Zum Beantragen und Einrichten der Remote-Zugänge werden auf dem Klientenrechner folgende Dateien benötigt:

• SCC-Zertifikat (enthält öffentlichen Schlüssel/Public Key) des Klienten (des Benutzers) - siehe unten

• CA-Zertifikate der Zertifizierungsstellen (Certificate Authorities/CAs)

   

  Telekom-Root-Zertifikat → DFN-PCA-Zertifikat → KIT-CA-Zertifikat

  → iravpn-Zertifikat → Ihr Nutzer-Zertifikat

   

Nochmals schematisch dargestellt:

Siehe hierzu auch die Seiten des SCC unter http://www.scc.kit.edu/dienste/kit-ca.php ff.
Insbesondere beschreibt das Dokument http://www.scc.kit.edu/downloads/ism/benutzungsanleitung.pdf   sehr schön die notwendigen Schritte:

• In Kapitel 2 "Beantragung eines Zertifikats" die Unterkapitel "2.1 Nutzerzertifikat" und "2.2 Weitere Angaben" auf den Seiten 4 bis 8 beschreiben die Erstellung Ihres Zertifikatsrequests via Firefox oder Internet Explorer.
• Kapitel 5 "Zusammenführen von Zertifikatsinformationenn" beschreibt in "5.1 Nutzerzertifikate" auf den Seiten 18 u. 19 das Abholen Ihres signierten Public Keys bei der KIT-CA.
• Kapitel 6 "Exportieren von Zertifikaten und geheimen Schlüsseln" ab Seite 22 beschreibt schliesslich den Export aus dem Firefox oder Internet Explorer in eine .p12 -Datei.

Beim Beantragen des Zertifikats ist zu beachten, dass Sie einen Browser benutzen, auf den Sie jederzeit Zugriff haben. Dieser Browser sollte zudem seinen Zertifikatsspeicher durch ein Kennwort schützen können, da sich hier nach dem Ausfüllen des Zertifikatsantrags ihr Private-Key befindet.

• Firefox: Edit -> Preferences -> Privacy -> Change Master Password. Dieses Passwort schützt den Zertifikatssppeicher Ihres Browsers.

• Sie benötigen es um nach dem erfolgreichen Request ihr Zertifkat und den Private-Key aus dem Browser zu exportieren.

Beantragen Sie jetzt ein X509-Zertifikat beim SCC. Dazu stellt man bei der Benutzerzertifizierungsstelle (KIT-CA) einen Antrag (-> Nutzerzertifikat).
Hinweise zum Antragsformular:

• Wir empfehlen, keine alternative E-Mail-Adresse anzugeben.

• Nachdem der Antrag abgesetzt ist, müssen Sie die Seite mit der Bestätigung ausdrucken. Das ist die letzte zusammenfassende Seite auf der unten der "Print"-Knopf vorhanden ist. Mit diesem unterschriebenen Ausdruck erscheinen Sie persönlich bei der RA und lassen Ihre Identität bestätigen (Personalausweis mitbringen!).
  Am Campus Süd ist das derzeit das Service Desk / Bit8000.

• Hinweis: Der letzte Schritt ist unbedingt notwendig - unterbleibt er, bleibt Ihr Zertifikatsrequest unbearbeitet liegen. Die RA schickt obigen Ausdruck an die UNIKA-CA des RZ und bestätigt auf einer entsprechenden Seite die Korrektheit Ihres Antrags.

Nach 2 bis 3  Werktagen erhalten Sie per E-Mail (s.u.) die Bestätigung mit entsprechenden Links zum Download des Zertifikats. Sie müssen jetzt mit demselben Browser (!!!), mit dem sie den Request abgesetzt haben, den Link anwählen um damit das Zertifikat in den Zertifikatsspeicher Ihres Browsers zu importieren. Beim Klick auf den unteren 2. Link passiert scheinbar nichs, er ist aber dennoch notwendig

Sehr geehrte Nutzerin, sehr geehrter Nutzer,
die Bearbeitung Ihres Zertifizierungsantrags ist nun abgeschlossen.
Ihr Zertifikat mit der Seriennummer XXXXXXX ist auf den Namen
CN=Vorname Nachname,OU=INSTITUT,O=Karlsruhe Institute of Technology,C=DE
erstellt worden und im Anhang dieser Mail beigelegt.
Sie benötigen die Seriennummer, um Ihr Zertifikat gegebenenfalls sperren zu können.
Um Ihr Zertifikat nutzen zu können, müssen Sie alle folgenden Zertifikate in
Ihren Browser importieren. Achten Sie darauf, dass Sie die Zertifikate auf dem
Rechner importieren, von dem aus Sie den Antrag gestellt haben, weil sich dort
der zugehörige Schlüssel befindet.
1. Für die CA-Zertifikate wählen Sie bitte die Seite
https://pki.pca.dfn.de:443/kit-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2
und folgen den Anweisungen.
2. Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link:
https://pki.pca.dfn.de:443/kit-ca/cgi-bin/pub/pki?cmd=getcert&key=XXXXXX&type=CERTIFICATE
Mit freundlichen Grüßen
Ihr PKI-Team der Karlsruhe Institute of Technology

Dieses Zertifikat muss nun aus dem Browser in eine p12-Datei exportiert werden:

• Firefox: Edit → Preferences → Advanced → Encryption → Certificates → View Certificates:

  

  Unter einem deutschen Firefox lautet die Klick-Kette: Extras → Einstellingen → Erweitert → Verschlüsselung → Zertifikate anzeigen

  Weiter geht es mit Your Certificates → Zertifikat selektieren → Backup → Dateiname vergeben → Passwort des Browser-Zertifikatsspeichers → Passwort für die .p12-Datei angeben und fertig
  
  

  Unter einem deutschen Firefox lautet dies Ihre Zertifikate → Zertifikat selektieren → Sichern

  Dies erzeugt eine Datei mit der Endung .p12, die Ihren Private Key und Ihr signiertes Zertifikat enthält. Ein Passwort für diese p12-Datei ist sinnvollerweise zu setzen.

• Die .p12-Datei benötigen Sie für die Einrichtung der VPN-Verbindung sowohl unter Linux als auch unter Windows.

• ACHTUNG: Diese Datei enthält Ihren Private-Key, geben Sie sie nicht aus der Hand!

Um Ihr SCC-Zertifikat getrennt in einer Datei zu erhalten, können Sie es entweder von der Seite der KIT-CA aus der Liste der gültigen Zertifikate (Zertifikate -> Zertifikate suchen) herunterladen oder auf einem Linux-/Unix-Rechner mit OpenSSL aus Ihrer .p12-Datei extrahieren:

openssl pkcs12 -in file.p12 -nodes -nokeys -clcerts -out username.pem
Hierbei wird das Passwort der .p12-Datei abgefragt.