Nutzerzertifikate beantragen (HARICA)

Das Zertifikat für Nutzer ist vergleichbar wie ein digitaler Ausweis. Mit solch einem Zertifikat kann eindeutig nachgewiesen werden, wer der Absender einer eMail ist oder dass der Inhalt von einem bestimmten Autor stammt.

Als Angehöriger der TUM können Sie sich via Harica "Email-only" Zertifikate ausstellen lassen. "Email-only" bedeutet, dass das Zertifikat nur Ihre eMail-Adresse und nicht Ihren Namen enthält. Dies ist für alle gängigen Anwendungszwecke ausreichend, da eMail-Adressen, im Gegensatz zu Namen, eindeutig sind.


In dieser Anleitung geht es explizit um das Beantragen und Erstellen von Nutzer:innenzertifikate über Harica, um die tum.de eMail-Adresse zu signieren. 
Diese Zertifikate sind nicht zum Signieren von Dokumenten geeignet.



Anmeldung im Harica

Um ein Nutzer:innenzertifikat über Harica zu erstellen, melden Sie sich zuerst im Browser unter https://cm.harica.gr/login an. 
Auf der Anmelde-Seite können Sie dafür "Academic Login" auswählen, und sich mit Ihrer TUM-Kennung über Shibboleth anmelden, dazu wählen Sie in der Liste die passende Universität aus.

Falls diese nicht sofort angezeigt wird, können Sie über die Suchleiste mit dem Begriff “tum“ danach suchen

Falls Sie sich bei Harica manuell registriert haben und nicht über den "Academic Login" angemeldet - kein Problem
Die Harica Seite erkennt den registrierten Nutzer über die eMail-Adresse (welche mit tum.de endet) und sollte Sie automatisch der Organisation zuordnen. Dies erkennt man nach dem Login oben rechts beim Namen mit dem Zusatz "Technische Universitaet Muenchen".
Zu beachten: Nach einer manuellen Registrierung ist ein Login über "Academic Login" nicht möglich!



 

Sie werden über "Academic Login" weitergeleitet, um sich über Shibboleth mit Ihrem UniAccount und dem zugehörigen Passwort anzumelden.
Nach diesem Schritt, sind Sie angemeldet und können auf der Website ein Nutzer:innenzertifikat beantragen



Nutzer:innenzertifikat beantragen

Sobald Sie die Anmeldung abgeschlossen haben, können Sie links auf dem Dashboard unter dem Reiter "Certificate Request" die Schaltfläche "Email" auswählen.
Im nächsten Schritt wählen Sie als Zertifikatstyp bitte "Email-only" aus. Die anderen Zertifikatstypen sind derzeit noch nicht praktikabel oder kostenpflichtig.




Durch die Anmeldung über Shibboleth ist Ihre eMail-Adresse bereits vorausgefüllt.
Bestätigen Sie nun Ihre Auswahl mit einem Klick auf "Next".



Bestätigen Sie nun die voreingestellte Validierungsmethode mit einem Klick auf "Next.



Unter der Übersicht für die Beantragung setzen Sie nun den Haken zur Zustimmung, bevor Sie auf "Submit" klicken.

Auf deutsch: 
Ich, … , erkläre mit dem Absenden dieser Anfrage, dass ich die Nutzungsbedingungen und die Zertifizierungspraktiken von HARICA gelesen habe und damit einverstanden bin. Ich bin auch damit einverstanden, dass HARICA die Daten aus dieser Anfrage gemäß der Datenschutzerklärung verarbeitet, nutzt und speichert.




Zurück im Dashboard sehen Sie jetzt den Pending Certificates („Zertifikatsrequest“), welcher nun wartet, bis Sie Ihre eMail bestätigen, welche Sie im Anschluss von Harica erhalten werden.




Die im Anschluss erhaltene eMail von Harica, müssen Sie mit einem Mausklick auf „Confirm“ bestätigen.
Sie werden dabei auf eine Seite von Harica weitergeleitet, auf der Sie gebeten werden, Ihre eMail-Adresse nochmals mit „Confirm“ zu bestätigen.
Nach erfolgreicher Verifizierung, landen Sie entweder auf der Anmeldeseite von Harica oder (falls noch angemeldet) direkt im „My Dashboard“ Bereich



Zertifikat herunterladen

Nachdem das Zertifikat genehmigt und die eMail von Harica bestätigen wurde, Logen Sie sich bei Harica (https://cm.harica.gr/login) ein und klicken Sie (unter My Dashboard) nun auf "Enroll your Certificate", um das Erstellen Ihres Zertifikates zu beginnen. 


Füllen Sie nun das gezeigte Formular aus:

  • Algorithm: Wählen Sie RSA (default) als Verschlüsselungs-Algorithmus (Standardeinstellung)
  • Key size: Dort wird als Standardwert 2048 angezeigt, dieser kann jedoch auf 4096 gesetzt werden *
  • Legen Sie ein Passwort fest („Set a passphrase“) und wiederholen es („Confirm passphrase“)
  • Setzen Sie den Haken („I understand that…“) und bestätigen, dass Sie das Passwort selbst verwalten.
    Auf deutsch: Ich bin mir bewusst, dass dieses Passwort nur mir bekannt ist und Harica keinen Zugang dazu hat.

 Dann können Sie "Enroll Certificate" (blauen Button) anklicken, um den Vorgang abzuschließen

Sie benötigen dieses gewählte Passwort, um das Zertifikat in ein eMail-Programm einzubinden.
Notieren Sie sich daher das Passwort gegebenenfalls oder speichern Sie es an einem sicheren Platz ab.

 * 

Der Unterschied der Server-Reaktionszeit zwischen 2048 und 4096 Bit Keys spiegelt sich in Millisekunden beim Verbindungsaufbau wider.
Daher besteht kein Grund, einen niedrigere Schlüsselgröße zu wählen.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt seit Januar 2023, RSA Schlüssellängen von 3000 (3072) Bit. 



Im nächsten Fenster können Sie nun auf "Download" klicken, um sich das Zertifikat im Dateiformat .p12 herunterzuladen.
Die Datei finden Sie anschließend in Ihrem Download-Ordner und kann nun auf Ihrem Endgerät installiert werden

Sollten Sie Zertifikate für mehrere E-Mail Adressen benötigen, müssen Sie sich mit jeder Adresse einzeln registrieren.
Auch für Funktions-Adressen müssen Sie sich mit Ihrem Namen und der Funktions E-Mail Adresse erneut registrieren


Im Harica (My Dashboard) finden Sie jederzeit Ihr Zertifikat zum Downloaden, falls Sie dieses an einem anderen Gerät benötigen oder installieren wollen.
Außerdem wird Ihnen die Gültigkeit Ihrer Zertifikate angezeigt.

Über den Punkt „Order details“ (3 Punkte) werden Ihnen alle Details zum Zertifikat angezeigt, sowie der Wiederrufscode (Revocation) und die Möglichkeit das Zertifikat in anderen Formaten zu downloaden