Schritt 2: Nutzerzertifikat erstellen & herunterladen

Der Anbieter von digitalen Zertifikaten, Sectigo, hat den Dienst zum 10.1.2025 kurzfristig gekündigt. Ab dem 11.1.2025 können keine neuen Zertifikate bei Sectigo beantragt werden. Um Auswirkungen auf die Versorgung mit digitalen Zertifikaten zu minimieren ist es empfehlenswert, Nutzer- und Serverzertifikate vorzeitig zu verlängern bzw neue Zertifikate noch im Dezember 2024 zu beantragen. Eine vorzeitige Verlängerung ist sinnvoll, wenn Ihr aktuelles Nutzerzertifikat (E-Mail) bis Dezember 2025 bzw. Ihr Serverzertifikat (SSL) vor Oktober 2025 ausläuft.  Die Laufzeit gültiger Sectigo-Zertifikate wird nach derzeitigem Kenntnisstand durch die Kündigung nicht beeinflusst. Voraussichtlich wird in einer Übergangszeit ab Mitte Januar ein eingeschränkter Dienst mittels eines anderen Anbieters zur Verfügung stehen. Details zum neuen Anbieter werden im Laufe des Januars 2025 auf der Webseite des Servicekatalogs zu digitalen Zertifikaten veröffentlicht.

In diesem Schritt wird beschrieben, wie Sie ein digitales Nutzerzertifikat erstellen und herunterladen können. Die Voraussetzung für eine erfolgreiche Zertifikatserstellung ist, dass Ihr Universität Ulm kiz-Account das Entitlement "urn:mace:terena.org:tcs:personal-user" besitzt. Dieses Entitlement ist die Berechtigung für den Zugriff auf den DFN Zertifikatsmanager, betrieben von Sectigo. Wenn Sie sich bezüglich des Entitlements nicht sicher sind, dann prüfen Sie bitte mittels der Anleitung von Schritt 1 (Entitlement prüfen / beantragen), ob der Account tatsächlich das Entitlement besitzt. Ist diese Voraussetzung erfüllt, dann dauert der Vorgang bis zum Erhalt des vollständigen Zertifikats in der Regel nur wenige Minuten.

  1. Öffnen Sie die URL des DFN Zertifikat Managers, betrieben auf den Servern von Sectigo, in Ihrem Browserfenster:

    https://cert-manager.com/customer/DFN/idp/clientgeant

    Sie werden unmittelbar zum Punkt (2) "Find Your Institution" Dienst weiter geleitet. Wenn Ihr Webbrowser sich die Login-Daten aus einem früheren Login-Versuch gemerkt hat kann es auch sein, dass Sie direkt zu Punkt (5) "Digital Certificate Enrollment" weitergeleitet werden.

  2. Webseite "Sectigo Certificate Manager - Find Your Institution":

    → Geben Sie im Such/Textfeld "Ulm University" ein. Unter dem Textfeld wird eine Liste von Treffern angezeigt. Wenn diese Anzeige nicht erfolgt (z.B. im Fall von Copy&Paste), dann müssen Sie im Textfeld noch die Return-Taste drücken. Hat sich Ihr Webbrowser aus einer vorherigen Suche den Eintrag gemerkt, wird dieser direkt angezeigt.
    → Klicken Sie nun unterhalb des Such/Textfeldes auf den Eintrag "Ulm University (uni-ulm.de)".

    Ihr Browserfenster wechselt jetzt zur Webseite des "Identity Providers (IdP)" der Universität Ulm.

  3. Webseite "IdP Universität Ulm - Shibboleth Login - Login to Sectigo Certificate Manager":

    → Geben Sie Benutzernamen und Passwort Ihres Universität Ulm kiz-Accounts ein und klicken Sie auf den Button "Login".

