LUIS Services Anwendungen SAP Smartcard
Beantragung eines SAP-Zertifikates über die neue Portal-Software

Beantragung eines SAP-Zertifikates über die neue Portal-Software

Der neue Beantragungsweg für SAP-Smartcards ist seit Mitte April 2024 im Testbetrieb online

Dieser neue Beantragungsweg  über ein PKI-Portal  steht noch nicht vollumfänglich mit allen Funktionen zur Verfügung, wurde aber trotz dieses Umstandes schon vorab in Betrieb genommen. Der Grund für diese Entscheidung war der dringende Bedarf an SAP-Smartcards in einzelnen Hochschulen. Das Beantragen und Ausstellen von SAP-Smartcards ist mit der neuen Software schon möglich.

Einige der  am SAP-Projekt teilnehmenden  Hochschulen stellen schon produktiv SAP-Smartcards aus. Bei Rückfragen zum Stand der Inbetriebnahme in Ihrer Hochschule  wenden Sie sich bitte an die Ihnen bekannten SAP-Ansprechpersonen in Ihrer Hochschule.

Die folgenden Inhalte sind größtenteils noch im Entwurfstadium

Die  Veröffentlichung erfolgt, um so zeitnah wie möglich die schon bereitstehenden Informationen zur Verfügung stellen zu können. Die bisher schon vorhandenen Dokumentations-Entwürfe werden hier auf dieser Seite veröffentlicht und sukzessive erweitert und angepasst.

  • Diese Websseite ist noch nicht vollständig und noch im Wandel.
  • Einige Arbeitsabläufe sind noch genauer festzulegen und zu beschreiben oder können sich auch noch im Lauf der nächsten Wochen ändern.
  • Manche Notwendigkeiten ergeben sich auch erst noch während dieser ersten Phase der Vorab-Inbetriebnahme, die noch als Teil der eigentlich geplanten Testphase  zu betrachten ist

Voraussetzung: Datenschutz & Nutzungsbedingungen

Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis zur Kenntnis und akzeptieren die Nutzungsbedingungen und Regelungen für Zertifikatinhabende, zu deren Einhaltung Sie als Inhaber*in einer SAP-Smartcard mit darauf enthaltenem Zertifikat verpflichtet sind. 


Beantragungsprozess

Schritt 1: Karte erhalten

Um ein SAP-Zertifikat beantragen zu können, muss Ihre Person zuerst als Datensatz in der neuen Portalsoftware angelegt und Ihnen eine Smartcard zugeordnet werden. Diese SAP-Smartcard erhalten Sie anschließend von Ihrer SAP-Ansprechperson in  Ihrer Hochschule. Wie die Übermittlung der Smartcard stattfindet, wird in jeder Hochschule selbstständig geregelt und Sie werden entsprechend informiert werden. Erst wenn Sie diese Karte erhalten haben, können Sie sich damit am Smartcard-Portal anmelden und ein SAP-Zertifikat beantragen.

Hinweis: Sobald Ihr Datensatz im Portal angelegt und diesem Personen-Datensatz  eine Smartcard zugeordnet wird, erfolgt automatisch die Versendung einer E-Mail, die einen Activation Code enthält. Dieser Activation Code wird später benötigt, um sich mit der Ihnen übergebenen Smartcard am Portal anzumelden.

Sollten Sie eine folgende E-Mail erhalten:

  • Absender: do-not-reply@smartcard.ccc.uni-hannover.de
  • Betreff: PKIaaS Activation Code

löschen Sie diese nicht. Den enthaltenen Activation Code benötigen Sie, sobald Ihnen Ihre Smartcard von der verantwortlichen Person Ihrer Hochschule übergeben wurde. Alle weiteren Informationen werden Sie dann ebenfalls in Ihrer Hochschule erhalten.

Schritt 2: Zertifikat beantragen

Bei der Zertifikatsbeantragung wird Sie eine SAP-Ansprechperson in Ihrer Hochschule begleiten und unterstützen.

Die Beantragungsseite kann nur aus den Rechnernetzen der beteiligten Hochschulen erreicht werden, d.h. von Ihrem Arbeitsplatz in der Hochschule aus oder via VPN.

