LUIS Services Anwendungen SAP Smartcard
Beantragung: Smartcard & Zertifikat

Beantragung einer SAP-Smartcard mit Zertifikat

Neuer Beantragungsweg für SAP-Smartcards

Der neue Beantragungsweg  für SAP-Smartcards ist seit April 2024 in Betrieb. Bei Rückfragen zum Stand der Inbetriebnahme in Ihrer Hochschule wenden Sie sich bitte an die Ihnen bekannten SAP-Ansprechpersonen in Ihrer Hochschule.

Voraussetzung: Datenschutz & Nutzungsbedingungen

Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis und die Hinweise zum Umgang mit der Smartcard zur Kenntnis und akzeptieren die Informationen/Regelungen für Zertifikatinhabende, zu deren Einhaltung Sie als Inhaber*in einer SAP-Smartcard mit darauf enthaltenem Zertifikat verpflichtet sind. 


Beantragungsprozess

Schritt 1: Karte erhalten

Um ein SAP-Zertifikat beantragen zu können, muss Ihre Person zuerst als Datensatz in der neuen Portalsoftware angelegt und Ihnen eine Smartcard zugeordnet werden. Diese SAP-Smartcard erhalten Sie anschließend von Ihrer SAP-Ansprechperson in  Ihrer Hochschule. Wie die Übermittlung der Smartcard stattfindet, wird in jeder Hochschule selbstständig geregelt und Sie werden entsprechend informiert werden. Erst wenn Sie diese Karte erhalten haben, können Sie sich damit am Smartcard-Portal anmelden und ein SAP-Zertifikat beantragen.

Hinweis: Sobald Ihr Datensatz im Portal angelegt und diesem Personen-Datensatz  eine Smartcard zugeordnet wird, erfolgt automatisch die Versendung einer E-Mail, die einen Activation Code enthält. Dieser Activation Code wird später benötigt, um sich mit der Ihnen übergebenen Smartcard am Portal anzumelden.

Sollten Sie eine folgende E-Mail erhalten:

  • Absender: do-not-reply@smartcard.ccc.uni-hannover.de
  • Betreff: PKIaaS Activation Code

löschen Sie diese nicht. Den enthaltenen Activation Code benötigen Sie, sobald Ihnen Ihre Smartcard von der verantwortlichen Person Ihrer Hochschule übergeben wurde. Alle weiteren Informationen werden Sie dann ebenfalls in Ihrer Hochschule erhalten.

Schritt 2: Zertifikat beantragen

Bei der Zertifikatsbeantragung wird Sie eine SAP-Ansprechperson in Ihrer Hochschule begleiten und unterstützen.

Hinweise  zum Ausfüllen der Felder und Weitergabe Ihres Antragsrequests finden Sie dann unter dem Kapitel "Anmelden am Portal und  Zertifikat beantragen " in einem Aufklappmenü .

Die Beantragungsseite kann nur aus den Rechnernetzen der beteiligten Hochschulen erreicht werden, d.h. von Ihrem Arbeitsplatz in der Hochschule aus oder via VPN.

 

Anmelden am Portal und Zertifikat beantragen

Zur Beantragung eines SAP-Zertifikates müssen Sie am Portal angemeldet sein. Das Portal kann nur aus den Rechnernetzen der beteiligten Hochschulen erreicht werden, d.h. von Ihrem Arbeitsplatz in der Hochschule aus oder via VPN. Fragen Sie gegebenenfalls Ihren Systemadministrator oder Ihre SAP-Ansprechpersonen.

Gehen Sie in Ihrem Portal-Startbildschirm  mit der Maus über den Menüpunkt"Home" und warten Sie, bis das Untermenü aufklappt. Wählen Sie  den Punkt "Request SAP Certificate".  Sie erreichen anschließend das Webformular zur Beantragung eines SAP-Zertifikates.