    Wenn mindestens eine der Bedingungen zur nochmaligen Datenkontrolle erfüllt ist gelangen Sie nun zu Punkt (4). Andernfalls wechselt Ihr Browserfenster direkt zurück zur Webseite von Sectigo (Punkt (5)).

  4. Webseite "You are about to access the service: Sectigo Certificate Manager of Sectigo":

    Diese Webseite wird nur angezeigt, wenn Sie den Dienst das erste mal nutzen oder sich Ihre Daten geändert haben oder Sie im vorherigen Punkt (3) der Weitergabe der Daten widersprochen haben. Andernfalls wird die Webseite aus Punkt (4) nicht angezeigt und Sie gelangen direkt zu Punkt (5) dieses Abschnitts.

    Auf der Webseite von Punkt (4) wird vor der Datenweitergabe angezeigt, welche Daten von der Universität Ulm an Sectigo übermittelt werden. Insbesondere der Eintrag "Name" ist wichtig, denn dieser enthält die Liste aller Vor- und Nachnamen, die dann später in das Zertifikat aufgenommen werden.

    → Stimmen Sie der Weitergabe durch Klick auf den Button "Accept" zu.

    Ihr Browserfenster wechselt nun zurück zur Webseite von Sectigo (nächster Punkt (5)).

  5. Webseite "Sectigo - Digital Certificate Enrollment":

    Wichtig: Auf diesem Weg können Sie maximal fünf (Stand 01/2024) gültige Zertifikate für sich selbst ausstellen. Wenn Sie ein weiteres Zertifikat erzeugen, wird das älteste noch gültige Zertifikat automatisch widerrufen, das heißt es wird ungültig.

    Im oberen Bereich der Webseite sehen Sie einen Teil der Daten, welche in Ihr E-Mail Nutzerzertifikat aufgenommen werden. Die Daten sind identisch mit denen, die der Identity Provider (IdP) der Universität Ulm bezüglich Ihres Accounts gespeichert hat. Dies betrifft zum Beispiel die in das Zertifikat aufgenommene Bestandteile der Vor- und Nachnamen. Allerdings werden auf der Webseite von Sectigo nicht zwingend alle Vornamen gelistet, die dann in das Zertifikat aufgenommen werden. Die vollständige Liste der Vornamen wurde in Punkt 4 vom IdP der Universität Ulm angezeigt.

    Bei der Auswahl des Algorithmus zum Verschlüsseln der p12-Zertifikatsdatei vermeiden Sie Kompatibilitätsprobleme, wenn Sie den alten Algorithmus "Compatible TripleDES-SHA1" wählen. Stand Juli/2023 haben einige Programme wie zum Beispiel der MAC- und Windows-Schlüsselbund Probleme mit dem neuen Algorithmus "Secure AES256-SHA256". Wenn beim Import des Zertifikats Fehlermeldungen auftreten, z.B. "Kennwort/Passwort ungültig" oder "Fehler im Sicherungssystem", dann kann das an dem neuen Algorithmus liegen. Die einfachste Möglichkeit zur Lösung des Problems ist dann nochmals ein Zertifikat mit dem alten Algorithmus zu erzeugen.

    Bitte nehmen Sie jetzt in dem Formular der Webseite exakt die folgenden Einstellungen vor:

    Formular-Daten für E-Mail Nutzerzertifikate von Sectigo
    Certificate Profile: → GEANT Personal email signing and encryption (bitte keine anderen Einträge auswählen)
    Term: → 730 Days (Stand Sept. 2023: maximal 2 Jahre Laufzeit erlaubt)
    Enrollment Method: → (X) Key Generation (Stand Sept. 2023: Schlüsselerzeugung auf Sectigo Servern)
    Key Type: → RSA - 4096
    Password: → Your password to protect the private key of the certificate (bitte vergeben Sie ein starkes Passwort; am besten verwenden Sie hier einen Passwortmanager)
    Password Confirmation: → Retype your password (geben Sie das Passwort erneut ein)
    Algorithm: → Compatible TripleDES-SHA1 (siehe Anmerkung über der Tabelle)
    EULA: → [v] I have read and agree to the terms of EULA
    → Button: Agree
      → Button: Submit

