Beantragung von Nutzerzertifikaten (Signieren und Verschlüsseln von E-Mails)

Diese Anleitung beschreibt, wie Sie ein Nutzerzertifikat beantragen und erhalten können. Diese Nutzerzertifikate können für die Signierung und Verschlüsselung von E-Mails verwendet werden.
Wir stellen keine Zertifikate für Studierende oder andere Personen aus, die nicht @th-mannheim.de als E-Mailadresse haben.

In dieser Anleitung geht es explizit um das Beantragen und Erstellen von Nutzer:innenzertifikaten und Funktionsemailzertifikate (Gruppen-Zertifikate) über Harica.

Nutzerzertifikate dürfen nur ausgestellt werden, wenn die Identität des Nutzers bei der Einstellung durch den GB Personal geprüft worden ist.

Funktionsemailzertifikate werden von einer hauptverantwortlichen Person beantragt.

Bei der Beantragung eines digitalen Nutzerzertifikats wird auf Ihrem PC unter Ihrer Benutzerkennung und in dem von Ihnen verwendeten Webbrowser ein Schlüsselpaar generiert, welches im weiteren Verlauf durch Harica signiert und ausgestellt wird.

Wenn Sie ein solches Benutzerzertifikat haben möchten, dann folgen Sie bitte diesem Schema.

Anleitung in Textform - Sie finden eine Bilderstrecke im blauen Bereich:

1. Loggen Sie sich bei Harica per Academic Login ein. Das sind Ihre zentralen Nutzerdaten.

2. Im Feld „Email Confirmation“ und geben Sie Ihre E-Mailadresse ein. Drücken Sie Submit. Sie erhalten die Information: "You should receive an email shortly with further instructions.Email was sent to <ihre E-Mailadresse>". Sie erhalten eine neue E-Mail mit der Bestätigung Ihrer E-Mailadresse. Über den Link (der nur 24h gültig ist!), gehen Sie erneut auf die Webseite von Harica. Auf der darauf folgenden Webseite können Sie Ihre Daten ergänzen. Vorgegeben ist Ihre E-Mailadresse und die Gültigkeit von 2 Jahren und der Key Type. Sie tragen hier bitte folgendes ein:
Name: Ihr Vor- und Nachname, wenn Sie möchten, auch einen evtl. weiteren Namen.

Verwenden Sie keine Umlaute, Akzente oder Sonderzeichen in Ihrem Namen! Aus Müller muss Mueller werden. Aus Beißer muss Beisser werden.

Um das Nutzerzertifikat später herunterladen zu können und den privaten Schlüssel zu schützen vergeben Sie ein Passwort Ihrer Wahl (PKCS#12 Password).

Bitte notieren Sie sich das Passwort! Es ist für die Installation/Nutzung des Zertifikats nötig und kann nicht vom CIT oder HARICA geändert/zurückgesetzt werden.

Falls Sie das Passwort vergessen, so ist es nicht möglich sich dieses Zertifikat bei anderen Endgeräten einzubinden. Falls mit diesem Zertifikat E-Mails verschlüsselt wurden, so kann man diese E-Mails nicht auf neuen Endgeräten lesen.

3. Stimmen Sie den Nutzungsbedingungen der EULA (I have read and agree to the terms of the Sectigo Client Certificate EULA) durch Aktivierung der Checkbox zu Übermitteln Sie das Formular durch einen Klick auf die Schaltfläche „Submit“.

4. Das Nutzerzertifikat wird nun generiert und automatisch als Datei im Format PKCS#12 (Dateiendung .p12) ausgestellt. Je nach Webbrowser Einstellung liegt die Zertifikatsdatei mit dem Namen certs.p12 in der Regel im Ordner „Downloads“.

Achtung: Das erneute Herunterladen der Zertifikatsdatei ist nicht mehr möglich.

Benennen Sie die Zertifikatsdatei nach Ihrem Wunsch um. Wir empfehlen folgende Form: <JJJJ-MM-TT>_Zertifikat_<Vorname_Nachname>.p12

Speichern Sie die Zertifikatsdatei an einem geeigneten Ort ab.

Merken Sie sich das dazugehörige Passwort, um das digitale Nutzerzertifikat in Ihren Endgeräten einzuspielen.

