Die TH Mittelhessen bietet ihren Mitgliedern die Möglichkeit X.509-Zertifikate zum Signieren und für die Verschlüsselung von E-Mails zu beantragen.

  1. Der Prozess erfolgt für berechtigte Benutzer im Self-Service-Verfahren über die öffentliche Webseite der Zertifizierungsstelle.
    (Die Website steht aktuell nur in Englischer Sprache zur Verfügung.)
    Bitte beachten Sie, dass es zwingend erforderlich ist, dass Sie Cookies und JavaScript für die beteiligten Webseiten zulassen.
    Beim erstmaligen Login suchen Sie dann den Anmeldeserver der THM durch Eingabe von "THM" als Suchbegriff. Der Login erfolgt dann über den IdP-Dienst der THM mit Ihrer gewohnten THM-Benutzerkennung.
    Sollte Ihnen der Login nicht möglich sein und Sie eine Fehlermeldung über fehlende Berechtigungen erhalten, so senden nutzen Sie bitte unser Kontaktformular, beschreiben Sie den Fehler und teilen Sie uns Ihre THM-Benutzerkennung mit, damit wir Ihren CA-Status prüfen können.
    Hinweis für Studierende: Bitte nutzen Sie bis auf Weiteres das vorherige Verfahren.
  2. Nach erfolgreichem Login wird Ihnen das "Digital Certifcate Enrollment"-Formular angezeigt, Ihr Name und Ihre E-Mail-Adresse sind dabei bereits unveränderlich vorausgefüllt.
  3. Als "Certificate Profile" wählen Sie bitte "GÉANT Personal Certificate" aus.
    (Andere Profile sind im Kontext der THM nicht zulässig.)
  4. Bei "Term" (Laufzeit) empfehlen wir Ihnen eine Laufzeit von 1095 (oder das jeweilig verfügbare Maximum) auzuwählen.
  5. Die "Enrollment Method" stellen Sie bitt auf "Key Generation".
  6. Für den "Key Type" muss eine RSA-Variante genutzt werden. Wir empfehlen "RSA - 4096" zu verwenden.
    Bitte verwenden Sie keinen Schlüssel vom Typ "EC - P...", da mit diesen keine Mail-Verschlüsselung möglich ist.
  7. Das einzugebende Passwort wird später für die Einbindung in Ihr E-Mail-Porgramm benötigt und sichert zeitgleich den Schlüssel gegen Zugriff von unberechtigten Dritten ab und sollte daher eine den Richtlinien entsprechende Komplexität haben.
    Bestätigen Sie nun noch das Lizenz/EULA-Abkommen und klicken Sie auf "Submit" um den Prozess abzuschließen.
  8. Das System generiert nun die nötigen Daten und erzeugt um Abschluss Ihr E-Mail-Zertifikat und Sicherheitsschlüssel. Bitte haben Sie dabei einen Moment Geduld und schließen Sie den Browser bzw. den Browser-Tab nicht.
  9. Schließlich werden Sie dazu aufgefordert eine sogenannte PKCS#12-Datei abzuspeichern bzw. Ihr Browser speichert dieses automatisch in Ihrem Downloads-Ordner. Diese Datei beinhaltet Ihr Zertifikat und die Schlüsseldaten und muss dann in Ihr Mail-Programm importiert werden. Wie dies genau erfolgen muss entnehmen Sie bitte der spezifischen Anleitung für das von Ihnen benutzte Mail-Programm.
    Wichtiger Hinweis: Diese Datei müssen Sie gut und sicher aufbewahren, bei Verlust verlieren Sie Zugriff auf sämtliche Daten, die für dieses Zertifikat/Schlüssel verschlüsselt worden sind, z.B. alte Mails. ITS kann Ihnen bei Verlust nicht helfen, es ist technisch nicht möglich, verschlüsselte Daten zu restaurieren oder den Zugriff anderweitig zu ermöglichen.

Beachten Sie bitte unbedingt: Alte Schlüssel/Zertifikate aus der Vergangenheit sind immer komplett aufzuheben und immer in jedes neue Mail-Profil auf jedem neuen System zu importieren, da sonst alte Mails nicht mehr gelesen werden können.

Achtung Datenverlust: Verlorene Schlüsseldaten können nicht wieder hergestellt werden und sorgen für unbehebbaren Datenverlust sämtlicher verschlüsselter Daten und E-Mails.
Jeder Benutzer ist selbst dafür verantwortlich seine persönlichen Zertifikate und Schlüsseldaten sicher aufzubewahren.


Als Beispiel und Referenz hier ein ausgefülltes Formular:

uebersicht-sectigo-nutzerformular.png