  • Hinweise zum Ausfüllen der Felder

    Folgen Sie den Anweisungen im Browser und füllen Sie die geforderten Felder korrekt aus. Diese sind u.A.:

    • mindestens ein Vorname und der Nachname, so wie er im Ausweis steht. Es sollen nicht alle im Ausweis aufgeführten Namen übernommen werden, der Rufname ist ausreichend.
    • Akademische Titel am besten weglassen, da sie in der Darstellungs-Zuordnung  oft Schwierigkeiten verursachen. Die Angabe eines Titels  ist auch nur zulässig, wenn er im  Ausweis auch eingetragen ist.
    • Ersetzen Sie gegebenenfalls die vorgegebene Hochschul-Adresse durch Ihrer dienstliche Adresse, falls diese nicht übereinstimmen.
    • Die Felder  Telefonnummer und Abteilung sind Pflichtfelder, das Feld Abteilungskürzel kann leer bleiben.
    • Vergeben Sie sich eine Sperr-Pin. Mit dieser Sperrpin können Sie bei Bedarf Ihr Zertifikat sperren. Verwechseln die die Sperr-Pin des Zertifikates später nicht  mit der Pin für Ihre Smartcard.
    • Hinweise zu im Zertifikatsantrag erlaubten Zeichen:
      • a-z A-Z 0-9 ' ( ) , - . / : Leerzeichen
      • Für die Ersetzung deutscher Sonderzeichen gelten folgende Substitutionsregeln:
        Ä -> Ae, Ö -> Oe, Ü -> Ue, ä -> ae, ö -> oe, ü -> ue, ß -> ss, ẞ -> SS
      • Sonderzeichen mit Akzenten verlieren diese.
      • Ansonsten wird eine für das betreffende Zeichen gemeinhin verwendete Schreibweise aus den Zeichen a-z und A-Z so zusammengesetzt, dass der entsprechende Laut entsteht.
      • Quelle https://www.pki.dfn.de/fileadmin/PKI/DFN-Verein_Community_PKI_CPS.pdf
        Abschnitt 3.1.4

    Nach dem Ausfüllen speichern Sie die eingegebenen Daten mit Klick auf "Speichern". Kontrollieren Sie noch einmal alles auf Richtigkeit und reichen den Antrag mit Klick auf "einreichen" ein.

    Anschließend lösen Sie mit Klick auf "Generate Request on Token" die Erzeugung eines Schlüsselpaares auf Ihrer Smartcard aus.

    Die Smartcard muss dazu im Reader stecken

    Sie müssen dann die Pin Ihrer Smartcard eingeben, da auf die Karte geschrieben werden soll. Bitte beachten Sie: Sie müssen die Pin der Smartcard eingeben und nicht die eben vergebene Sperr-Pin für das Zertifikat.

    Die Erzeugung des Schlüsselpaares kann eine bis mehrere Minuten in Anspruch nehmen, während dessen erscheint die Meldung: Smart card access in progress.  Ihr Reader blinkt, da Zugriffe auf die Karte stattfinden.

    Bitte warten Sie den Abschluss des Prozesses ab, es escheint dann wieder das Zertifikat-Beantragungs-Formular.

    Hinweis: Solange Sie dieses "Generate Request on Token" nicht durchgeführt haben, kann der Request nicht finalisiert und weitergereicht werden und die Weiterbearbeitung ihrer Beantragung stockt.

  • Hinweis für Smartcards mit Gruppenzertifikaten

    Für die Beantragung von Smartcards mit Gruppenzertifikaten (z.B. für Notfallkarten, Schulungen oder Wirtschaftsprüfer, also Karten für mehr als eine einzelne Person) gelten Besonderheiten.

    Für diese Karten muss der DN des Zertifikates geändert werden, dies muss durch eine für die Antragsvorgenehmigung berechtigte Person Ihrer Hochschule  - meist KeyUser - geschehen. In der Regel beantragen auch nur diese Personen SAP-Gruppenzertifikate. Sollten auch Sie eine Smartcard mit Gruppenzertifikat benötigen, aber die  erforderliche Berechtigung nicht haben, nehmen Sie vor der Antragstellung Kontakt zu Ihren SAP-Ansprechpersonen auf. Der Common Name (CN) des Distinguished Name (DN) des Antrages muss vor der Vorgenehmigung editiert werden und Sie müssen sich mit den zum Editieren berechtigten Personen absprechen, was dort im Zertifikat eingetragen werden soll.

