Nutzerzertifikate zum Signieren und Verschlüsseln von E-Mails

Die Fakultät für Elektrotechnik und Informationstechnik betreibt eine Registrierungsstelle (RA) für Personenzertifikate, die u.a. zum Signieren und Verschlüsseln von E-Mails genutzt werden können. Diese Zertifikate werden im Rahmen der DFN-PKI ausgegeben und werden weltweit akzeptiert.

So beantragen Sie ein Zertifikat:

  1. Öffnen Sie mit dem Firefox-Browser (andere Browser werden nicht unterstützt) das für unsere Registrierungsstelle eingerichtete Web-Formular der DFN-PKI. Sie benötigen denselben Browser bzw. dasselbe Browserprofil später wieder, um das generierte Zertifikat zu importieren.
  2. Klicken Sie auf "Nutzerzertifikat"
  3. Füllen Sie das Formular aus
    Bitte beachten Sie:
    • tragen Sie unter "E-Mail" die E-Mailadresse ein, für die das Zertifikat gelten soll. Wir vergeben nur Zertifikate für E-Mail-Adressen, die der TU München zugeordnet sind, also solche, die auf "tum.de" oder "mytum.de" enden.
    • Empfehlung: lassen Sie das Feld "Abteilung" LEER; oder tragen Sie dort allenfalls den Namen Ihres Lehrstuhls im Volltext ein (die Fakultät wird automatisch eingetragen)
    • notieren Sie die PIN, die für die Nutzung des Zertifikats später zwingend benötigt wird
    • wir empfehlen, der Veröffentlichung des Zertifikats zuzustimmen (s.u.)
    • der Firefox Tab muss bis zum Herunterladen des Zertifikats offen bleiben, andernfalls muss das Zertifikat neu beantragt werden
  4. Drucken Sie das Formular aus und vervollständigen Sie die Angaben
  5. Legen Sie das Formular mit einem gültigen Personalausweis oder Pass bei Herrn Ranke (Stammgelände Gebäude 9, Raum 2913) vor. Er prüft die Angaben und gibt das Zertifikat frei. Ein Link auf das ausgestellte Zertifikat wird dann umgehend per E-Mail zugestellt. Rufen Sie das Zertifikat dann in demselben Firefox Tab ab, den Sie beim Beantragen geöffnet haben.
  6. Bitte speichern Sie Ihr Zertifikat an einem sicheren Ort ab

Ausführliche Anleitung für das Beantragen und Installieren eines E-Mail-Zertifikats

Veröffentlichung des Zertifikats

Wenn Sie der Veröffentlichung Ihres Nutzerzertifikats zustimmen, wird dieses zum Verzeichnisdienst der DFN-PKI hinzugefügt, der im Internet frei zugänglich ist. Der Vorteil einer Veröffentlichung besteht darin, dass jeder, der Ihnen eine verschlüsselte E-Mail senden möchte, dies tun kann, da der öffentliche Schlüssel dort verfügbar ist.

Hinweise des DFN zur Veröffentlichung des Nutzerzertifikats

E-Mail Konfiguration für die Verwendung des DFN-PKI LDAP-Verzeichnisses

 

Serverzertifikate

Wenn Sie einen Server betreiben, der verschlüsselte Verbindungen mit SSL/TLS zur Verfügung stellt (beispielsweise einen Webserver mit HTTPS-Zugang), dann benötigen Sie ein Serverzertifikat.

Bitte beachten Sie für die vom DFN ausgestellten Zertifikate:

  • Die Zertifikate dürfen nur für Server verwendet werden, die für die Fakultät für Elektrotechnik und Informationstechnik oder für Teileinheiten der Fakultät betrieben werden. Kommerzielle Nutzung ist nicht zulässig.
  • Der eindeutige Name des Zertifikats muss enden auf: OU=Fakultaet fuer Elektrotechnik und Informationstechnik,O=Technische Universitaet Muenchen,L=Muenchen,ST=Bayern,C=DE
  • Für die Domainnamen der Zertifikate sind nur bestimmte Domänen zulässig. Wenn Ihr Domainname nicht auf tum.de endet und Sie bisher noch kein Zertifikat von uns haben, dann ist es wahrscheinlich, dass Ihre Domain nicht in der hinterlegten Liste aufgeführt ist. Wenn Sie bei der Antragstellung eine entsprechende Fehlermeldung bekommen, dann nehmen Sie bitte Kontakt mit Herrn Ranke auf. Die Aufnahme weiterer Domains ist möglich, aber sie kann mehrere Tage dauern.
  • Sie können ein gemeinsames Zertifikat für mehrere Servernamen erhalten. Dagegen sind Wildcards wie "*.ei.tum.de" nicht zulässig.

Bitte erstellen Sie einen Zertifikatsantrag als PEM-Datei. Auf Linux-Systemen geschieht das normalerweise mit der OpenSSL-Suite (Unterkommando openssl req), andere Betriebssysteme oder Geräte haben häufig eigene Administrationsschnittstellen.

In der vom DFN bereitgestellten PKI-Schnittstelle können Sie unter dem Reiter "Serverzertifikate" den Zertifikatsantrag hochladen. Die weitere Vorgehensweise (Formular vervollständigen, ausdrucken und Vorlage bei Herrn Ranke) ist dann analog zu den Nutzerzertifikaten (siehe oben).

Alternativ dazu gibt es für den Teilnehmerservice einen Assistenten zum Erstellen von Serverzertifikaten. Damit kann der Teilnehmerservice gemeinsam mit dem Serveradministrator ein Schlüsselpaar und ein zugehöriges Zertifikat erstellen, ohne die manchmal umständliche openssl-Suite manuell aufzurufen. Wenden Sie sich hierzu an Herrn Ranke oder Herrn Bauer.

Ansprechpartner

Für Fragen zu Nutzer- und Serverzertifikaten ist Hans Ranke, Tel. -23660, Ihr Ansprechpartner (Vertretung: Tobias Baur).