Ein Zertifikat ist eine digitale Identität, welche durch eine vertrauenswürdige Instanz ausgestellt wird. Durch das Zertifikat wird eine verschlüsselte Verbindung zum Webserver der Hochschule Landshut aufgebaut, um sicherzustellen, dass der Datenverkehr von keinen Aussenstehenden abgehört wird, Sie sich tatsächlich mit dem/der gewünschten Gesprächspartner/-in unterhalten und die übermittelte Nachricht unterwegs nicht verändert wurde. Durch Ihr eigenes Zertifikat kann Sie ausserdem der Server eindeutig authentifizieren, so dass niemand außer Ihnen auf Ihre persönlichen Daten zugreifen kann.

An der Hochschule Landshut benötigen Sie nur als Mitarbeiter ein Zertifikat zur Identifikation Ihrer Person für:

• Zugang zum SB-Portal
• Service-Portal des Rechenzentrums (Wireless, Maileinstellungen und Passwortänderung)
• Signatur und Verschlüsselung von EMails, Signieren von Dokumenten

Problematik: Der Antrag zum Zertifikat kann zur Zeit nicht vor Ort abgewickelt werden.

Das Zertifikat ist 3 Jahre gültig und muss danach neu beantragt werden.

ACHTUNG: Diese Anleitung gilt nur für Mitarbeiter. Studenten benötigen kein Zertifikat und melden sich im SB-Portal mit Benutzername und Passwort an!

Allgemeiner Hinweis
Mitarbeiterinnen und Mitarbeiter der Hochschule, die Zugang zum SB-Portal benötigen, müssen Nutzerzertifikate (Global-Zertifikate) beantragen, die dann auch im Mailclient zur Erstellung digitaler Signaturen und zur Verschlüsselung verwendet werden können.
Die Beantragung wird im Folgenden detailliert beschrieben.

Die üblichen Zertifikate, die bisher zur Authentifizierung an unserem SB-Portal ausgestellt wurden, können nicht mehr beantragt werden.

Das Global-Zertifikat kann dann sowohl für S/MME als auch zur Authentifizierung an Diensten der Hochschule verwendet werden.

Antragstellung
Stellen Sie online einen Antrag über den Link:
Online-Zertifikatsantrag

Achtung: Mit Microsoft Internet Explorer ist die Antragstellung nicht möglich. Verwenden Sie bitte Firefox, Chrome oder Microsoft Edge.





Wählen Sie "Ein neues Nutzerzertifikat beantragen" aus.





Bei "Zertifikatsprofil" wählen Sie "Mitarbeiter" aus.
Unter "Name" geben Sie Ihren Vor- und Nachnamen ein.
Bei "E-Mail" geben Sie Ihre E-Mail-Adresse an der Hochschule ein.
Unter "Abteilung" geben Sie Ihre Abteilung bzw. die Fakultät ein.
Bei "Namensraum" ist bereits eine Vorauswahl eingetragen, diese auswählen.

Bitte beachten: 

Der CN eines Nutzerzertifikats muss Vornamen und Nachnamen enthalten. Ausnahmen sind Gruppenzertifikate (CN=GRP:... oder GRP - ...) und Pseudonymzertifikate (CN=PN:... oder PN - ...). Namenszusätze, die im amtlichen Ausweispapier geführt werden (z.B. "Dr."), müssen in den CN aufgenommen werden. Darin nicht aufgeführte Namenszusätze (z.B. "Prof.") dürfen im CN nicht verwendet werden.

Zum Schluss müssen Sie nun einen frei wählbaren Sperr-Pin angeben bzw. diesen gegebenenfalls auch notieren.
Außerdem müssen die beiden Checkboxen angehakt werden.
Nach Überprüfung aller Eingaben klicken Sie nun auf "Weiter".





Speichern Sie bitte die Antragsdatei an einem sicheren Ort. Nach dem klicken auf "Antragsdatei speichern" wird Ihnen ein Fenster angezeigt wo Sie ein Passwort für diese Datei festlegen können. Diese Datei (eine Text Datei im Format *.json) wird für das Abholen des Zertifikats benötigt.