Nach der Vorgenehmigung Ihres SAP-Zertifikatantrages in Ihrer Hochschule erhalten Sie eine Mail mit einem PDF im Anhang,  dieses PDF enthält Ihren  SAP-Zertifikatantrag und einen Postident-Coupon.

Sie müssen den Antrag nicht ausdrucken, das PDF wird im weiteren Verlauf der Beantragung nur noch als Anhang einer Mail versendet.

Es kann passieren, dass Sie die Mail  mit dem Antrags-PDF nicht erhalten, entweder 

  • durch einen technischen Fehler oder
  • die vorgenehmigende Person hat vergessen, das Versenden des  Antrags-PDFs zu initiieren.

Alternativ kann  dann auch die DFN-Antragsquittung als Antrags-PDF verwendet werden. Dazu muss jedoch durch einen Key-User Ihrer Hochschule Kontakt zur RA in Hannover aufgenommen werden, damit wir die DFN-Antragsquittung an Ihre Hochschule übermitteln können. Bitte kontaktieren Sie in solch einem Fall Ihre  SAP-Ansprechperson, damit diese umgehend Kontakt zu uns aufnehmen kann, da  die Möglichkeit zum Download der Antragsquittung nicht unbegrenzt lange zur Verfügung steht.

Gegebenenfalls  muss der Antrag abgelehnt und neu gestellt werden.

 

  • Hinweise zum Ausfüllen der Felder

    Folgen Sie den Anweisungen im Browser und füllen Sie die geforderten Felder korrekt aus. Diese sind u.A.:

    • mindestens ein Vorname und der Nachname, so wie er im Ausweis steht,
    • akademische Titel nur wenn sie auch im Ausweis eingetragen sind
    • ersetzen Sie gegebenenfalls die vorgegebene Hochschul-Adresse durch Ihrer dienstliche Adresse, falls diese nicht übereinstimmen.
    • Die Felder  Telefonnummer und Abteilung sind Pflichtfelder, das Feld Abteilungskürzel kann leer bleiben.
    • Vergeben Sie sich eine Sperr-Pin. Mit dieser Sperrpin können Sie bei Bedarf Ihr Zertifikat sperren. Verwechseln die die Sperr-Pin des Zertifikates später nicht  mit der Pin für Ihre Smartcard.

    Nach dem Ausfüllen speichern Sie die eingegebenen Daten mit Klick auf "Speichern". Kontrollieren Sie noch einmal alles auf Richtigkeit und reichen den Antrag mit Klick auf "einreichen" ein.

    Anschließend lösen Sie mit Klick auf "Generate Request on Token" die Erzeugung eines Schlüsselpaares auf Ihrer Smartcard aus.

    Die Smartcard muss dazu im Reader stecken

    Sie müssen dann die Pin Ihrer Smartcard eingeben, da auf die Karte geschrieben werden soll. Bitte beachten Sie: Sie müssen die Pin der Smartcard eingeben und nicht die eben vergebene Sperr-Pin für das Zertifikat.

    Die Erzeugung des Schlüsselpaares kann eine bis mehrere Minuten in Anspruch nehmen, während dessen erscheint die Meldung: Smart card access in progress.  Ihr Reader blinkt, da Zugriffe auf die Karte stattfinden.

    Bitte warten Sie den Abschluss des Prozesses ab, es escheint dann wieder das Zertifikat-Beantragungs-Formular.

  • Hinweis für Smartcards mit Gruppenzertifikaten

    Für die Beantragung von Smartcards mit Gruppenzertifikaten (z.B. für Notfallkarten, Schulungen oder Wirtschaftsprüfer, also Karten für mehr als eine einzelne Person) gelten Besonderheiten.

    Für diese Karten muss der DN des Zertifikates geändert werden, dies muss durch eine für die Antragsvorgenehmigung berechtigte Person Ihrer Hochschule  - meist KeyUser - geschehen. In der Regel beantragen auch nur diese Personen SAP-Gruppenzertifikate. Sollten auch Sie eine Smartcard mit Gruppenzertifikat benötigen, aber die  erforderliche Berechtigung nicht haben, nehmen Sie vor der Antragstellung Kontakt zu Ihren SAP-Ansprechpersonen auf. Der Common Name (CN) des Distinguished Name (DN) des Antrages muss vor der Vorgenehmigung editiert werden und Sie müssen sich mit den zum Editieren berechtigten Personen absprechen, was dort im Zertifikat eingetragen werden soll.