    Erläuterung: Für ein persönliches Zertifikat hat das Feld ""Distinguished Name"  im Zertifikatantrag - und später im Zertifikat - folgenden Aufbau:

    C=DE,ST=Niedersachsen,L=Hannover,O=Leibniz Universitaet Hannover,OU=ERP-Hochschulkürzel,CN=PN - Vorname  Nachname (Hashwert)

    Für ein Gruppenzertifikat muss der CN-Teil angepasst werden :  Ansstatt

    • "CN=PN - Vorname  Nachname (Hashwert)" muss der CN folgendermaßen lauten:
    • "CN=GRP - Funktionsname Hochschulkürzel"
    • PN ist die Kennzeichnung für ein Pseudonym-Zertifikat
    • GRP ist die Kennzeichnung für ein Gruppen-Zertifikat
    • Der Funktionsname sollte eine Bezeichnung sein, die auf den Einsatzzweck des Zertifikates  schließen lässt, z.b.
      • CN=GRP - Sekretariat Institut A Hochschulkürzel für eine Mailadresse sekretariat@inst-a.hochschule.de
      • CN= GRP - Wirtschaftsprüfer01 Hochschulkürzel für die erste von vllt. drei Smartcards gür Wirtschaftsprüfer

     

Erhalten Ihres Antrags-PDFs

Nach der Vorgenehmigung Ihres SAP-Zertifikatantrages in Ihrer Hochschule erhalten Sie eine Mail mit einem PDF im Anhang,  dieses PDF enthält Ihren  SAP-Zertifikatantrag und einen Postident-Coupon.

Sie müssen den Antrag nicht ausdrucken und unterschreiben, das PDF wird im weiteren Verlauf der Beantragung nur noch als Anhang einer Mail versendet.

Es kann passieren, dass Sie die Mail  mit dem Antrags-PDF nicht erhalten, entweder 

  • durch einen technischen Fehler oder
  • die vorgenehmigende Person hat vergessen, das Versenden des  Antrags-PDFs zu initiieren.

Alternativ kann  dann auch die DFN-Antragsquittung als Antrags-PDF verwendet werden. Dazu muss jedoch durch einen Key-User Ihrer Hochschule Kontakt zur RA in Hannover aufgenommen werden, damit wir die DFN-Antragsquittung an Ihre Hochschule übermitteln können. Bitte kontaktieren Sie in solch einem Fall Ihre  SAP-Ansprechperson, damit diese umgehend Kontakt zu uns aufnehmen kann, da  die Möglichkeit zum Download der Antragsquittung nicht unbegrenzt lange zur Verfügung steht.

Gegebenenfalls  muss der Antrag abgelehnt und neu gestellt werden.

Wenn Sie nach einer in Ihrer Hochschule üblichen normalen Wartezeit das Antrags-PDF nicht zugesendet bekommen, nehmen Sie Kontakt zum SAP-Support Ihrer Hochschule auf, um die Ursache zu emiteln.

Manchmal fehlt noch einSchritt bei Ihrer Beantragung, und das klärt sich dann durch eine Nachfrage.


Schritt 4: Identitätsfeststellung

Um Ihr Zertifikat genehmigen zu können, ist einmalig eine Identitätsfeststellung notwendig. Dafür gibt es je nach Voraussetzung und Hochschule unterschiedliche  Möglichkeiten. Die Person Ihrer Hochschule, die die Vorgenehmigung durchführt, wird dieses Verfahren festlegen. Im Bemerkungs-Feld Ihres Antrags-Requestes (einzusehen durch eine Anmeldung am Portal) hinterlässt die vorgenehmigende Person  Ihrer Hochschule, welches  Identifikationsverfahren für Sie notwendig ist.  Wollen Sie aus einem wichtigen Grunde ein anderes Identifikationsverfahren wählen, so sollten Sie das mit Ihrer SAP-Betreuungsperson absprechen.

