Beantragung mit einem Zertifikatsantrag (CSR)

Erstellen einer CSR-Datei

Haben Sie die Beantragung durch einen Zertifikatsantrag gewählt, müssen Sie zuerst einen solchen erstellen. Dazu gehen Sie bitte wie folgt vor.

Laden Sie sich folgenden OpenSSL .cnf-Datei runter: smime_config.cnf

Öffnen Sie die Datei mit einem Texteditor und passen Sie folgende Textzeilen an:

Erforderlich:

OU = Ihr(e) Institut/ Abteilung CN = Ihr Name laut Personalausweis emailAddress = Ihre EMail-Adresse, für die sie das Zertifikat erstellen wollen Optional, falls Sie zwei oder drei Email-Adressen eintragen möchten:

Entfernen Sie die Raute (#) aus dem Anfang der letzten Zeile (#subjectAltName = @alt_names) sowie die Rauten vor email.1 bzw. email.2, je nachdem, welche Sie benutzen
email.1 = Ihre erste alternative Email-Adresse email.2 = Ihre zweite alternative Email-Adresse Belassen Sie den Rest der Datei mit den bereits eingetragenen Werten und speichern sie diese unter dem gleichen Namen ab. Öffnen Sie das Terminal auf Ihrem Computer. Mit folgendem Befehl erstellen Sie eine CSR- Datei:

openssl req -nodes -newkey rsa:4096 -keyout <certificate_key>.key -out <certificate_request>.csr

~~Geben~~ ~~Sie~~-config ~~bei~~smime_config.cnf ~~Aufforderung~~ ~~folgende Daten ein:~~
~~Country Name (2 letter code) [AU]:~~ DE
~~State or Province Name (full name) [Some State]:~~ ~~Niedersachsen~~
~~Locality Name (eg, city) []:~~ ~~Braunschweig~~
~~Organization Naem (eg, company) [Internet Widgits Pty Ltd]:~~ ~~Technische Universitaet Braunschweig~~
~~Organizational Unit Name (eg, section) []:~~ I~~hr(e) Institut/ Abteilung~~
~~Common Name (e.g. server FQDN or YOUR name) []:~~ ~~Ihr Name laut Personalausweis~~
~~Email Address []:~~ ~~Ihre EMail-Adresse, für die sie das Zertifikat erstellen wollen~~
~~A challenge password []:~~ Bitte leer lassen *

~~An optional company name []:~~ ~~Bitte leer lassen~~

* Das Challenge Passwort dient dazu, das Zertifikat selbst direkt bei HARICA zu widerrufen. Ist ein Challenge Passwort gesetzt, können Sie es nicht mehr über die Selbstverwaltungsoberfläche zurückrufen.

Die beiden Dateien <certificate_key>.key und <certificate_request>.csr finden Sie nun in dem Verzeichnis, aus dem Sie den Befehl ausgeführt haben.

Beantragung des Zertifikates

Kehren Sie nun zur Beantragungsoberfläche ~~zurück, wählen Sie eine entsprechende Email-Adresse aus~~zurück und kopieren Sie den CSR in das dafür vorgesehene Feld. Nur personenbezogene Email-Adressen sind berechtigt und werden hier aufgelistet. Fehlt eine Ihrer Email-Adressen, wenden Sie sich bitte per Email an noc@tu-braunschweig.de.

Nach erfolgreicher Beantragung gelangen Sie auch hier wieder zurück auf die Übersichtsseite und können dort Ihr P7B-Zertifikat herunterladen. Um dieses Zertifikat nutzen zu können, müssen sie zusammen mit dem privaten Schlüssel zuerst ein P12-Zertifikat erstellen. Die Anleitung dazu finden Sie weiter unten.

Konvertieren der erhaltenen P7B-Datei

Nach erfolgreicher Beantragung eines Zertifikats mit eigenem CSR erhalten sie eine Datei mit der Endung ".p7b". Der Dateiname entspricht der ID des erstellten Zertifikates. Hierbei handelt es sich noch nicht um ein vollständiges Zertifikat. Sie müssen aus dieser Datei und dem bei Erstellung des CSRs erzeugten privaten Schlüssel erst noch eine Datei mit der Endung ".p12" erstellen. Dazu gehen Sie wie folgt vor:

Konvertieren der P7B-Datei in das PEM Format:

openssl pkcs7 -print_certs -in <cert_id>.p7b -out <cert_id>.pem -inform der

Exportieren der PEM Datein in das P12 Format:

openssl pkcs12 -export -certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac -inkey <certificate_key>.key -in <cert_id>.pem -out <cert_id>.p12

Bei diesem Befehl werden Sie aufgefordert, ein Passwort einzugeben. Dieses Passwort schützt Ihr Zertifikat vor Missbrauch. Es wird gebraucht, um es in den Zertifikatsspeicher Ihres Betriebssystems zu importieren.