Nach dem Sie das Passwort festgelegt haben, wird die Antragsdatei zum herunterladen angeboten. Bitte speichern Sie diese Datei z.B. auf einem USB-Stick oder in Ihrem User-Laufwerk (meist Laufwerk U:). Auf vielen Systemen der HaW La wird der Download-Ordner nach der Abmeldung des Benutzers oder einem Neustart gelöscht!

Anschliessend wird Ihnen die folgende Seite angezeigt:



Nach dem Klicken auf "Zertifikatantragsformular (PDF) herunterladen" wird Ihnen als PDF ein Antrag zur Verfügung gestellt. Diesen Antrag müssen Sie ausdrucken und persönlich bei der Zertifizierungsstelle (N1 01, N1 06) beglaubigen lassen.
Bitte bringen Sie dazu Ihren Ausweis mit, auch wenn Sie dort persönlich bekannt sind. Die letzten 5 Ziffern der Ausweisnummer werden in den Antrag aufgenommen.

Anschließend erhalten Sie eine E-Mail an Ihren Hochschulaccount mit der Nachricht, dass Ihr Zertifikat zum Download bereitsteht. Die Mail enthält einen Link auf Ihr neues Zertifikat. Sie müssen auf den Link in der E-Mail klicken, um das Zertifikat im Browser mit Ihrem privaten Schlüssel zu verbinden.


Laden Sie bitte die im ersten Schritt gespeicherte Antragsdatei hoch (*.json), und geben Sie das festgelegte Passwort ein. Nach erfolgreiche Eingabe können Sie die Zertifikatsdatei herunterladen und in Ihrem Browser installieren.
 
Für die Installation im Browser lesen Sie bitte unsere weiteren FAQs (Sicherheitskopie im Browser importieren).

Um das Zertifikat in Outlook oder Thunderbird nutzen zu können, legen sie eine Sicherungskopie des Zertifikats an.

• Sicherheitskopie von Zertifikat im Firefox anlegen
• Sicherheitskopie von Zeritifikat im Internet Explorer anlegen

Im Folgenden zeigen wir Ihnen, wie Sie Ihr Zertifikat in Outlook und Thunderbird integrieren können um es zum Signieren oder zum Verschlüsseln von Nachrichten zu verwenden:

• Outlook
• Thunderbird

1.Mit Hilfe dieser Anleitung können Sie eine Sicherheitskopie Ihres Zertifikates und des zugehörigen persönlichen Schlüssels erzeugen. Dazu wird Beides in einer Datei gespeichert, die später beliebig oft in Ihre Browser importiert werden kann. Beginnen Sie in Firefox damit, das Menü zu öffnen und auf „Einstellungen“ zu klicken.

2.Wählen Sie den Reiter „Erweitert“, dort den Reiter „Zertifikate“ und klicken Sie anschließend auf den Button „Zertifikate anzeigen“. ACHTUNG: für neuere Firefox-Versionen auf "Datenschutz & Sicherheit" klicken, ganz runter scrollen und weiter unter "Zertifikate anzeigen..." NEU:

ALT:

3.Wählen Sie den Reiter „Ihre Zertifikate“ und darin Ihr Zertifikat aus. Klicken Sie anschließend auf den Button „Sichern…“.

4.Wählen Sie den Namen und Pfad der Datei aus und klicken Sie anschließend auf den Button „Speichern“.

5.Falls Sie Ihr Zertifikat durch ein Master-Passwort geschützt haben, wird dieses nun abgefragt. Andernfalls kann dieser Schritt übersprungen werden. Es ist zu beachten, dass das Master-Passwort für die spätere Verwendung der Sicherheitskopie bzw. des Zertifikats weiter benötigt wird.

Sonst überspringen Sie diesen Schritt.
Wählen Sie jetzt einen Speicherplatz und einen Namen für Ihre Zertifikatsdatei aus.

6.Legen Sie nun noch ein Passwort fest um die Datei zu schützen. Das Passwort muss sicher aufbewahrt werden und darf nicht weitergeben werden. Beenden Sie den Vorgang anschließend mit „OK“.

