CAMPUS IT DEPARTMENT OF INFORMATION TECHNOLOGY Beantragen und installieren eines Nutzerzertifikats der CA HS-Bochum - Basic Seite 1
Ein Dokument der Campus IT Hochschule Bochum Stand 12.2013 Version 0.02 Autor: Campus IT Seite 2
Inhalt Kapitel Seite 1 Überblick der einzelnen Schritte 4 2 Hintergrundinformationen 4 2.1 Vorbereitung 4 2.2 Zertifikat beantragen 5 2.3 Zertifikat installieren 5 3 Schritt für Schritt Anleitung 6 3.1 Vorbereitung 6 3.2 Zertifikat beantragen 7 3.3 Zertifikat installieren 9 3.4 Sicherungskopie erstellen 10 Seite 3
1. Überblick der einzelnen Schritte Vorbereitung Prüfen ob die Wurzelzertifikate bereits installiert sind Installieren der Wurzelzertifikate Zertifikat beantragen Antrag online ausfüllen Daten bestätigen Zertifikat installieren Link der email öffnen Sicherungskopie erstellen 2. Hintergrundinformationen Ein Nutzerzertifikat benötigen Sie, wenn Sie Dokumente digital signieren oder verschlüsseln möchten. Darüber hinaus kann das Nutzerzertifikat zur gesicherten persönlichen Anmeldung an bestimmten Anwendungen oder Portalen benutzt werden. 1. Vorbereitung Zertifikate funktionieren in einer Kette durch Vertrauensstellungen. Zertifikate werden in einem Keystore (spezieller Speicherbereich auf Ihrem Rechner) verwaltet. Dieser ist Teil des Betriebssystem oder der Anwendung. Damit die Zertifikate aus der CA HS-Bochum Basic genutzt werden können, müssen die Wurzelzertifikate in dem zugehörigen Keystore installiert und die Vertrauensstellungen bearbeitet werden. Dies ist nur einmalig pro Keystore notwendig. Lassen Sie sich die in Ihrem Keystore installierten Zertifizierungsstellen anzeigen und suchen Sie nach den Zertifizierungsstellen DFN-Verein PCA Basic G02 und HS-Bochum Basic CA 02. Wenn diese vorhanden sind, können Sie diese auswählen und sich die Eigenschaften anzeigen lassen. Sie müssen diesen Zertifikaten vertrauen. Die Vertrauensstellungen lassen sich auch nachträglich noch bearbeiten. Fehlen diese Zertifikate oder eins davon, dann können Sie diese oder dieses Zertifikat über den auf der Homepage der Hochschule Bochum bereitgestellten Link installieren. Seite 4
2. Zertifikat beantragen Ein Nutzerzertifikat besteht aus einem privaten und öffentlichen Schlüssel (asymmetrisches Schlüsselpaar) und beinhaltet personenbezogenen Daten (Name und email-adresse) zu Ihrer Identifikation. Bei dem Zertifikatsantrag wird auf Ihrem Rechner der private Schlüssel generiert und in den Keystore eingetragen. Der öffentliche Schlüssel wird per email ihnen zugestellt. Die Daten für Ihr Nutzerzertifikat sind bereits an der Zertifizierungsstelle hinterlegt, so dass Sie lediglich Ihren (Be)Nutzernamen und das Ihnen mitgeteilte (Erst)Passwort angeben müssen. Darüber hinaus müssen Sie auch der Zertifizierungsrichtline zustimmen. Um Ihnen eine verschlüsselte email zusenden zu können, benötigt der Absender Ihren öffentlichen Schlüssel. Dieser kann über ein zentrales Verzeichnis oder von Ihnen im Einzelfall individuell bereitgestellt werden. Für die Bereitstellung über das zentrale Verzeichnis müssen Sie der Veröffentlichung des Zertifikats zustimmen. Diese Zustimmung kann jederzeit per email widerrufen werden. 3. Zertifikat installieren Die Zertifizierungsstelle generiert und signiert Ihre Schlüssel, die jetzt noch in Ihren Schlüsselbund eingetragen werden müssen. Hierfür wird Ihnen per email ein Link zugesandt, mit deren Hilfe Sie Ihr Zertifikat importieren können. Empfehlung: Es empfiehlt sich eine Sicherungskopie Ihres Zertifikats zu erstellen. Die Sicherungskopie ist ein kleiner Keystore in Form einer Passwort geschützten Datei und erlaubt Ihnen Ihr Zertifikat in andere Keystore z.b. auf einen anderen Rechner, eine andere Anwendung oder nach einer Neuinstallation zu importieren. Wichtig! Sie müssen das Zertifikat an dem Rechner installieren, an dem Sie den Antrag ausgefüllt haben, weil sich nur dort im Schlüsselbund der private Schlüssel für Ihr Zertifikat befindet. Sie können auch nur ein Zertifikat zur selben Zeit besitzen. Wenn Sie ein neues Zertifikat beantragen, wird das alte automatisch ungültig. Verwenden Sie daher die Sicherungskopie, wenn Sie Ihr Zertifikat auf mehreren Geräten nutzen möchten. Seite 5
3. Schritt für Schritt Anleitung Die hier aufgeführten Schritte sind für den Browser Mozilla Firefox aufgeführt, weil dieser einen eigenen Keystore verwaltet und somit diese Anleitung unabhängig vom verwendetet Betriebssystem gültig ist. In diesem Browser sind allen hierfür notwendigen Funktionen in dem Zertifikat-Manager verfügbar. Die Installation ist grundsätzlich auch für andere Browser möglich, erfordert jedoch einen höheren Konfigurationsaufwand. 1. Vorbereitung Öffnen Sie den Zertifikat-Manager, in dem Sie im Browser Menü Einstellungen, Erweitert, Zertifikate, Zertifikate anzeigen auswählen. Im Zertifikat-Manager wählen Sie Zertifizierungsstellen Suchen Sie nach den folgenden beiden Zertifikaten: DFN-Verein: DFN-Verein PCA Basic G02 HS-Bochum Basic CA 02 Wählen Sie diese nacheinander aus klicken auf [Vertrauen bearbeiten...] Seite 6
