View Page

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
digitale-zertifikate:nutzerzertifikate [16.01.2023 um 15:18 Uhr] Klaus Hildebrandtdigitale-zertifikate:nutzerzertifikate [19.01.2025 um 17:14 Uhr] (aktuell) Klaus Hildebrandt
Zeile 1: Zeile 1:
-====== Nutzerzertifikate ======+====== Nutzerzertifikate beantragen ======
  
-====== Antrag ======+Jeder Beschäftigte kann ein Zertifikat mit seinem zentralen Account selbst beantragen und sofort herunterladen.\\ 
 +Der hier dargestellte Vorgang hat sich zu dem bisherigen Vorgang ab dem 10.01.2025 verändert, da wir seit dem 10.01.2025 einen anderen Dienstleister zur Zertifikatserzeugung nutzen.
  
-Sie können ein persönliches Zertifikat nutzenum E-Mails zu signieren und zu verschlüsseln oder Dokumente zu signierenDazu ist eine Beantragung durch Sie und eine Genehmigung durch den sogenannten Teilnehmerservice an der Hochschule erforderlichDie Beantragung erfolgt über die folgende Seite:+  - Rufen sie die Seite [[https://cm.harica.gr|https://cm.harica.gr]] 
 +  - Klicken sie unten auf "Academic login" \\ {{:digitale-zertifikate:har-email-01.png?nolink&600x807}} 
 +  - Geben sie in das Suchfeld die Anfangsbuchstaben unserer Hochschule ein und klicken unten auf den gefundenen Eintrag: \\ {{:digitale-zertifikate:har-email-02.png?nolink&600x444}} 
 +  - Sie gelangen nun auf eine Seite unserer Hochschule. Auf dieser geben sie ihre zentralen Zugangsdaten ein und klicken auf "Anmelden": \\ {{:digitale-zertifikate:har-email-03.png?nolink&600x574}} 
 +  - Es werden einige Informationen an einen externen Server übertragen. Bestätigen sie diesen Vorgangmit Klick auf "Informationen übertragen": \\ {{:digitale-zertifikate:har-email-04.png?nolink&600x1225}} 
 +  - Es erscheint die Oberfläche unseres neuen Dienstleisters "HARICA" zur Zertifikatserstellung. \\ Wenn sie sich zum ersten Mal anmelden und keine Zertifikate besitzen, haben sie noch keinen Eintrag unter "My Dashboard"\\ Klicken sie nun links auf "Email". \\ {{:digitale-zertifikate:har-email-05.png?nolink&600x451}} 
 +  - Unser Dienstleister bietet verschiedene Zertifikate an, welche teils kostenpflichtig sind. Das für sie kostenlose Zertifikat lautet "Email-only". Es wird "free" unter dem "Select"-Button angezeigt. \\ Klicken sie den "Select"-Button an. \\ {{:digitale-zertifikate:har-email-06.png?nolink&600x373}} 
 +  - Es wird ihre Emailadresse angezeigt. Klicken sie auf "Next". \\ {{:digitale-zertifikate:har-email-07.png?nolink&600x566}} 
 +  - Im nächsten Schritt müssen sie ihre Emailadresse validieren. Klicken sie auf "Next". \\ {{:digitale-zertifikate:har-email-08.png?nolink&600x442}} 
 +  - Es erscheint eine Übersicht des Vorgangs. Aktivieren sie die Check-Box, so dass HARICA ihre Daten verarbeiten und speichern darf. \\ Klicken sie auf "Submit". \\ {{:digitale-zertifikate:har-email-09.png?nolink&600x539}} 
 +  - Es wird eine Email an ihre Adresse geschickt von dem Absender "HARICA Certificate Manager (CM)" mit der Adresse "noreply@harica.gr". \\ Dies kann 1-2 Minuten dauern. Folgen sie den Anweisungen in der Mail und klicken sie auf den Bestätigungslink. 