    Erläuterung: Für ein persönliches Zertifikat hat das Feld ""Distinguished Name"  im Zertifikatantrag - und später im Zertifikat - folgenden Aufbau:

    C=DE,ST=Niedersachsen,L=Hannover,O=Leibniz Universitaet Hannover,OU=ERP-Hochschulkürzel,CN=PN - Vorname  Nachname (Hashwert)

    Für ein Gruppenzertifikat muss der CN-Teil angepasst werden :  Ansstatt

    • "CN=PN - Vorname  Nachname (Hashwert)" muss der CN folgendermaßen lauten:
    • "CN=GRP - Funktionsname Hochschulkürzel"
    • PN ist die Kennzeichnung für ein Pseudonym-Zertifikat
    • GRP ist die Kennzeichnung für ein Gruppen-Zertifikat
    • Der Funktionsname sollte eine Bezeichnung sein, die auf den Einsatzzweck des Zertifikates  schließen lässt, z.b.
      • CN=GRP - Sekretariat Institut A Hochschulkürzel für eine Mailadresse sekretariat@inst-a.hochschule.de
      • CN= GRP - Wirtschaftsprüfer01 Hochschulkürzel für die erste von vllt. drei Smartcards gür Wirtschaftsprüfer

     


Schritt 3: Identitätsfeststellung

Um Ihr Zertifikat genehmigen zu können, ist einmalig eine Identitätsfeststellung notwendig. Dafür gibt es je nach Voraussetzung und Hochschule unterschiedliche  Möglichkeiten. Die Person Ihrer Hochschule, die die Vorgenehmigung durchführt, wird dieses Verfahren festlegen. Im Bemerkungs-Feld Ihres Antrags-Requestes (einzusehen durch eine Anmeldung am Portal) hinterlässt die vorgenehmigende Person  Ihrer Hochschule, welches  Identifikationsverfahren für Sie notwendig ist.  Wollen Sie aus einem wichtigen Grunde ein anderes Identifikationsverfahren wählen, so sollten Sie das mit Ihrer SAP-Betreuungsperson absprechen.

Folgende Möglichkeiten der Identifizierung stehen zur Verfügung:

  • 1. Digital signierte Mail

    Bei Vorhandensein eines gültigen Nutzerzertifikates ist keine erneute Identifizierung notwendig. Das Einsenden einer signierten Mail ist ausreichend, um die Identität zu belegen.

    • Ablauf der Identifizierung bei Vorhandensein eines gültigen Nutzerzertifikates
      • Senden Sie eine mit Ihrem persönlichen Zertifikat digital signierte Mail an identifizierung@ca.uni-hannover.de, das  Antrags-PDF fügen Sie als  Anhang dieser Mail bei.
      • Der Betreff der Mail muss lauten: SAP-Smartcard, Vorname Nachname, Universitätskürzel
  • 2. Postident

    Sie erhalten zusammen mit dem Zertifikatsantrag per Mail auch einen PostIdent-Coupon, mit dem Sie zu einem PostIdent durchführenden Postamt gehen. Dort zeigen Sie Ihren Ausweis und den Coupon vor.

    • Weiterer Ablauf bei der Postident-Identifizierung:
      • Nach der Durchführung von Postident senden Sie eine unsignierte Mail an identifizierung@ca.uni-hannover.de, das  Antrags-PDF fügen Sie als  Anhang dieser Mail bei
      • Der Betreff der Mail muss lauten: SAP-Smartcard, Vorname Nachname, Universitätskürzel, Postident durchgeführt
      • In den Mailtext bitte eintragen, dass Postident durchgeführt wurde inkl. Vorname, Name , E-Mail und Identifikationsdatum.
  • 3. Identifizierung vor Ort in Ihrer Hochschule (nicht in allen Hochschulen möglich)

    Einige Hochschulen bieten eine Identifizierung vor Ort in der eigenen Hochschule an, das jeweilige Verfahren  wird in der Hochschule kommuniziert. Für weitere Informationen treten Sie mit Ihrem SAP-Basis-Support in Kontakt.

    Das genaue Verfahren der Identifizierung kann jede Hochschule selbst festlegen, es sind nur einige Regelungen zu beachten.