Sie können später jederzeit auf die Webseite von Harica gehen und sich die Gültigkeit Ihres Zertifikats ansehen und eine Neubeantragung anstoßen. Das erneute Herunterladen des Zertifikats ist nicht mehr möglich.

Wenn Sie aus der Hochschule ausscheiden, können Sie das Zertifikat nicht mehr nutzen, weil Sie Ihre E-Mailadresse verlieren. Dies gilt nicht für Professor:innen und Beamte der Hochschule, die per se nicht ausscheiden.

FAQ

Mit der kryptographischen Signatur stellt der Absender einer Mail Informationen zur Verfügung, die Empfängern die Verifikation seiner Identität ermöglichen. Es reicht aus, dass der Versender ein Nutzerzertifikat hat.

Mit der Verschlüsselung stellt der Absender einer Mail sicher, dass diese nur vom Empfänger gelesen werden kann. Sender und Empfänger müssen ein Nutzerzertifikat haben

Nutzerzertifikate können von Ihnen in Outlook oder andere Mainklienten eingebunden werden. Da das Vorgehen bei jedem Klienten anders ist, können wir Ihnen hier nicht persönlich helfen. Wir verlinken Ihnen eine Reihe von Anleitungen.

Einbinden.

Vergessene Passwörter für Nutzerzertifikate können von niemanden zurück gesetzt werden. Sichern Sie daher dieses Passwort gut. Denken Sie bitte daran, dass mit Zertifikaten verschlüsselte E-Mails nicht mehr gelesen werden können, wenn Sie das Passwort nicht mehr wissen. Alte E-Mails mit gültigen sowie ungültigen (abgelaufenen) Signaturen sind stets lesbar.

Wenn Sie alte, verschlüsselte E-Mails aufbewahren, können diese nur mit dem ursprünglichen Zertifikat wieder gelesen werden. Sie müssen daher immer auch alte Zertifikate aufbewahren.

Um ein Zertifikat zu erstellen müssen Sie es über Harica beantragen. Dort melden Sie sich über „Academic Login“ an.

Geben Sie den Namen Ihrer Hochschule ein (Technische Hochschule Mannheim). Klicken Sie anschließend auf den Hochschulnamen.

Nun melden Sie sich mit Ihrem Hochschulbenutzernamen und Ihrem Passwort an.

Bestätigen Sie die Berechtigung zur Datenübertragung, indem Sie auf „Informationen übertragen“ klicken.

Sie werden nun zurück zur HARICA-Seite weitergeleitet. Klicken Sie dort auf das Burger-Menü und wählen Sie „Email“ aus.

Wählen Sie ausschließlich die Option „Email-only“.

For enterprises or organizations (IV+OV):
In diesem Bereich wird nach einem Upload vom Ausweisdokument gefragt.
Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweisdokumenten in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung raten wir davon ab. Siehe (Unterschied zwischen „Email-Only“ und „(IV+OV)“)

Wählen Sie „Email-Only“ aus, indem Sie auf „Select“ klicken, und anschließend auf „Next“.

Es erscheint eine Mitteilung, dass Sie Ihre E-Mail-Adresse verifizieren müssen. Klicken Sie auf „Next“.

Nun gelangen Sie zur Übersichtsseite Ihres Antrags. Prüfen Sie alle Angaben sorgfältig. Wenn alles korrekt ist, setzen Sie den Haken zur Bestätigung und klicken Sie auf „Submit“.

Sie werden auf die Seite „My Dashboard“ weitergeleitet. Dort sehen Sie Ihren eingereichten Antrag.

Um fortzufahren, müssen Sie Ihre E-Mail-Adresse verifizieren. Sie erhalten eine E-Mail von HARICA an Ihre Hochschul-E-Mail-Adresse. Öffnen Sie die E-Mail. Klicken Sie nicht auf „Confirm“ (Confirm funktionert nicht zuverlässig), sondern kopieren Sie den Link unter „Copy the confirmation link below“. Fügen Sie diesen Link in einen neuen Browser-Tab ein und drücken Sie Enter.

Sie gelangen auf die Verifizierungsseite. Klicken Sie dort auf „Confirm“, damit Ihre E-Mail-Adresse verifiziert wird.

Gehen Sie erneut auf das HARICA-Dashboard. Unter „Actions“ finden Sie den Button „Email your Certificate“. Klicken Sie darauf.

