GRID-Zertifikate

Bitte beachten Sie: Angehörige der LMU wenden sich bitte an dfn-lmu-ra@lists.physik.uni-muenchen.de




GRID-Zertifikate sind entweder Server- oder persönliche Zertifikate, die aber zu einer separaten Infrastruktur gehören. Sie besitzen die Schlüsselzwecke

  • digitalSignature
  • keyEncipherment

und die erweiterten Schlüsselzwecke

  • clientAuth
  • emailProtection

Es sind die einzigen persönlichen Zertifikate, die das LRZ auch für Nicht-BAdW-Angehörige ausstellen kann (und darf).

Der Namensraum sieht so aus:

  • C=DE
  • O=GridGermany
  • Die OU hängt ab von der Einrichtung, der Sie angehören: Leibniz Rechenzentrum, Technische Universitaet Muenchen oder Ludwig-Maximilians-Universitaet Muenchen. Eine weitere OU für Lehrstuhl / Fakultät ist möglich.
  • Der CN ist Ihr Vor- und Nachname bei persönlichen Zertifikaten bzw. der Rechnername bei Serverzertifikaten.


Hinweis: Für GRID gibt es weder Gruppen- noch Pseudonymzertifikate. Robot-Zertifikate sind allerdings möglich. D.h. die Attribute "pseudonym", "GN" und "SN" sind im SubjectDN nicht erlaubt. Der CN darf nicht mit "GRP:", "GRP -", "PN:" oder "PN -" beginnen. Der CN darf aber mit "Robot:" oder "Robot -" beginnen.


Beantragt wird ein GRID-Zertifikat über diese URL: https://pki.pca.dfn.de/dfn-pki/grid-root-ca/101

Die Seite Serverzertifikat beantragen sieht dann beispielsweise so aus:

Nach dem Ausfüllen kommen Sie mit Weiter zu dieser Seite:

Wenn Sie auf Antragsdatei speichern klicken, werden Sie noch nach einem Paßwort gefragt:



Näheres zum Thema finden Sie auch hier: https://www.lrz.de/services/compute/grid_en/certificate_en/person-certificate_en/

in den Richtlinien des DFN-CERT: https://www.pki.dfn.de/fileadmin/PKI/DFN-PKI_grid-cps_v16.pdf

sowie auf der GRID-Seite des DFN-Vereins: https://www.pki.dfn.de/grid/ und https://www.pki.dfn.de/faqpki/faqpki-grid/


Bitte bachten Sie auch, daß GRID-Zertifikate nicht zum Signieren Ihrer normalen dienstlichen E-Mails verwendet werden können. Rein technisch ist das zwar rmöglich, in allgemeinen wird der Empfänger die Signatur jedoch nicht als gültig anzeigen, da das GRID-root-Zertifikat im Browser / Mailclient nicht vorhanden ist und damit auch nicht validiert werden kann.



Zuletzt aktualisiert am 27.10.2022