Folgende Möglichkeiten der Identifizierung stehen zur Verfügung:

  • 4.1. Digital signierte Mail

    Bei Vorhandensein eines gültigen Nutzerzertifikates ist keine erneute Identifizierung notwendig. Das Einsenden einer signierten Mail ist ausreichend, um die Identität zu belegen.

    • Ablauf der Identifizierung bei Vorhandensein eines gültigen Nutzerzertifikates
      • Senden Sie eine mit Ihrem persönlichen Zertifikat digital signierte Mail an identifizierung@ca.uni-hannover.de, das  Antrags-PDF fügen Sie als  Anhang dieser Mail bei.
      • Der Betreff der Mail muss lauten: SAP-Smartcard, Vorname Nachname, Universitätskürzel
  • 4.2. Postident

    Sie erhalten zusammen mit dem Zertifikatsantrag per Mail auch einen PostIdent-Coupon, mit dem Sie zu einem PostIdent durchführenden Postamt gehen. Dort zeigen Sie Ihren Ausweis und den Coupon vor.

    • Weiterer Ablauf bei der Postident-Identifizierung:
      • Nach der Durchführung von Postident senden Sie eine unsignierte Mail an identifizierung@ca.uni-hannover.de, das  Antrags-PDF fügen Sie als  Anhang dieser Mail bei
      • Der Betreff der Mail muss lauten: SAP-Smartcard, Vorname Nachname, Universitätskürzel, Postident durchgeführt
      • In den Mailtext bitte eintragen, dass Postident durchgeführt wurde inkl. Vorname, Name , E-Mail und Identifikationsdatum.
  • 4.3. Identifizierung vor Ort in Ihrer Hochschule (nicht in allen Hochschulen möglich)

    Einige Hochschulen bieten eine Identifizierung vor Ort in der eigenen Hochschule an, das jeweilige Verfahren  wird in der Hochschule kommuniziert. Für weitere Informationen treten Sie mit Ihrem SAP-Basis-Support in Kontakt.

    Das genaue Verfahren der Identifizierung kann jede Hochschule selbst festlegen, es sind nur einige Regelungen zu beachten.

    Notwendige Maßnahmen bei einer  Identifizierung vor Ort in Ihrer Hochschule

    1. Wir benötigen Ihr Antrags-PDF und eine "offizielle" Bestätigung und Dokumentation der durchgeführten Identifizierung
      1. Das PDF versenden Sie im Anhang einer Mail :
        • Der Betreff der Mail lautet: SAP-Smartcard:  Vorname Nachname,  Vor Ort Identifikation (Hochschulkürzel)
        • Der Versand erfolgt entweder direkt an identifizierung@ca.uni-hannover.de
        • Oder der Versand erfolgt alternativ an die Person in Ihrer Hochschule, die Ihre Identifizierung bestätigt, oder diese vielleicht sogar direkt durchführt. Diese Person leitet Ihre Mail dann digital signiert und mit der Bestätigung dass Ihre Identifizierung korrekt erfolgt ist, an uns weiter.
        • Wohin Sie diese Mail senden, wird in Ihrer Hochschule festgelegt.
      2. Sobald Sie sich vor Ort den Bestimmungen Ihrer Hochschule entsprechend identifiziert haben und sowohl Antrags-PDF als auch die Identifizierungsbestätigung der vorgenehmigenden Person Ihrer Hochschule bei uns eingegangen ist, kann Ihr Zertifikat ausgestellt werden. Wie es dann weiter geht, erfahren Sie unter Schritt 4: Zertifikat abholen im nächsten Abschnitt.  