    Notwendige Maßnahmen bei einer  Identifizierung vor Ort in Ihrer Hochschule

    1. Wir benötigen Ihr Antrags-PDF und eine "offizielle" Bestätigung und Dokumentation der durchgeführten Identifizierung
      1. Das PDF versenden Sie im Anhang einer Mail :
        • Der Betreff der Mail lautet: SAP-Smartcard:  Vorname Nachname,  Vor Ort Identifikation (Hochschulkürzel)
        • Der Versand erfolgt entweder direkt an identifizierung@ca.uni-hannover.de
        • Oder der Versand erfolgt alternativ an die Person in Ihrer Hochschule, die Ihre Identifizierung bestätigt, oder diese vielleicht sogar direkt durchführt. Diese Person leitet Ihre Mail dann digital signiert und mit der Bestätigung dass Ihre Identifizierung korrekt erfolgt ist, an uns weiter.
        • Wohin Sie diese Mail senden, wird in Ihrer Hochschule festgelegt.
      2. Sobald Sie sich vor Ort den Bestimmungen Ihrer Hochschule entsprechend identifiziert haben und sowohl Antrags-PDF als auch die Identifizierungsbestätigung der vorgenehmigenden Person Ihrer Hochschule bei uns eingegangen ist, kann Ihr Zertifikat ausgestellt werden. Wie es dann weiter geht, erfahren Sie unter Schritt 4: Zertifikat abholen im nächsten Abschnitt.  


    Allgemeine Anmerkungen zur Identifizierung vor Ort in Ihrer Hochschule

    • Entweder führt  die vorgenehmigende Person die Identifizierung gleich selbst durch, dann kann die Bestätigungsmail direkt versendet und die Bemerkung im  Beantragungs-Request  gleich bei der Vorgenehmigung eingetragen werden.
    • Oder Sie müssen innerhalb Ihrer Hochschule noch zu einer anderen Stelle gehen, um dort Ihren Ausweis zu zeigen. Anschließend muss die Information über die korrekt erfolgte Identifizierung zwischen den verantwortlichen  vorgenehmigenden Personen und der identifizierenden Stelle ausgetauscht werden. Dann erst kann die Bestätigung beim Request eingetragen, die Mail versendet  und der Zertifikats-Request an die RA in Hannover weitergeleitet werden.
    • Sie werden in  Ihrer Hochschule durch Informationen auf einer Webseite oder über direkte Ansprache informiert, wie es sich bei Ihnen vor Ort jeweils verhält. Sie können sich auch proaktiv an den SAP-Basis-Support in Ihrer Hochschule wenden.
  • 3a. Hinweise an vorgenehmigende Personen bei Hochschulinterner Identifizierung

    Zur Dokumentation der Identifizierung benötigen wir:

    1. Eine Anmerkung  von Ihnen  im Bemerkungsfeld des Beantragungs-Request, dass die Identifizierung durchgeführt wurde.
    2. Ergänzend eine von Ihnen signierte Mail an identifizierung@ca.uni-hannover.de
      • Mailtext: Persönliche Identifizierung von Vorname Nachname, Email-Adresse wurde hochschulintern am dd.mm.yy durchgeführt 
      • Betreff: SAP-Smarcard:  Vorname Nachname,  Vor Ort Identifikation (Hochschulkürzel)
      • Bei den Daten im Betreff und Mailtext handelt es sich um Name & Mailadresse der identifizierten Person.
      • Sollten Sie das Antragas-PDF per Mail erhalten haben, können Sie diese Mail um den oben vorgeschlagenen Mailtext erweitern und diese Mail dann digital signiert an identifizierung@ca.uni-hannover.de weiterleiten.
    • Sollten Sie die Identifizierung  selbst durchführen, dann kann die Bestätigungsmail direkt versendet bzw. weitergeleitet und die Bemerkung im  Beantragungs-Request  gleich bei der Vorgenehmigung eingetragen werden.
    • Sollten Sie die Identifizierung  innerhalb Ihrer Hochschule an einer anderen Stelle stattfinden,  muss die Information über die korrekt erfolgte Identifizierung zwischen Ihnen als vorgenehmigender Person und der identifizierenden Stelle ausgetauscht werden. Dann erst kann die Bestätigung beim Request eingetragen, die Mail versendet  und der Zertifikats-Request an die RA in Hannover weitergeleitet werden.