 +  - Auf der Übersichtseite "My Dashboard" sehen sie nun ihre Anforderung. Klicken sie auf "Enroll your Certificate". \\ {{:digitale-zertifikate:har-email-10.png?nolink&600x124}} 
 +  - Gehen sie nun in dem Bild die Schritte 1-6 duch. Die Passphrase in Schritt 3 und 4 hat nichts mit ihrem zentralen Passwort zu tun und hier sollten sie auch ein anderes wählen. Es ist ein Passwort zum Schutz der Zertifikatsdatei. \\ **WICHTIG**Dieses Passwort sollten sie sich gut merken, da es später zur Nutzung des Zertifikats benötigt wird. \\ In Punkt 6 klicken sie auf "Enroll Certificate". Nun wird das Zertifikat erzeugt. Dies kann mehrere Sekunden dauern. Warten sie so lange. \\ {{:digitale-zertifikate:har-email-11.png?nolink&600x519}} 
 +  - Nachdem das Zertifikat erzeugt ist, erhalten sie folgendes Fenster. Klicken sie unbedingt auf "Download" und danach auf "Close". \\ {{:digitale-zertifikate:har-email-12.png?nolink&600x259}} \\ In ihrem Download-Verzeichnis auf ihrem Rechner liegt nun eine Datei "Certificate.p12". Diese Datei verschieben sie bitte an einen sicheren Ort, wo Sie sie auch wiederfinden. \\ **Tipp**: Um es von anderen später erzeugten Zertifikaten unterscheiden zu können, sollten sie das Datum in dem Dateinamen unterbringen. Wenn sie es also im Januar 2025 erzeugen, wäre ein guter Dateiname "Certificate-01-2025.p12" 
 +  - Nun können sie sich abmelden, indem sie rechts oben auf ihren Namen klicken und "Logout" auswählen. \\ {{:digitale-zertifikate:har-email-13.png?nolink&600x258}}
  
-[[https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4920|https://pki.pca.dfn.de/dfn-pki/dfn-ca-global-g2/4920]] +Nun können sie das Zertifikat [[:digitale-zertifikate:windows-speicher|installieren]].
- +
-  - Rufen sie die oben genannte Seite auf +
-  - Klicken sie auf "Nutzerzertifikat beantragen" +
-  - Geben sie dort ihren Vor- und Nachnamen sowie die Emailadresse ein. \\ <WRAP center round important 60%> \\ Der Name eines Zertifikats (SubjectDN/CN) für Nutzerzertifikate muss nach DFN-Policy einen gültigen Namen, also Vornamen und Nachnamen enthalten. Namenszusätze und Titel dürfen nur aufgenommen werden, wenn sie im Ausweisdokument eingetragen sind. Beispiel: Doktoren-Titel sind in derRegel auch im Ausweis vermerkt, Professoren-Titel aber nicht. Also kein "Prof." in den Namen verwenden und "Dr." nur, wenn er im Ausweis vermerkt ist. \\ </WRAP> +
-  - Geben Sie eine sichere, mindestens 8-stellige, Sperr-PIN an (zweimal). Hiermit kann später ein Zertifikat gesperrt werden. Während der normalen Nutzung wird diese PIN nicht benötigt. +
-  - Setzen Sie das Häkchen bei: „Ich verpflichte mich, die in den Informationen für Zertifikatinhaber aufgeführten Regelungen einzuhalten.“. +
-  - Setzen Sie das Häkchen bei: „Ich stimme der Veröffentlichung des Zertifikates mit meinem darin enthaltenen Namen und der E-Mail-Adresse zu. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft durch eine E-Mail an pki@dfn.de widerrufen.“. +
-  - Setzen Sie das Häkchen bei: „Die Informationen über die Verarbeitung personenbezogener Daten für die Zertifikaterstellung in der DFN-PKI mit Hinweis auf die Widerrufsmöglichkeiten habe ich gelesen. Ich willige in die Verarbeitung der Daten zum Zwecke der Zertifikatserstellung entsprechend diesen Informationen ein. Mir ist bewusst, dass bei einem Widerruf die Verarbeitung meiner Daten für die Zeit zwischen Erteilung der Einwilligung und dem Widerruf zulässig bleibt.“. +
-  - Drücken Sie anschließend auf „Weiter“. +
- +
-Auf der nächsten Seite werden die gemachten Angaben angezeigt: +
- +
-  - Überprüfen Sie bitte Ihre Angaben auf Richtigkeit. Über den "Daten ändern"-Button können Sie alle Daten ändern. +