Nun müssen Sie ein Passwort für Ihr Zertifikat festlegen. Aber bitte beachten Sie, das Passwort darf nicht identisch mit Ihrem Hochschulpasswort sein. Notieren Sie sich dieses Passwort sorgfältig. Sie benötigen es später z. B. zum Sperren, Verlängern Ihres Zertifikats oder beim Einspielen des Zertifikates in Ihren E-Mail-Klienten.
Nachdem Sie das Passwort eingegeben haben, bestätigen Sie die Hinweise durch Setzen des Hakens und klicken Sie auf „Enroll Certificate“.

Es erscheint eine Bestätigung, dass Ihr Zertifikat erfolgreich erstellt wurde. Klicken Sie nun auf „Download“, um das Zertifikat herunterzuladen.

Hinweis: Dies ist die einzige Gelegenheit zum Download Ihres Zertifikats zusammen mit dem privaten Schlüssel. Der private Schlüssel wird nicht auf den Servern von Harica gespeichert. Sie haben später keine Möglichkeit mehr, den privaten Schlüssel des Zertifikats zu erhalten.

Benennen Sie die Zertifikatdatei nach Ihrem Wunsch um. Wir empfehlen folgende Form: <JJJJ-MM-TT>_Zertifikat_<Vorname_Nachname>.p12

Einige Einrichtungen setzen voraus, dass die E-Mail-Kommunikation (auch mit Funktions-E-Mail-Adressen, wie rechnungen@) verschlüsselt ablaufen muss.

Da die Funktions-E-Mail-Adresse von mehren Personen benutzt wird, muss bei einer Beantragung eines Zertifikats für diese Funktions-E-Mail-Adresse eine hauptverantwortliche Person genannt werden.

Diese Person ist dafür zuständig, dass alle für dieses Funktions-E-Mail-Zertifikat erforderlichen Regeln und Vorschriften eingehalten werden (z. B. Wahrung der Integrität des Zertifikats, Schutz des privaten Schlüssels). Das beinhaltet z.B. auch die sichere Übergabe an Dritte und die evtl. Sperrung. Die hauptverantwortliche Person legt bei Harica einen Account für die Funktions-E-Mail-Adresse an. Die Ansprechperson muss Beschäftigter/Beschäftigte der TH-Mannheim sein.

Wenn eine Person, an die das Zertifikat weitergegeben wurde, nicht mehr berechtigt ist, das Zertifikat zu nutzen (z.B. wegen eines Tätigkeitswechsels), muss das Zertifikat gesperrt und ein neues Zertifikat ausgestellt und verteilt werden.

Hinweis: Wenn Sie Daten/E-Mails verschlüsseln, sind bei Verlust des privaten Schlüssels alle diese verschlüsselten Inhalte verloren. Bedenken Sie bei dienstlichen Daten auch, dass Dritte keinen Zugriff auf verschlüsselte Inhalte bekommen können. Speziell bei Funktionspostfächern kann das zu Problemen führen, wenn die Verantwortlichkeit wechselt.

Die Voraussetzung ist, eine Funktions-E-Mail-Adresse existiert.

Die entsprechende Anleitung finden Sie weiter unten.

Um ein Funktionsmail-Zertifikat zu erstellen, müssen Sie dieses über HARICA beantragen.
Öffnen Sie die Seite und klicken Sie auf „Sign Up“.

Hier muss die hauptverantwortlichen Person ihre Informationen eingeben.
Wichtig: Verwenden Sie nicht das Passwort Ihrer E-Mail-Adresse, sondern vergeben Sie ein neues Passwort.

Sie erhalten eine E-Mail an die Adresse, die Sie beim „Sign Up“ angegeben haben.
Öffnen Sie diese E-Mail und klicken Sie auf „Confirm email“, um Ihren Account zu aktivieren.

Sie werden auf die Aktivierungsseite weitergeleitet.
Klicken Sie dort auf „Activate“.

Anschließend erscheint die Meldung „Your account has been activated“.
Klicken Sie auf „Go to login page“.

Melden Sie sich nun mit Ihrer E-Mail-Adresse und dem Passwort, das Sie beim Registrieren festgelegt haben, an.

Sie befinden sich nun auf der Seite „My Dashboard“.
Klicken Sie auf das Burger-Menü und wählen Sie „Email“ aus.