    Es öffnet sich ein Hinweisfenster mit dem Titel "Generating Certificate". So lange das Fenster sichtbar ist wird Ihr neues Zertifikat erzeugt. Dieser Vorgang kann etwas dauern - typisch ist ca. eine Minute - es gibt jedoch auch Berichte von bis zu 5 Minuten. Bitte schließen Sie NICHT den TAB bzw. das Browserfenster so lange der Vorgang läuft.

  6. Nachdem der Vorgang erfolgreich abgeschlossen wurde, erscheint automatisch folgende Meldung im Browserfenster in einer grünen Box:

    Your certificate has been successfully generated.

    Gleichzeitig wird dem Browser die Zertifikatsdatei "certs.p12" (privater und öffentlicher Schlüssel zusammen) automatisch zum Download angeboten. Je nach Einstellungen Ihres Webbrowser fragt dieser Sie nach einem Speicherort für diese Datei oder speichert sie automatisch im Default "Download" Verzeichnis des Webbrowser.

  7. Es ist empfehlenswert der Datei "certs.p12" einen besseren Namen zu geben, zum Beispiel "Max-Mustermann.Sectigo-Nutzerzertifikat.erzeugt-2023-09-25.Laufzeit-730-Tage.p12". Bitte speichern Sie die Datei an einem sichern Ort und merken Sie sich das in Schritt (5) vergebene Passwort, welches den Inhalt der Datei schützt. Wenn Sie das Zertifikat oder das Passwort verlieren, können Sie nicht mehr auf für Sie verschlüsselte E-Mails und Daten zugreifen. Die Daten können nicht rekonstruiert werden! Auch nicht aus einem Backup!

    Hiermit ist der Vorgang der Zertifikatserzeugung abgeschlossen. Sie können das Zertifikat jetzt in Ihr E-Mail Programm importieren und nutzen.

Im nächsten Schritt wird geschildert, wie Sie das Zertifikat in Ihr E-Mail-Programm importieren:

Weiter zu: Schritt 3 (E-Mail Programm einrichten)

Kommunikations- und Informationszentrum (kiz)

Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:

Sprechzeiten
Montag - Donnerstag
09:00 - 12:00 Uhr
13:00 - 15:30 Uhr

Freitag
09:00 - 12:00 Uhr

Telefon
+49 (0) 731 / 50 - 30000

Telefax
+49 (0) 731 / 50 - 1230000

Rückruf beauftragen
helpdesk(at)uni-ulm.de
Support-Portal (Uni intern)
[mehr]

An den Service-Points können Sie uns persönlich aufsuchen.

[mehr]

Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.

IDM Self Services
[mehr]

Recherche im Bibliotheksbestand nach Monografien, Lehrbücher, Zeitschriften, Hochschulschriften, E-Books, E-Journals, Nationallizenzen, sowie im Bestand des institutionellen Repositoriums OPARU:

Bibliothekskatalog::lokal

Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.

A-Z-Liste

mehr zu: Digitalen Zertifikate

Für das Austellen eines Nutzerzertifikats ist eine Identitätsfeststellung durch Ihr persönliches Erscheinen bei unserer Registrierungsstelle an folgendem Service-Point erforderlich:

kiz Universität West
Bibliotheks-Zentrale
Service Point Information
Tel: +49 (0) 731 / 50 - 15544
E-Mail: ra(at)uni-ulm.de
Anmeldung per Telefon oder E-Mail wird erbeten. Die Öffnungszeiten entnehmen Sie bitte der verlinkten Webseite des Service Points.

Zur Beantragung eines Serverzertifikats nehmen Sie bitte Kontakt über die oben angegebene E-Mail-Adresse mit uns auf.