7.Das Zertifikat und der zugehörige persönliche Schlüssel kann nun jederzeit mit Hilfe der Sicherheitskopie und dem im letzten Schritt festgelegten Passwort in jeden beliebigen Browser importiert werden. Die Anleitungen dazu finden Sie ebenfalls auf der Homepage der Hochschule. Noch einmal: Es gibt keine Kopie Ihres privaten Schlüssels an der Hochschule. Wenn ihre Zertifikatsdatei verloren geht, können damit verschlüsselte Daten nicht mehr gelesen werden!   Nun muss noch das Zertifikat zur Verwendung in Ihren Mail-Client importiert werden:

• Zertifikat in Outlook importieren
• Zertifikat in Thunderbird importieren

1. Um eine Sicherheitskopie Ihres Zertifikats in den Browser Firefox zu importieren, öffnen Sie das Menü und klicken Sie auf „Einstellungen“.

2. Nun wählen Sie den Reiter „Erweitert“, dort den Reiter „Zertifikate“ und klicken Sie auf den Button „Zertifikate anzeigen“.

3. Wählen Sie den Reiter „Ihre Zertifikate“ und klicken Sie anschließend auf den Button „Importieren…“.

4. Suchen Sie nach der Datei, in der Sie Ihr Zertifikat und den zugehörigen persönlichen Schlüssel abgespeichert haben und wählen Sie diese aus. Klicken Sie anschließend auf „Öffnen“.

5. Falls Sie Ihr Zertifikat durch ein Master-Passwort geschützt haben, wird dieses nun abgefragt. Andernfalls kann dieser Schritt übersprungen werden. Es ist zu beachten, dass das Master-Passwort für die spätere Verwendung des Zertifikats weiter benötigt wird.

6. Geben Sie nun das Passwort ein, mit dem Sie die Datei verschlüsselt haben und beenden Sie den Vorgang mit „OK“.

7. Falls das soeben importierte Zertifikat noch nicht durch ein Master-Passwort geschützt wurde, wird dieses dringend empfohlen. Die Anleitung dazu finden Sie ebenfalls auf der Homepage der Hochschule.

8. Öffnen Sie die Seite des Zertifikatsserver. Sie befinden sich nun in der Rubrik „CA-Zertifikate“, wobei Sie nacheinander die beiden Punkte „Wurzelzertifikat“ und „FH Landshut Basic-CA-Zertifikat“ auswählen müssen. Sie werden anschließend gefragt, ob und für welche Zwecke Sie das jeweilige Zertifikat installieren möchten. Kreuzen Sie alle 3 Optionen an und bestätigen Sie mit "OK". Dadurch werden zwei Zertifikate in Ihren Browser importiert. Diese werden für die Nutzung Ihres persönlichen Zertifikates vorausgesetzt.

1. Um Ihr Zertifikat vor unberechtigtem Zugriff zu schützen, kann ein Master-Passwort festgelegt werden. Dieses wird vor jeder Verwendung Ihres Zertifikats und beim Export/Import einer Sicherheitskopie abgefragt. Beginnen Sie in Firefox damit, das Menü zu öffnen und auf „Einstellungen“ zu klicken.

2. Wählen Sie den Reiter „Erweitert“, dort den Reiter „Zertifikate“ und klicken Sie anschließend auf den Button „Kryptographie-Module“.

3. Es öffnet sich der Kryptographie-Modul-Manager. Klicken Sie unter „NSS Internal PKCS #11 Module“ auf „Software-Sicherheitsmodul“ und anschließend auf „Passwort ändern“.

4. Vergeben Sie nun ein Master-Passwort und bewahren Sie dieses sicher auf. Sobald Sie den Browser neugestartet haben, wird es für jeden Zugriff auf Ihr Zertifikat benötigt. Zudem wird es zum Export/Import einer Sicherheitskopie des Zertifikats benötigt.