Harica unterstützt keine Sonderzeichen oder Akzente etc. in den Namensfeldern. Eingabe von weiteren Sonderzeichen oder mehreren Wörtern ist nicht erlaubt. Namen müssen transkribiert werden (z. B. "Jürgen Müller" wird zu "Juergen Mueller").

Sie können sich Ihre Zertifikate jederzeit ansehen und die Ablaufzeiten kontrollieren, um rechtzeitig einen neuen Antrag zu stellen. Hierzu loggen Sie sich, wie beschrieben bei Harica ein.

Das Verlängern ist nicht möglich. Es ist immer eine Neu-Beantragung.

Ein Zertifikat sollte in folgenden Fällen widerrufen werden:

Wenn Ihr Account kompromittiert wurde (z. B. durch einen Hackerangriff).
Wenn Sie nicht mehr an der Hochschule tätig sind.
Wenn sich Ihr Name geändert hat.

Uhter Ihr Dashboard bei HARICA sehen Sie
unter „Valid Certificates“ Ihre ausgestellten Zertifikate.
Neben Ihrem Zertifikat befindet sich ein Download-Symbol.
Klicken Sie daneben auf die drei Punkte (⋮) und wählen Sie „Revoke“ aus.

Es öffnet sich ein Pop-up-Fenster mit dem Namen „Certificate“.
Wählen Sie unter „Revocation reason“ den Grund aus, warum Sie das Zertifikat widerrufen möchten, und klicken Sie anschließend auf „Revoke“.

Ihr Zertifikat wurde nun erfolgreich widerrufen und ist nicht mehr gültig.
Hinweis: Sorgen Sie dafür, dass Sie Ihre Zertifikate aus Ihrem E-Mail-Klienten entfernen.

Zur Bestätigung erhalten Sie eine E-Mail vom Harica, dass Ihr Zertifikat widerrufen wurde

Email-Only
Dieses Zertifikat enthält nur E-Mail-Adressen. Es dient dazu, E-Mails zu signieren und zu verschlüsseln und ist für die meisten Nutzer (Mitarbeitende und Professoren/innen) geeignet. Auch für Funktions-E-Mail-Adressen ist dieses Zertifikat-Typ möglich. Die Ausstellung funktioniert vollautomatisch ohne Aktionen der Campus IT.
For enterprises or organizations (IV+OV)
Diese Variante enthält im Zertifikat neben Vor- und Nachname noch zusätzliche Identitätsprüfungen (Identity Validation / Organization Validation) und werden z. B. für offizielle oder zentrale E-Mail-Adressen verwendet. Für dieses Zertifikat ist ein Upload Ihres Personalausweises nach Griechenland zu Harica notwendig! Das Personalausweisgesetz erlaubt das Ablichten nur mit Zustimmung des Inhabers. Es wird empfohlen, nicht zwingend erforderliche Daten auf dem Ausweis zu schwärzen.

Wichtiger Hinweis:
Wenn Sie ein Zertifikat vom Typ „For enterprises or organizations (IV+OV)“ benötigen, müssen Sie hierfür ein Ticket über support.cit@th-mannheim.de erstellen. Wir bekommen keine Informationen, wenn Zertifikate beantragt werden!

Um die Identität gegenüber HARICA nachzuweisen (z. B. für ein S/MIME-Zertifikat), müssen folgende Daten lesbar bleiben: Es ist ratsam, die Kopie deutlich als solche zu markieren, z. B. durch einen halbtransparenten Schriftzug „Kopie für HARICA-Zertifikat“.

Vor- und Nachname
Geburtsdatum
Anschrift
Gültigkeitsdatum des Ausweises
Lichtbild (zur Identifikation der Person)

Folgende Daten sollten geschwärzt werden:

Zugangsnummer (CAN): Die sechsstellige Nummer rechts unten auf der Vorderseite.
Maschinenlesbare Zone (MRZ): Der Textblock auf der Rückseite.
Biometrische Daten: Augenfarbe und Körpergröße.
Religionszugehörigkeit/Ordensname (falls vorhanden).

Unsere Informationspflichten nach Art. 14 DSGVO

Einbinden von Zertifikaten

Nutzer-Zertfikate im E-Mailklient installieren

Wer kann E-Mail Zertfikate beantragen?

Alle Beschäftigten der Hochschule Mannheim mit einer Mailadresse in der Form @th-mannheim.de.

