login-Seite der JLU die Kenntnisnahme des dort angezeigten Hinweistextes durch Anklicken der Checkbox; ohne dieses Akzeptieren ist ein Login nicht möglich:

Nach Eingabe Ihrer Login-Daten und dem Freigabe der an den Zertifikats-Dienstleister Sectigo zu übermittelnden Daten gelangen Sie auf die SCM-Seite von Sectigo.

Prüfen Sie Ihren dort angezeigten Namen und Ihre Mail-Adressen.

  • Eine Korrektur Ihres Namens veranlassen Sie ggf. bitte nicht beim HRZ, sondern bei Ihrer personalführenden Stelle, also bspw. Dez. C.
  • Damit das Zertifikat für E-Mail-Signatur eingesetzt werden kann, muss Ihre im Mail-Client konfigurierte Absender-Adresse (auch unter Berücksichtigung von Groß-/Kleinschreibung) mit der Mail-Adresse im Zertifikat übereinstimmen.

Treffen Sie anschließend folgende Einstellungen:

  • Profil: Hier ist nur "Certificate ProfileGÉANT Personal email signing and encryption" auswählbar.
  • Term: Gültigkeitsdauer "365 days" oder "730 days",
  • Enrollment-Method: "Key Generation" oder "CSR", siehe folgende Unterkapitel.

Enrollment-Methode "Key Generation": Privaten Schlüssel im Browser erzeugen

Wenn Sie "Key Generation" auswählen, wird im Browser ein neuer privater Schlüssel erzeugt.

Wenn Sie bereits zu einem alten Zertifikat verschlüsselte Mails empfangen haben, benötigen Sie weiterhin den privaten Schlüssel zu Ihrem altem Zertifikat, um diese alten verschlüsselten Mails zu lesen. Mit Ihrem hier neu generierten privaten Schlüssel haben Sie keinen Zugriff auf die alten verschlüsselten Mails.

Wir empfehlen daher, die Methode "CSR" zu nutzen, siehe unten.   

Treffen Sie folgende Einstellungen:

  • Key Type: "RSA 4096", "EC P-256", "EC P-384", bitte jedoch nicht "RSA 2048"!
  • Passwort: zum Schutz Ihres privaten Schlüssels - Passwort bitte dauerhaft und sicher (vor dem Zugriff Dritter geschützt) aufbewahren!!
  • Key protection algorithm: "Compatible TripleDES-SHA1" wählen, jedoch nicht "Secure AES256-SHA256"; letzteres kann tlw. zu Fehlermeldungen führen, wenn Sie Schlüssel und Zertifikat in manche Anwendungen importieren wollen.

Screenshot SCM Client Keygen

Bitte warten Sie nun ab: Nach der Freigabe werden privater Schlüssel und Zertifikat direkt in Ihrem Browser erzeugt und Ihnen als PKCS12-Datei (enthaltend Ihren privaten Schlüssel, Ihr Nutzer-Zertifikat, CA-Zertifikate) zum Download angeboten. Dies kann einige wenige Minuten dauern.

Sichern Sie die heruntergeladene Datei.

Es besteht keinerlei Möglichkeit, später Ihren privaten Schlüssel oder Ihr Zertifikat nochmals herunterzuladen! Der erzeugte private Schlüssel liegt weder Sectigo noch dem HRZ vor.

Enrollment-Methode "CSR": Zertifikats-Request zu externem privaten Schlüssel hochladen

Wenn Sie "CSR" auswählen, können Sie nun eine CSR-Datei ("Certificate Sign Request", PKCS11) hochladen..

Wie Sie mit openssl Ihren privaten Schlüssel selbst neu erstellen oder aus einer vorhandenen PKCS12-Datei extrahieren, und wie Sie daraus eine CSR-Datei erzeugen, finden Sie unten im Kap. "Technische Hinweise".

Die Werte im Subject des CSR sind ohne Belang, diese werden von SCM bei der Zertifikatserzeugung gesetzt.

Wir empfehlen die Nutzung diese Methode, da sie eine spätere Erneuerung Ihres Zertifikats unter Beibehaltung Ihres alten privaten Schlüssels deutlich vereinfacht.

Nach der Freigabe wird Ihr Zertifikat direkt erzeugt und Ihnen zum Download als PEM-Datei (enthaltend Ihr Nutzer-Zertifikat, CA-Zertifikate) zum Download angeboten.

Es besteht keinerlei Möglichkeit, später Ihr Zertifikat nochmals herunterzuladen!

Screenshot SCM Client CSR

Die heruntergeladenen Datei certs.pem (enthaltend Ihr Zertifikat und CA-Zertifikate) müssen Sie mit Ihrem privaten Schlüssel zu einer PKCS12-Datei (auch PFX-Datei genannt) zusammenführen (dabei müssen Sie die Passphrase Ihres privaten Schlüssels sowie zweimal die Passphrase für zu erzeugende PKC12-Datei angeben):

openssl pkcs12 -export -out my.p12 -inkey my_key.pem -in certs.pem

 

Sperrung, Verlängerung

Über SCM sind keine weiteren Arbeiten zu Ihrem Nutzer-Zertifikat möglich:

  • Es ist hier keine Anzeige und weiterer Download Ihres Nutzer-Zertifkate möglich.
  • Es ist hier nicht möglich, Ihr Zertifikat zu sperren. Bitte wenden Sie sich zur Sperrung an support.
  • Es ist hier nicht möglich, Ihr bestehendes Zertifikat zu erneuern. Zur Erneuerung ist einer der oben beschriebenen Wege zu wählen.

Technische Hinweise

Neuen privaten Schlüssel und CSR-Datei erzeugen

Erzeugung eines privaten RSA-Schlüssles (es ist zweimal eine Passphase für Ihren zu erzeugenden privaten Schlüssel anzugeben):

openssl genrsa -aes256 -out my_key.pem 4096

Damit Erzeugung der CSR-Datei:

openssl req -new -key my_key.pem -out my_csr.pem -subj '/C=DE'

Ansehen der CSR-Datei:

openssl req -text -noout -in my_csr.pem

CSR-Datei aus PKCS12-Datei erzeugen

Sollte Ihnen bereits eine PKCS12-Datei aus einer früheren Beantragung bei Sectigo oder als Export aus Ihrem Mail-Client vorliegen, können Sie die CSR-Datei wie folgt erzeugen.

Privaten Schlüssel aus PKCS12-Datei extrahieren (dabei ist die Passphrase Ihrer PKCS12-Datei anzugeben, außerdem zweimal eine neue Passphrase für die anzulegende Datei mit Ihrem privaten Schlüssel):

openssl pkcs12 -in my_p12.pem -out my_key.pem -nocerts

Damit Erzeugung der CSR-Datei:

openssl req -new -key my_key.pem -out my_csr.pem -subj '/C=DE'

Ansehen der CSR-Datei:

openssl req -text -noout -in my_csr.pem