In diesem Schritt wird beschrieben, wie Sie ein digitales Nutzerzertifikat erstellen und herunterladen können. Die Voraussetzung für eine erfolgreiche Zertifikatserstellung ist, dass Ihr Universität Ulm kiz-Account das Entitlement "urn:mace:terena.org:tcs:personal-user" besitzt. Dieses Entitlement ist die Berechtigung für den Zugriff auf den DFN Zertifikatsmanager, betrieben von Sectigo. Wenn Sie sich bezüglich des Entitlements nicht sicher sind, dann prüfen Sie bitte mittels der Anleitung von Schritt 1 (Entitlement prüfen / beantragen), ob der Account tatsächlich das Entitlement besitzt. Ist diese Voraussetzung erfüllt, dann dauert der Vorgang bis zum Erhalt des vollständigen Zertifikats in der Regel nur wenige Minuten.

1. Öffnen Sie die URL des DFN Zertifikat Managers, betrieben auf den Servern von Sectigo, in Ihrem Browserfenster:

   → https://cert-manager.com/customer/DFN/idp/clientgeant

   Sie werden unmittelbar zum Punkt (2) "Find Your Institution" Dienst weiter geleitet. Wenn Ihr Webbrowser sich die Login-Daten aus einem früheren Login-Versuch gemerkt hat kann es auch sein, dass Sie direkt zu Punkt (5) "Digital Certificate Enrollment" weitergeleitet werden.

2. Webseite "Sectigo Certificate Manager - Find Your Institution":

   → Geben Sie im Such/Textfeld "Ulm University" ein. Unter dem Textfeld wird eine Liste von Treffern angezeigt. Wenn diese Anzeige nicht erfolgt (z.B. im Fall von Copy&Paste), dann müssen Sie im Textfeld noch die Return-Taste drücken. Hat sich Ihr Webbrowser aus einer vorherigen Suche den Eintrag gemerkt, wird dieser direkt angezeigt.
   → Klicken Sie nun unterhalb des Such/Textfeldes auf den Eintrag "Ulm University (uni-ulm.de)".

   Ihr Browserfenster wechselt jetzt zur Webseite des "Identity Providers (IdP)" der Universität Ulm.

3. Webseite "IdP Universität Ulm - Shibboleth Login - Login to Sectigo Certificate Manager":

   → Geben Sie Benutzernamen und Passwort Ihres Universität Ulm kiz-Accounts ein und klicken Sie auf den Button "Login".

   Wenn mindestens eine der Bedingungen zur nochmaligen Datenkontrolle erfüllt ist gelangen Sie nun zu Punkt (4). Andernfalls wechselt Ihr Browserfenster direkt zurück zur Webseite von Sectigo (Punkt (5)).

4. Webseite "You are about to access the service: Sectigo Certificate Manager of Sectigo":

   Diese Webseite wird nur angezeigt, wenn Sie den Dienst das erste mal nutzen oder sich Ihre Daten geändert haben oder Sie im vorherigen Punkt (3) der Weitergabe der Daten widersprochen haben. Andernfalls wird die Webseite aus Punkt (4) nicht angezeigt und Sie gelangen direkt zu Punkt (5) dieses Abschnitts.

   Auf der Webseite von Punkt (4) wird vor der Datenweitergabe angezeigt, welche Daten von der Universität Ulm an Sectigo übermittelt werden.

   → Stimmen Sie der Weitergabe durch Klick auf den Button "Accept" zu.

   Ihr Browserfenster wechselt nun zurück zur Webseite von Sectigo (nächster Punkt (5)).

5. Webseite "Sectigo - Digital Certificate Enrollment":

   Wichtig: Auf diesem Weg können Sie maximal fünf (Stand 01/2024) gültige Zertifikate für sich selbst ausstellen. Wenn Sie ein weiteres Zertifikat erzeugen, wird das älteste noch gültige Zertifikat automatisch widerrufen, das heißt es wird ungültig.