Zertifikat läuft aus/ist abgelaufen

Eine Erneuerung gibt es nicht. Sie müssen ein neues Zertifikat beantragen. Sie können jederzeit ein neues Zertifikat beantragen, auch wenn es nicht abgelaufen ist.

Beachten Sie den Hinweis zu den abgelaufenen Zertifikaten!

Umlaute und Akzente

Verwenden Sie keine Umlaute in den Zertifikaten - auch nicht bei Baden-Württemberg (dann Wuerttemberg) und auch keine Akzente (é, è, à, ç, z.B. André). Namen sollten nur einen Vornamen beinhalten. Bei IV/OV Zertifikaten müssen die Namen wie auf dem Ausweis eingetragen werden!

Vergessene Passwörter/abgelaufene Zertifikate

Ein vergessenes Passwort kann weder durch uns, noch durch HARICA zurück gesetzt werden. Mit einem Zertifikat verschlüsselte E-Mails können auf einem anderen Endgerät nur dann gelesen werden, wenn das Zertifikat dort installiert wurde. Zertifikate sind nur für 2 Jahre gültig. Wenn Sie das alte Zertifikat löschen, können Sie keine E-Mails mehr lesen, die mit diesem verschlüsselt wurden. Gleiches gilt für ein vergessenes Passwort für ein Zertifikat.

Sollte ihr Zertifikat abgelaufen sein, so dürfen Sie es nicht löschen. Alte signierte und verschlüsselte E-Mails können nur mit dem alten Zertifikat gelesen werden. Manche Mailklienten lassen nur ein eingebundenes Zertifikat zu.

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ref	Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern.	6 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo
_pk_cvar	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo

Name	Zweck	Ablauf	Typ	Anbieter
__cf_bm	Wird benötigt, um Vimeo-Inhalte zu sehen.	1 Jahr	HTTP	Vimeo
OptanonAlertBoxClosed	Speichert Ihre Zustimmung zum Vimeo-Datenschutz.	1 Jahr	HTML	Vimeo
OptanonConsent	Speichert Ihre Zustimmung zum Vimeo-Datenschutz.	1 Jahr	HTML	Vimeo
player	Dieses Cookie speichert Ihre Einstellungen, bevor Sie ein eingebettetes Vimeo-Video abspielen. Dadurch bekommen Sie beim nächsten Mal, wenn Sie ein Vimeo-Video ansehen, wieder Ihre bevorzugten Einstellungen.	1 Jahr	HTML	Vimeo
vuid	Dieses Cookie sammelt Informationen über Ihre Handlungen auf Webseiten, die ein Vimeo-Video eingebettet haben.	2 Jahre	HTML	Vimeo
_abexps	Dieses Vimeo-Cookie hilft Vimeo, sich an die von Ihnen getroffenen Einstellungen zu erinnern. Dabei kann es sich zum Beispiel um eine voreingestellte Sprache, um eine Region oder einen Benutzernamen handeln. Im Allgemeinen speichert das Cookie Daten darüber, wie Sie Vimeo verwenden.	1 Jahr	HTML	Vimeo
continuous_play_v3	Bei diesem Cookie handelt es sich um ein Erstanbieter-Cookie von Vimeo. Das Cookie sammelt Informationen wie Sie das Vimeo-Service verwenden. Beispielsweise speichert das Cookie, wann Sie ein Video pausieren bzw. wieder abspielen.	2 Jahre	HTML	Vimeo
YouTube	Es wird eine Verbindung mit YouTube hergestellt, um Videos anzuzeigen.	keine	Verbindung	YouTube

Beantragung von Nutzerzertifikaten (Signieren und Verschlüsseln von E-Mails)

FAQ

Wozu soll ich meine Mails verschlüsseln oder signieren?

Einbinden eines Nutzerzertifikats

Nutzerzertifikat beantragen - Bildstrecke

Funktionsmail-Zertifikat beantragen

Achtung bei Sonderzeichen oder mehreren Wörter

Administration der eigenen Zertifikate

Verlängern eines Zertifikats?

Zertifikat widerrufen

Unterschied zwischen „Email-Only“ und „(IV+OV)“

Personalausweisupload bei IV/OV Zertifikaten

Einbinden von Zertifikaten

Wer kann E-Mail Zertfikate beantragen?

Zertifikat läuft aus/ist abgelaufen

Umlaute und Akzente

Vergessene Passwörter/abgelaufene Zertifikate

Kontakt