-  - Bitte klicken Sie auf den Button "Antragsdatei speichern". Sie werden aufgefordert ein Passwort für die Antragsdatei und den enthaltenen privaten Schlüssel zu setzen und die Datei auf Ihrem Gerät abzuspeichern. Sie benötigen diese Antragsdatei und das zugehörige Passwort wieder, wenn das beantragte Zertifikat ausgestellt wurde. +
-  - Laden Sie auf der nächsten Seite das Zertifikatantragsformular (PDF) herunter und geben Sie es vollständig ausgefüllt und unterschrieben an das ZIM. \\ Die von uns ausgestellten Signaturen haben den Staus einer **fortgeschrittenen **digitalen Signatur. Deshalb ist zur Antragsprüfung ein gültiger Personalausweis notwendig. Diese Prüfung kann in Gelsenkirchen persönlich oder per Video durchgeführt werden. \\  \\ Hinweis: Der DFN hatte aufgrund von Mängeln des Video-Ident Verfahrens (aufgezeigt durch den Chaos Computerklub) das Verfahren kurzzeitig suspendiert. Seit dem 16.01.23 ist es an der WH wieder erlaubt, da die folgenden vom DFN formulierten Punkte bei unserem Einsatz der Zertifikate nicht zutreffen: "Das auszustellende Zertifikat wird nicht für den Schutz des Zugangs zu besonders schützenswerten Informationen eingesetzt oder in Szenarien eingesetzt, die Risiken für Leib und Leben von Menschen oder hinreichend große finanzielle oder materielle Risiken für die Organisation umfassen. Die grundsätzlich erhöhte Angreifbarkeit von Verfahren zur Video-Identifizierung im Vergleich zur persönlichen Identifizierung vor Ort ist der Organsiation bekannt. Das daraus resultierende erhöhte Risiko wird von der Organisation akzeptiert." +
- +
-Zur Terminabstimmung senden sie bitte eine Mail an <html> <a href="mailto:support@w-hs.de?body=Guten Tag, ich bitte um einen Termin zur Genehmigung eines DFN-Nutzerzertifikats.&subject=Terminvereinbarung Zertifikatsüberprüfung|support@w-hs.de">support@w-hs.de</a> </html> +
- +
-====== Nach Genehmigung des Zertifikats ====== +
- +
-Nachdem das Zertifikat genehmigt wurde, erhalten sie eine Mail vom DFN (Absender dfnpki-mailsender-noreply@dfn-cert.de, Betreff "CA der Westfälischen Hochschule Zertifikatinformation") mit folgendem Inhaltsbeginn: +
- +
-//"Sehr geehrte Nutzerin, sehr geehrter Nutzer, // +
- +
-//die Bearbeitung Ihres Zertifizierungsantrags 109995732 mit Profil User ist nun abgeschlossen. // +
- +
-//Ihr Zertifikat mit der Seriennummer 152417565001244217762156938 ist auf den Namen // +
- +
-//…" // +
- +
-Folgen sie dem in der Mail enthaltenen Link zur Abholung des Nutzerzertifikats. Hierzu benötigen sie die gerade heruntergeladene Antragsdatei mit dem Antragsdatei-Passwort. \\ Speichern sie dann das Zertifikat ab. +
- +
-Im Zuge des Abholens werden sie gebeten, die Zertifikatsdatei zu speichern und ein Passwort zu vergeben. Diese Datei enthält nun ihr **persönliches Zertifikat**, welche sicher aufzubewahren und mit einem sicheren Passwort zu versehen ist. Wählen sie ein einfaches Passwort und jemand hat die Datei, kann er in ihrem Namen unterschreiben. Wenn sie die Datei verlieren oder das Passwort vergessen, können sie keine damit verschlüsselten Dateien mehr lesen!!! +
- +
-<WRAP center round important 60%> +
- +
-  * Machen Sie **unbedingt**  ein Backup der Zertifikatsdatei, beispielsweise auf einem USB-Stick. +
-  * Bewahren Sie Ihr Zertifikat sicher vor dem Zugriff anderer auf. +
-  * Vergessen Sie auf keinen Fall das Kennwort zu Ihrer Zertifikatsdatei. +
-  * Wenn Sie Ihr Kennwort oder Ihre Zertifikatsdatei verlieren sind Ihr Zertifikat und alle verschlüsselten E-Mails, welche Ihnen von anderen Personen geschickt wurden **unwiderbringlich verloren!**  Ihr Zertifikat kann von uns nicht wiederhergestellt und neu ausgehändigt werden, Sie müssten in diesem Fall ein neues Zertifikat beantragen. Durch ein neues Zertifikat erhalten Sie keinen Zugriff auf Ihre mit dem alten Zertifikat verschlüsselten Mails. +
-  * Getätigte Unterschriften bleiben bei Verlust der Zertifikatsdatei gültig. +
- +
-</WRAP>+