1. Mit Hilfe dieser Anleitung können Sie eine Sicherheitskopie Ihres Zertifikates und des zugehörigen persönlichen Schlüssels erzeugen. Dazu wird Beides in einer Datei gespeichert, die später beliebig oft in Ihre Browser importiert werden kann. Klicken Sie als Erstes auf das Einstellungen-Symbol und wählen Sie den Menüpunkt „Internetoptionen“ aus.

2. Wählen Sie nun „Inhalte“ aus und klicken Sie auf „Zertifikate“.

3. Wählen Sie den Reiter „Eigene Zertifikate“ und darin Ihr Zertifikat aus. Klicken Sie anschließend auf den Button „Exportieren…“.

4. Nun öffnet sich der Zertifikatexport-Assistent. Klicken Sie im Zertifikatexport-Assistenten zunächst auf „Weiter“. Wählen Sie im nächsten Fenster „Ja, privaten Schlüssel exportieren“ und bestätigen Sie mit „Weiter“.  

 

5. Drücken Sie solange „Weiter“ bis Sie ein Passwort zum Schutz der Sicherheitskopie festlegen können. Nachdem Sie ein Passwort eingegeben haben, können Sie mit „Weiter“ fortfahren. Das Passwort muss sicher aufbewahrt werden und darf nicht weitergeben werden.

 

 
6. Geben Sie nun einen Namen für die Sicherheitskopie und den Ort (einschließlich des gesamten Pfads) ein, oder klicken Sie auf Durchsuchen, navigieren Sie zum gewünschten Ort, und geben Sie dann den Dateinamen ein. Bestätigen Sie mit „Weiter“.

7. Klicken Sie anschließen auf „Fertig stellen“ um den Vorgang zu beenden. Diese Datei mit der Dateierweiterung pfx enthält Ihren privaten Schlüssel. Sie muss gut geschützt werden und eine Kopie muss an einem sicheren Ort aufbewahrt werden, zum Beispiel auf einem USB-Stick.

Noch einmal: Es gibt keine Kopie Ihres privaten Schlüssels an der Hochschule. Wenn ihre Zertifikatsdatei verloren geht, können damit verschlüsselte Daten nicht mehr gelesen werden!
 
Nun muss noch das Zertifikat zur Verwendung in Ihren Mail-Client importiert werden:
 

• Zertifikat in Outlook importieren
• Zertifikat in Thunderbird importieren

1. Um eine Sicherheitskopie Ihres Zertifikats in den Browser Internet Explorer zu importieren, öffnen Sie zunächst den Windows Datei Explorer und suchen Sie Ihr Zertifikat.2. Durch einen Doppelklick auf die Datei öffnet sich der Zertifikatsimport-Assistent von Windows. Drücken Sie nun zweimal auf "Weiter".   3. Geben Sie nun das Passwort ein mit dem Sie die Datei verschlüsselt haben. Setzen Sie außerdem ein Häkchen vor "Hohe Sicherheit ...". Dies hat zur Folge, dass Sie von Windows vor jedem Zugriff auf Ihr Zertifikat zu einer Eingabe aufgefordert werden, d.h. Sie müssen den Zugriff auf das Zertifikat bestätigen. Drücken Sie anschließend auf "Weiter". 4. Nun müssen Sie den Ablageort Ihres Zertifikates auswählen. Sie können hier die Voreinstellung belassen und mit "Weiter" bestätigen.  5. Fahren Sie mit einem Klick auf "Fertig Stellen" fort. 6. Sie können nun die Sicherheit weiter erhöhen, indem Sie den Button "Sicherheitsstufe…" betätigen. 7. Im folgenden Dialog können Sie als Sicherheitsstufe "Hoch" wählen und mit "Weiter" bestätigen.   8. Nun müssen Sie ein Passwort eingeben und bestätigen. Dieses Passwort wird jedes Mal abgefragt, wenn Windows auf das Zertifikat zugreifen will. Wählen Sie hier bitte ein hinreichend sicheres Passwort. Bestätigen Sie anschließend mit "Fertig stellen".9. Bestätigen Sie den noch offenen Dialog mit "OK". Zum Abschluss müssen Sie den Browser komplett schließen und neu starten, damit die Änderungen wirksam werden. 10. Öffnen Sie nun die Seite des Zertifikatsservers. Sie befinden sich nun in der Rubrik „CA-Zertifikate“, wobei Sie nacheinander die beiden Punkte „Wurzelzertifikat“ und „FH Landshut Basic-CA-Zertifikat“ auswählen müssen.