   Im oberen Bereich der Webseite sehen Sie einen Teil der Daten, welche in Ihr E-Mail Nutzerzertifikat aufgenommen werden. Die Daten sind identisch mit denen, die der Identity Provider (IdP) der Universität Ulm bezüglich Ihres Accounts gespeichert hat. Dies betrifft zum Beispiel die in das Zertifikat aufgenommene Bestandteile der Vor- und Nachnamen.

   Bei der Auswahl des Algorithmus zum Verschlüsseln der p12-Zertifikatsdatei vermeiden Sie Kompatibilitätsprobleme, wenn Sie den alten Algorithmus "Compatible TripleDES-SHA1" wählen. Stand Juli/2023 haben einige Programme wie zum Beispiel der MAC- und Windows-Schlüsselbund Probleme mit dem neuen Algorithmus "Secure AES256-SHA256". Wenn beim Import des Zertifikats Fehlermeldungen auftreten, z.B. "Kennwort/Passwort ungültig" oder "Fehler im Sicherungssystem", dann kann das an dem neuen Algorithmus liegen. Die einfachste Möglichkeit zur Lösung des Problems ist dann nochmals ein Zertifikat mit dem alten Algorithmus zu erzeugen.

   Bitte nehmen Sie jetzt in dem Formular der Webseite exakt die folgenden Einstellungen vor:

   Formular-Daten für E-Mail Nutzerzertifikate von Sectigo

   Certificate Profile:	→ GEANT Personal email signing and encryption (bitte keine anderen Einträge auswählen)
   Term:	→ 730 Days (Stand Sept. 2023: maximal 2 Jahre Laufzeit erlaubt)
   Enrollment Method:	→ (X) Key Generation (Stand Sept. 2023: Schlüsselerzeugung auf Sectigo Servern)
   Key Type:	→ RSA - 4096
   Password:	→ Your password to protect the private key of the certificate (bitte vergeben Sie ein starkes Passwort; am besten verwenden Sie hier einen Passwortmanager)
   Password Confirmation:	→ Retype your password (geben Sie das Passwort erneut ein)
   Algorithm:	→ Compatible TripleDES-SHA1 (siehe Anmerkung über der Tabelle)
   EULA:	→ [v] I have read and agree to the terms of EULA → Button: Agree
   	→ Button: Submit

   Es öffnet sich ein Hinweisfenster mit dem Titel "Generating Certificate". So lange das Fenster sichtbar ist wird Ihr neues Zertifikat erzeugt. Dieser Vorgang kann etwas dauern - typisch ist ca. eine Minute - es gibt jedoch auch Berichte von bis zu 5 Minuten. Bitte schließen Sie NICHT den TAB bzw. das Browserfenster so lange der Vorgang läuft.

6. Nachdem der Vorgang erfolgreich abgeschlossen wurde, erscheint automatisch folgende Meldung im Browserfenster in einer grünen Box:

   Your certificate has been successfully generated.

   Gleichzeitig wird dem Browser die Zertifikatsdatei "certs.p12" (privater und öffentlicher Schlüssel zusammen) automatisch zum Download angeboten. Je nach Einstellungen Ihres Webbrowser fragt dieser Sie nach einem Speicherort für diese Datei oder speichert sie automatisch im Default "Download" Verzeichnis des Webbrowser.

7. Es ist empfehlenswert der Datei "certs.p12" einen besseren Namen zu geben, zum Beispiel "Max-Mustermann.Sectigo-Nutzerzertifikat.erzeugt-2023-09-25.Laufzeit-730-Tage.p12". Bitte speichern Sie die Datei an einem sichern Ort und merken Sie sich das in Schritt (5) vergebene Passwort, welches den Inhalt der Datei schützt. Wenn Sie das Zertifikat oder das Passwort verlieren, können Sie nicht mehr auf für Sie verschlüsselte E-Mails und Daten zugreifen. Die Daten können nicht rekonstruiert werden! Auch nicht aus einem Backup!

   Hiermit ist der Vorgang der Zertifikatserzeugung abgeschlossen. Sie können das Zertifikat jetzt in Ihr E-Mail Programm importieren und nutzen.

Im nächsten Schritt wird geschildert, wie Sie das Zertifikat in Ihr E-Mail-Programm importieren:

Weiter zu: Schritt 3 (E-Mail Programm einrichten)