    Allgemeine Anmerkungen zur Identifizierung vor Ort in Ihrer Hochschule

    • Entweder führt  die vorgenehmigende Person die Identifizierung gleich selbst durch, dann kann die Bestätigungsmail direkt versendet und die Bemerkung im  Beantragungs-Request  gleich bei der Vorgenehmigung eingetragen werden.
    • Oder Sie müssen innerhalb Ihrer Hochschule noch zu einer anderen Stelle gehen, um dort Ihren Ausweis zu zeigen. Anschließend muss die Information über die korrekt erfolgte Identifizierung zwischen den verantwortlichen  vorgenehmigenden Personen und der identifizierenden Stelle ausgetauscht werden. Dann erst kann die Bestätigung beim Request eingetragen, die Mail versendet  und der Zertifikats-Request an die RA in Hannover weitergeleitet werden.
    • Sie werden in  Ihrer Hochschule durch Informationen auf einer Webseite oder über direkte Ansprache informiert, wie es sich bei Ihnen vor Ort jeweils verhält. Sie können sich auch proaktiv an den SAP-Basis-Support in Ihrer Hochschule wenden.
  • 4.3a. Hinweise an vorgenehmigende Personen bei Hochschulinterner Identifizierung

    Zur Dokumentation der Identifizierung benötigen wir:

    1. Eine Anmerkung  von Ihnen  im Bemerkungsfeld des Beantragungs-Request, dass die Identifizierung durchgeführt wurde.
    2. Ergänzend eine von Ihnen signierte Mail an identifizierung@ca.uni-hannover.de
      • Mailtext: Persönliche Identifizierung von Vorname Nachname, Email-Adresse wurde hochschulintern am dd.mm.yy durchgeführt 
      • Betreff: SAP-Smartcard:  Vorname Nachname,  Vor Ort Identifikation (Hochschulkürzel)
      • Bei den Daten im Betreff und Mailtext handelt es sich um Name & Mailadresse der identifizierten Person.
      • Sollten Sie das Antragas-PDF per Mail erhalten haben, können Sie diese Mail um den oben vorgeschlagenen Mailtext erweitern und diese Mail dann digital signiert an identifizierung@ca.uni-hannover.de weiterleiten.
    • Sollten Sie die Identifizierung  selbst durchführen, dann kann die Bestätigungsmail direkt versendet bzw. weitergeleitet und die Bemerkung im  Beantragungs-Request  gleich bei der Vorgenehmigung eingetragen werden.
    • Sollten Sie die Identifizierung  innerhalb Ihrer Hochschule an einer anderen Stelle stattfinden,  muss die Information über die korrekt erfolgte Identifizierung zwischen Ihnen als vorgenehmigender Person und der identifizierenden Stelle ausgetauscht werden. Dann erst kann die Bestätigung beim Request eingetragen, die Mail versendet  und der Zertifikats-Request an die RA in Hannover weitergeleitet werden.

Schritt 5: Zertifikat abholen

Sobald der Request von der verantwortlichen vorgenehmigenden Person der Hochschule an die RA weitergeleitet wurde und alle  Mails wie oben beschrieben korrekt eingegangen sind, bzw. die in der Hochschule stattgefundene Identifikation im Bemerkungsfeld des Requests bestätigt wurde, kann der Zertifikatsantrag genehmigt werden.

Sie erhalten dann anhand einer Mail vom DFN die Information, dass Ihr Zertifikat ausgestellt wurde und Sie können sich im Portal anmelden und das Zertifikat auf Ihre Karte laden: Nach der Anmeldung auf dem Home-Bildschirm den Request anklicken und dann unten "Store Certificate on Token " anklicken. Die Smartcard  muss dazu in den Reader gesteckt sein, Sie müssen auch wieder Ihre Pin eingeben.


Akkreditierung von Trustcenter-Managern für Identifikationsaufgaben

Dieser Abschnitt enthält vorläufig gültige Regelungen, die noch nicht abschließend verabschiedet sind und sich noch ändern können. Die Regelungen beschreiben die Möglichkeit, Trustcenter-Manager der einzelnen Hochschulen für die Übernahme von Identifizierungsaufgaben zu akkreditieren. Diese Identifizierungsaufgaben beziehen sich ausschließlich auf die Ausstellung von Nutzerzertifikaten der DFN-Community-PKI auf Smartcards für den SAP-Zugriff. Sowohl der Akkreditierungsvorgang als auch die Identifizierungsaufgaben werden im Weiteren näher erläutert.