Schritt 4: Zertifikat abholen

Sobald der Request von der verantwortlichen vorgenehmigendenPerson der Hochschule an die RA weitergeleitet wurde und alle  Mails wie oben beschrieben korrekt eingegangen sind, bzw. die in der Hochschule stattgefundene Identifikation im Bemerkungsfeld des Requests bestätigt wurde, kann der Zertifikatsantrag genehmigt werden.

Sie erhalten dann anhand einer Mail vom DFN die Information, dass Ihr Zertifikat ausgestellt wurde und Sie können sich im Portal anmelden und das Zertifikat auf Ihre Karte laden: Nach der Anmeldung auf dem Home-Bildschirm den Request anklicken und dann unten "Store Certificate on Token " anklicken. Die Smartcard  muss dazu in den Reader gesteckt sein, Sie müssen auch wieder Ihre Pin eingeben.


Akkreditierung von Trustcenter-Managern

Dieser Abschnitt enthält vorläufig gültige Regelungen, die noch nicht abschließend verabschiedet sind und sich noch ändern können. Die Regelungen beschreiben die Möglichkeit, Trustcenter-Manager der einzelnen Hochschulen für die Übernahme von Identifizierungsaufgaben zu akkreditieren. Diese Identifizierungsaufgaben beziehen sich  auf den SAP-Zuständigkeitsbereicht Trustcenter-Manager bezüglich der Ausstellung von Nutzerzertifikaten der DFN-Community-PKI auf Smartcards.

  • Benannte Personen dürfen gegenüber Mitarbeitenden der Zertifizierungsstelle im LUIS die in der eigenen Hochschule korrekt erfolgte persönliche Identifizierung einer ein Zertifikat beantragenden Person bestätigen.
  • Ausschließlich von Trustcenter-Managern der jeweiligen Hochschulen wird diese Bestätigung von Mitarbeitenden der Zertifizierungsstelle im LUIS anerkannt.
  • Ob die Trustcenter-Manager der jeweiligen Hochschulen diese Identifizierung selbst vorgenommen hat, oder ob diese von geeigneten weiteren Stellen innerhalb der Hochschule vorgenommen wurden, ist für die Zertifizierungsstelle im LUIS nicht relevant, die Verantwortung für die korrekte Ausführung der Identifikatipon liegt in den Händen der Hochschule.
  • Die mit Identifizierungsaufgaben in Hochschulen betrauten Trustcenter-Managern können die Identifizierung entweder selbst vornehmen oder müssen sich in der Hochschule über geeignete zuverlässige Wege informieren/müssen informiert werden, dass eine  korrekt erfolgte Identifizierung stattgefunden hat.
  • Die Akkreditierung der Trustcenter-Manager zur Ausführung von Vor-Ort-Identifizierngsaufgaben erfolgt anhand einer signierten E-Mail eines weisungsbefugten Vorgesetzten .
    • Die Mail wird versendet an: akkreditierung@ca.uni-hannover.de
    • Der Betreff der Mail muss lauten:  Akkreditierung für persönliche Identifikation für Nutzerzertifikate auf einer SAP-Smartcard, Universitätskürzel
    • Im Mailtext sollte folgender oder inhaltlich gleichbedeutender Text stehen:
      • Hiermit akkreditiere ich die im <Hochschulkürzel>-Trustsenter der SAP-Smartcard-Portalsoftware aktiven Trustcenter-Manager zur Ausübung von Identifizierungsaufgaben für die Hochschule <Hochschulname>.
  • Die Bestätigung einer erfolgten Identifizierung erfolgt zweistufg durch den einen Request bearbeitenden Trustcenter-Manager.
    • 1. Entragung einer entsprechenden Bemerkung im Portal, versehen mit Identifizierungsdatum, aktuellem Datum und Namenskürzel.
    • 2. Versenden einder signierten Mail an identifizierung@ca.uni-hannover.de
      • Der Betreff der Mail lautet:
      •  Im Mailtext steht .... (wird vervollständigt)
      • Im Anhang der Mail das Antrags-PDF  (muss von der beantragenden Person an den jeweiligen Trustenter-Manager übermittelt werden)

Downloadbereich

Informationen und Tools für KeyUser


Kontakt

Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.