Wenn die Häkchen nicht gesetzt sind, können Sie diese jetzt setzen und auf [OK] klicken. Sind die Zertifikate nicht im Zertifikat-Manager aufgeführt, müssen Sie diese importieren. Hierzu wählen Sie die entsprechenden Links der folgenden URL: http://www.hochschule-bochum.de/campusit/informationen/ssl-zertifikate.html Bei der Installation öffnet sich ein Fenster, in dem Sie 3 Häkchen setzen und auf [OK] klicken müssen. 2. Zertifikat beantragen Den Antrag auf Ihr persönliches Nutzerzertifikat können Sie unter nachfolgender URL stellen: https://pki.pca.dfn.de/hs-bochum-basic-ca/pub Seite 7
Wählen Sie die Registrierkarte Zertifikat beantragen aus. Tragen Sie nun in die Zeile Nutzername Ihren Benutzernamen und in die Zeile Passwort das Ihnen mitgeteilte Erstkennwort ein. Setzen Sie das Häkchen bei Ich stimme der Zertifizierungsrichtline zu. Wenn Sie möchten, dass andere Ihnen verschlüsselte emails zusenden können, ohne das Sie vorher Ihren öffentlichen Schlüssel separat zusenden müssen, dann setzen Sie das Häkchen bei Ich stimme der Veröffentlichung des Zertifikats mit meinen darin enthaltenen Namen und der E-Mail-Adresse zu. Klicken Sie auf [Weiter] Es werden Ihnen nun die persönlichen Daten angezeigt, die später im Zertifikat enthalten sind. Seite 8 Klicken Sie auf [Bestätigen]. Ihr Zertifikat wird nun generiert, dies dauert einige Sekunden. Abschließend erhalten Sie die Meldung, dass Ihr Zertifikatsantrag übermittelt wurde und Ihnen Ihr Zertifikat mit weiteren Informationen in einer E-Mail zugestellt wird. Diese E-Mail wird Ihnen an die in den Zertifikatsdaten aufgeführte E-Mail Adresse gesendet. Rufen Sie die Mail ab. Es kann einige Minuten, bis die Mail da ist.
3. Zertifikat installieren Sie erhalten eine email mit folgenden Inhalt: Sehr geehrte Nutzerin, sehr geehrter Nutzer, die Bearbeitung Ihres Zertifizierungsantrags ist nun abgeschlossen. Ihr Zertifikat mit der Seriennummer xxxxxxxxxxxxxxx ist auf den Namen CN=Max Mustermann m13m01234,o=hochschule Bochum,C=DE erstellt worden und im Anhang dieser Mail beigelegt. Sie benötigen die Seriennummer, um Ihr Zertifikat gegebenenfalls sperren zu können. Um Ihr Zertifikat nutzen zu können, müssen Sie alle folgenden Zertifikate in Ihren Browser importieren. Achten Sie darauf, dass Sie die Zertifikate auf dem Rechner importieren, von dem aus Sie den Antrag gestellt haben, weil sich dort der zugehörige Schlüssel befindet. 1. Für die CA-Zertifikate wählen Sie bitte die Seite https://pki.pca.dfn.de:443/hs-bochum-basic-ca/cgi-bin/pub/pki? cmd=getstaticpage;name=index;id=2 und folgen den Anweisungen. 2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link: https://pki.pca.dfn.de:443/hs-bochum-basic-ca/cgi-bin/pub/pki? cmd=getcert&key=xxxxxxxxxxx&type=certificate Befolgen Sie bitte die in dem Dokument "Informationen für Zertifikatinhaber" aufgeführten Regelungen: https://info.pca.dfn.de/doc/info_zertifikatinhaber.pdf Mit freundlichen Grüßen Ihr PKI-Team der Hochschule Bochum Klicken Sie nun auf den Link, der in der Mail nach 2. aufgeführt ist, um Ihr Zertifikat zu importieren. Seite 9
Nachdem Sie auf [Zertifikat importieren] geklickt haben, wird Ihnen die erfolgreiche Installation durch eine Warnung bestätigt. Wenn Sie Ihr Zertifikat nicht veröffentlicht lassen, werden Sie aufgefordert eine PIN einzugeben. Die PIN ist Ihr Erstkennwort 4. Sicherungskopie erstellen Öffnen Sie den Zertifikat-Manager, in dem Sie im Browser Menü Einstellungen, Erweitert, Zertifikate, Zertifikate anzeigen auswählen. Seite 10
Im Zertifikat- Manager wählen Sie Ihre Zertifikate. Jetzt Ihr Zertifikat aufgeführt. Wählen Sie es aus und klicken auf [Sichern...] Es öffnet sich ein Fenster, in dem Sie den Speicherort und den Namen für die Sicherungskopie auswählen können. Vergeben Sie einen beliebigen Namen und klicken auf [Speichern]. Die Sicherungskopie wird durch ein Kennwort gegen unbefugtes wiederherstellen geschützt. Es öffnet sich ein Fenster, wo Sie zweimal das Gleiche Passwort eingeben müssen. Dieses Passwort sollte nicht leicht zu erraten sein. Schreiben Sie es sich auf und bewahren es an einem sichern Ort. Klicken Sie auf [OK]. Schließen Sie den Zertifikat-Manager in dem Sie auf [OK] klicken. Seite 11
Hochschule Bochum Campus IT 2013-r-12-o-12-e Seite 12