11. Dadurch werden automatisch zwei Zertifikate heruntergeladen, die für die Nutzung Ihres Zertifikates vorausgesetzt werden. Der Prozess wird am unteren Rand angezeigt. Sie müssen jedoch noch beide Zertifikate einzeln installieren. Die Installation kann jeweils mit einem Klick auf „Öffnen“ gestartet werden, sobald ein Zertifikat vollständig heruntergeladen wurde.


 

12. Dadurch öffnet sich ein Fenster mit Informationen über das Zertifikat. Es muss der Button „Zertifikat Installieren…“ ausgewählt werden.

 


13. Nun öffnet sich der Zertifikatimport-Assistent. Bestätigen Sie die Fenster, bis Sie einen Zertifikatspeicher auswählen können. Wählen Sie anschließend „Alle Zertifikate in folgendem Speicher speichern“ und dann „Durchsuchen“ aus. Klicken Sie auf „Vertrauenswürdige Stammzertifizierungsstellen“ und bestätigen Sie mit „OK“.

14. Bestätigen Sie weiter die Fenster bis eine Erfolgsmeldung erscheint, dass der Importvorgang erfolgreich war.15. Wiederholen Sie nun die letzten Schritte, um das zweite Zertifikat zu installieren. Beide Zertifikate sind notwendig, damit ihr persönliches Zertifikat funktioniert.

Mit der Sicherheitskopie können Sie das Zertifikat auf mehreren Geräten nutzen.

Schritt 1: Legen Sie eine Sicherheitskopie von Ihrem funktionierendem Zertifikat an:
 08_Firefox: Sicherheitskopie von Zertifikat anlegen
12_Internet Explorer: Sicherheitskopie von Zertifikat anlegen

Schritt 2: Übertragen Sie die Zertifikats-Datei auf das zweite Gerät und Importieren Sie die Datei:
09_Firefox: Sicherheitskopie von Zertifikat importieren
13_Internet Explorer: Sicherheitskopie von Zertifikat importieren

Achtung: Viele Tablets bzw. Smartphones benutzen Browser, die die Erstellung eines privaten Schlüssels nicht unterstützen. Dies bedeutet, dass es zu einer Fehlermeldung nach dem Einloggen auf www.haw-landshut.de/sw-zertifikate kommt. Besonders betroffen scheinen Apple-Geräte, wie das IPad zu sein. Sollten Sie, nachdem Sie sich eingeloggt und im nächsten Schritt Ihre persönlichen Daten bestätigt haben, die Meldung

"Browser hat keinen korrekten Schlüssel geschickt. Haben Sie Abbrechen in einem Passwort-Promt gedrückt?"

angezeigt bekommen, so unterstützt Ihr mobiles Gerät das Importieren des Zertifikats nicht.
Wir bitten alle Betroffene, sich das Zertifikat auf einen stationären Rechner bzw. Notebook zu importieren.

Bitte überprüfen Sie, ob Sie das Zertifikat importieren können, oder die o. g. Meldung erscheint. Sollten Sie von dieser betroffen sein, so bitten wir Sie, von etwaigen Anfragen bezüglich des Supports abzusehen.

Es gibt einen alternativen Lösungsweg, den Sie ebenfalls versuchen können:
Sie können sich das Zertifikat auf Ihren Rechner/Notebook importieren und von dem erfolgreich importierten Zertifikat eine Sicherheitskopie anlegen. Diese Sicherheitskopie können Sie z.B mit einer E-Mail auf Ihr Apple Gerät schicken und sie dort in den Browser importieren. Bitte beachten Sie für das Erstellen der Sicherheitskopie unsere Anleitungen hierfür. Aufgrund der hohen Anzahl von verschiedenen Versionen mobiler Betriebssysteme, bitten wir Sie um Ihr Verständnis, dass wir Sie beim Importieren des Zertifikats bzw. der Sicherheitskopie auf mobile Geräte grundsätzlich nicht unterstützen können. Im Internet sind jedoch diverse Anleitungen zum Import von Zertifikaten auf mobile Geräte verfügbar.

