Nach der erfolgreichen Identitätsfeststellung kann das Nutzerzertifikat über den Browser beim DFN-PKI-Portal abgeholt und im Anschluss in den Windows-Zertifikatsspeicher importiert werden. Im Folgenden beschreiben wir Schritt für Schritt, wie Sie für Abholung und Import vorgehen sollten.
Anleitung für die Abholung und den Import eines Nutzerzertifikats
Schritt 1: Sie erhalten eine E-Mail mit dem Betreff »BU Weimar CA Zertifikatinformation«. Die E-Mail enthält einen Link für die Abholung des Zertifikats. Klicken Sie bitte auf den Link nach »* Wenn Sie ein Nutzerzertifikat beantragt haben, ...«. Sie gelangen zur Seite des DFN-PKI in den Bereich »Zertifikat abholen«.
Schritt 2: Navigieren Sie zur Antragsdatei vom Typ ».json«. Sie wird standardmäßig im Windows-Verzeichnis Downloads gespeichert. Geben Sie nun das Passwort ein, welches Sie zum Schutz der Datei bei der Antragsbearbeitung vergeben haben (Vgl. Schritt 8 auf der Seite »Nutzerzertifikat beantragen«). Klicken Sie dann auf »Weiter«.
Schritt 3: Sie gelangen zurück in den Bereich »Zertifikat abholen«. Klicken sie nun auf »Zertifikatdatei speichern«.
Schritt 4: Geben Sie ein selbst gewähltes Passwort zum Schutz Ihres Zertifikates ein und wiederholen Sie es. Klicken Sie wenn die Passwörter übereinstimmen auf »OK«.
Schritt 5: Sie können das Zertifikat nun verwenden. Klicken Sie dafür auf »Datei öffnen«.
Das Zertifikat wird standardmäßig im Windows-Verzeichnis gespeichert. Die Speicherung wird unten links im Browserfenster angezeigt. Alternativ können Sie auch über den Windows-Explorer in das Download-Verzeichnis wechseln und die .p12-Datei beginnend mit Ihrem Vorname_Nachnamen doppelt anklicken.
Schritt 6: Windows erkennt die Zertifikatsdatei und öffnet den Zertifikatimport-Assistent.
Wählen Sie als Speicherort »Aktueller Benutzer«. Klicken Sie auf »Weiter«.
Schritt 7: Dann wiedrum Klick auf »Weiter«.
Schritt 8: Sie müssen nun noch einmal das Passwort eingeben, mit dem Sie die ».p12-Zertifikatsdatei« geschützt haben und Angaben zu den »Importoptionen« machen. Klicken Sie nach der Auswahl auf »Weiter«.
Für die »Importoptionen« empfehlen wir die folgenden Einstellungen:
- »Privaten Schlüssel mit virtualisierungsbasierter Sicherheit schützen (nicht exportierbar)«
- »Alle erweiterten Eigenschaften mit einbeziehen«
Zur Erläuterung:
- Wählt man in den Optionen »Hohe Sicherheit« aus, muss man bei jedem Versenden einer signierten E-Mail das Kennwort eingeben.
- Das Anhaken von »Privaten Schlüssel mit virtualisierungsbasierter Sicherheit schützen ...« ist die sicherste Einstellung, hat aber zur Folge, dass der private Schlüssel später nicht aus dem Zertifikatsspeicher exportiert werden kann. Man muss stattdessen auf die originale Zertifikatsdatei zurückgreifen.
Speichern Sie also die Zertifikatsdatei »Vorname-Nachname... .p12« an einem sicheren Ort (auch Ausfallsicherheit beachten) und sorgen Sie zusätzlich dafür, dass Sie auf das vergebene Kennwort im Bedarfsfall immer zugreifen können.
Achtung: Wenn sie verschlüsselte E-Mails empfangen, sollten Sie auch ältere Nutzerzertifikate aufbewahren, um auch später immer noch die entsprechenden E-Mails lesen zu können.
Schritt 9: Bei der Angabe zum Speicherort für die Zertifikate belassen Sie die empfohlene Einstellung. Klicken Sie auf »Weiter« und dann auf »Fertig stellen«. Im Anschluss wird Ihnen der erfolgreiche Import bestätigt.
