Nutzerzertifikate der TCS

Das Antragsverfahren hat sich mit dem Wechsel von der DFN-PKI zur TCS geändert und läuft nun über Single-Sign-On mit Shibboleth. Dies erledigt auch gleich die Identitätsprüfung, so dass der parallele Papierantrag sowie die Ausweisprüfung des früheren Verfahrens entfallen.

Die Schrite zur Erstellung eines Nutzer-Zertifikates sind:

• Aufruf im Browser: https://cert-manager.com/customer/DFN/idp/clientgeant
• "TUHH" suchen und dann auswählen
• Shibboleth-Anmeldung mit dem TUHH Account
• Auswahl der Zertifikatsparameter
  1 oder 2 Jahre / Key-Generation / RSA 4096 / Passwort setzen / AES256-SHA256 / EULA bestätigen / Submit drücken
• Warten (die Schlüsselerstellung dauert wenige Minuten)
• Zertifikat entgegennehmen
  
  certs.p12
  im Download-Ordner sprechend umbenennen und an einem sicheren Ort ablegen
• Zertifkat verwenden
  z.B. in Thunderbird für S/MIME hinterlegen unter Extras / Einstellungen / Zertifikate verwalten... / Ihre Zertifikate / Importieren / .p12 Datei auswählen

Optional kann anstatt der Schlüsselerzeugung im Browser auch ein eigenes Certificate Signing Request (CSR) mittels openSSL erstellt und hochgeladen werden. Die bei der Shibboleth-Anmeldung übertragenen Attribute überschreiben aber Vorname, Nachname und Mailadresse im CSR. Man kann sich daher immer nur selbst für die primäre Mailadresse ein Zertifikat ausstellen und nicht für andere. Hierdurch wird sichergestellt, dass es keine Abweichungen vom offiziellen Namen gibt, was ansonsten die Nutzungspolicy der TCS verletzen würde.

Bitte beachten Sie, dass Sie für Ihr Nutzerzertifikat selbst verantwortlich sind. Sie sollten sich das Passwort an sicherer Stelle notieren (z.B. im Passwortmanager) und die Zeritifikatsdatei sicher ablegen (z.B. in Ihrem RZ Heimlaufwerk). Die privaten Schlüssel abgelaufener Zertifikate sind weiterhin wichtig, um später noch damit verschlüsselte Mails lesen zu können.