Sie erhalten beim Zugriff auf das Service Portal folgende Fehler anzeigt:
SSL_ERROR_REVOKED_CERT_ALERT
ERR_BAD_SSL_CLIENT_AUTH_CERT
oder ähnliches.

Problematik: Sie benutzen Sie auf dem Gerät ein gesperrtes Zertifikat.
Der Grund dafür ist vermutlich, dass Sie den Vorgang über "Zertifikat erstellen" auf der DFN Seite erneut durchgeführt haben. Dabei wird ein neues Zertifikat erstellt und das vorherige automatisch gesperrt. Es kann also immer nur ein Zertifikat aktiv und gültig sein.

Lösung:

1. Löschen Sie zuerst das Zertifikat aus dem Zertifikatsspeicher Ihres Browsers
2. Erstellen Sie sich anschließend auf der Seite des Deutschen Forschungsnetzes (DFN) ein neues Zertifikat. Dieses ist dann wieder Ihr aktuell gültiges

Sie haben "Zertifikat erstellen" auf der Seite des Deutschen Forschungsnetzes durchgeführt und anschließend eine Email mit dem Betreff "DFN-PKI: Ihr Zertifikat [...] wurde gesperrt" erhalten.

Problematik: Mit jedem Ausführen von "Zertifikat erstellen" wird ein neues, ab diesem Zeitpunkt 3 Jahre gültiges, Zertifikat erstellt. Ein bereits vorher erstelltes Zertifikates wird dann vom System automatisch gesperrt.

Neben der Sperrmail haben Sie auch gleichzeitig wieder eine Email mit den Downloadlinks erhalten (genauere Infos finden Sie in unseren Anleitungen für Firefox/Internet Explorer).
Installieren Sie über diese Email Ihr Zertifikat, dieses ist dann das aktuell gültige.
Um dieses Zertifikat dann auf mehreren Geräten nutzen zu können benötigen Sie eine Sicherungskopie. Anleitungen finden Sie dazu eine Ebene höher in den Zertifikats-FAQ.

1. Haben Sie ein Zertifikat auf Ihrem Rechner können Sie eine PDF öffnen und diese unter "Werkzeuge" als Option zum Signieren auswählen.
2. Klicken Sie bei "Formulare und Unterlagen" bitte auf "Zertifikat".
3. Wählen Sie über "Digital unterzeichnen" das entsprechende Zertifikat, d.h. die "digitale ID",  welche Sie benutzen wollen, zu bestimmen und dann dort zu platzieren, wo Sie möchten.





ACHTUNG: Signierte Dokumente sind gesperrt und können nicht einfach so bearbeitet werden! Will man das Dokument bearbeiten, muss man die Signatur entfernen, bzw. ein separates Dokument erstellen. Geht es Ihnen nur darum, dass mehrere Signaturen vorhanden sein müssen, kann ausgewählt werden, dass das Dokument nach dem Signieren nicht gesperrt wird. Das Problem des Bearbeitens muss jedoch weiterhin duch das Anlegen von Kopien umgangen werden.

Diese Zertifkate werden normalerweise nicht als gültig angezeigt. Sie müssen erst in die Liste der vertrauenswürdigen Zertifkate eingetragen werden. Dafür müssen Sie:

1. Auf "Unterschriftsfenster" klicken
2. Auf "Alle prüfen" klicken
3. Das nächste Fenster mit "OK" bestätigen.
Falls das nicht gereicht hat:
4. Beim Zertifikat einen Rechtsklick durchführen
5. "Zertifikat des Ausstellers anzeigen" auswählen
6. Den Reiter "Vertrauenswürdigkeit" öffnen
7. "Zu vertrauenswürdigen Zertifikaten hinzufügen" öffnen
8. Als Stammzertifikat wählen
9. Mit "OK" bestätigen