  • Voraussetzungen für eine Akkreditierung
    • Trustcenter-Manager dürfen gegenüber Mitarbeitenden der Zertifizierungsstelle im LUIS die in der eigenen Hochschule korrekt erfolgte persönliche Identifizierung einer ein Zertifikat beantragenden Person bestätigen.
    • Von Mitarbeitenden der Zertifizierungsstelle im LUIS werden solche Bestätigungen ausschließlich von  Trustcenter-Managern der jeweiligen Hochschulen anerkannt.
    •  Ob die Trustcenter-Manager der jeweiligen Hochschulen diese Identifizierung selbst vornehmen, oder ob diese von geeigneten anderen Stellen innerhalb der Hochschule vorgenommen werden, ist für die Zertifizierungsstelle im LUIS nicht relevant, die Verantwortung für die korrekte Ausführung der Identifikation liegt in den Händen der Hochschule.
    • Die mit Identifizierungsaufgaben in Hochschulen betrauten Trustcenter-Manager können die Identifizierung entweder selbst vornehmen oder müssen sich in der Hochschule über geeignete zuverlässige Wege informieren/müssen informiert werden, dass eine  korrekt erfolgte Identifizierung stattgefunden hat.
  • Durchführung der Akkreditierung
    • Die Akkreditierung erfolgt durch eine dafür weisungsbefugte Person der betreffenden Hochschule anhand eines auszufüllenden  Akkreditierungs-PDFs, welches sowohl  von der akkreditierenden als auch von der  akkreditierten Person mit einer digitalen Signatur unterzeichnet wird.
    • Die Akkreditierung  wird übermittelt anhand einer signierten E-Mail der akkreditierten Person .
      • Die Mail wird versendet an: akkreditierung@ca.uni-hannover.de
      • Der Betreff der Mail muss lauten:  Akkreditierung für persönliche Identifikation für Nutzerzertifikate auf einer SAP-Smartcard,  Hochschulkürzel
      • Im Anhang dieser Mail befindet sich das Akkreditierungs-PDF.
  • Durchführung der Identifizierungsaufgabe

    Die Bestätigung  erfolgter Identifizierungen - sowohl  von akkreditierten Trustcenter-Manager selbst durchgeführten,  als auch  an anderer Stelle in der Hochschule durchgeführten Identifizierungen - erfolgt zweistufig durch die jeweiligen, den Antrags-Request bearbeitenden Trustcenter-Manager.

    1.  Eintragung einer entsprechenden Bemerkung im Portal, versehen mit Identifizierungsdatum, aktuellem Datum und Namenskürzel:
      • Identifizierung erfolgt am <Identifikationsdatum> - <Namenskürzel> <aktuelles Datum>      (falls Identifikationsdatum  und aktuelles Datum nicht identisch sind)
    2. Versenden einer signierten Mail an identifizierung@ca.uni-hannover.de
      • Der Betreff der Mail lautet: SAP-Smartcard: Vorname Nachname (der identifizierten Person),  Hochschulkürzel
      •  Im Mailtext steht :
        • Identifikationsdatum: tt.mm.jjjj
      • Der Mail muss das dem Request ensprechende Antrags-PDF als Anhang beigefügt werden.  Das Antrags-PDF muss dazu von der beantragenden Person an den jeweiligen Trustcenter-Manager übermittelt werden.

    Bitte vergessen Sie auch nicht, im Portal das Feld "Identitätsfeststellung" auf  "Hochschulintern (Bitte beachten Sie die Regelungen an Ihrer Hochschule)"  zu setzen.

Downloadbereich

Informationen und Tools für KeyUser


Kontakt

Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.