Der neue Beantragungsweg für SAP-Smartcards ist seit April 2024 in Betrieb. Bei Rückfragen zum Stand der Inbetriebnahme in Ihrer Hochschule wenden Sie sich bitte an die Ihnen bekannten SAP-Ansprechpersonen in Ihrer Hochschule.
Voraussetzung: Datenschutz & Nutzungsbedingungen
Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis und die Hinweise zum Umgang mit der Smartcard zur Kenntnis und akzeptieren die Informationen/Regelungen für Zertifikatinhabende, zu deren Einhaltung Sie als Inhaber*in einer SAP-Smartcard mit darauf enthaltenem Zertifikat verpflichtet sind.
Beantragungsprozess
Schritt 1: Karte erhalten
Um ein SAP-Zertifikat beantragen zu können, muss Ihre Person zuerst als Datensatz in der neuen Portalsoftware angelegt und Ihnen eine Smartcard zugeordnet werden. Diese SAP-Smartcard erhalten Sie anschließend von Ihrer SAP-Ansprechperson in Ihrer Hochschule. Wie die Übermittlung der Smartcard stattfindet, wird in jeder Hochschule selbstständig geregelt und Sie werden entsprechend informiert werden. Erst wenn Sie diese Karte erhalten haben, können Sie sich damit am Smartcard-Portal anmelden und ein SAP-Zertifikat beantragen.
Hinweis: Sobald Ihr Datensatz im Portal angelegt und diesem Personen-Datensatz eine Smartcard zugeordnet wird, erfolgt automatisch die Versendung einer E-Mail, die einen Activation Code enthält. Dieser Activation Code wird später benötigt, um sich mit der Ihnen übergebenen Smartcard am Portal anzumelden.
Sollten Sie eine folgende E-Mail erhalten:
- Absender: do-not-reply@smartcard.ccc.uni-hannover.de
- Betreff: PKIaaS Activation Code
löschen Sie diese nicht. Den enthaltenen Activation Code benötigen Sie, sobald Ihnen Ihre Smartcard von der verantwortlichen Person Ihrer Hochschule übergeben wurde. Alle weiteren Informationen werden Sie dann ebenfalls in Ihrer Hochschule erhalten.
Schritt 2: Zertifikat beantragen
Bei der Zertifikatsbeantragung wird Sie eine SAP-Ansprechperson in Ihrer Hochschule begleiten und unterstützen.
Hinweise zum Ausfüllen der Felder und Weitergabe Ihres Antragsrequests finden Sie dann unter dem Kapitel "Anmelden am Portal und Zertifikat beantragen " in einem Aufklappmenü .
Die Beantragungsseite kann nur aus den Rechnernetzen der beteiligten Hochschulen erreicht werden, d.h. von Ihrem Arbeitsplatz in der Hochschule aus oder via VPN.
Anmelden am Portal und Zertifikat beantragen
Zur Beantragung eines SAP-Zertifikates müssen Sie am Portal angemeldet sein. Das Portal kann nur aus den Rechnernetzen der beteiligten Hochschulen erreicht werden, d.h. von Ihrem Arbeitsplatz in der Hochschule aus oder via VPN. Fragen Sie gegebenenfalls Ihren Systemadministrator oder Ihre SAP-Ansprechpersonen.
Gehen Sie in Ihrem Portal-Startbildschirm mit der Maus über den Menüpunkt"Home" und warten Sie, bis das Untermenü aufklappt. Wählen Sie den Punkt "Request SAP Certificate". Sie erreichen anschließend das Webformular zur Beantragung eines SAP-Zertifikates.
-
Hinweise zum Ausfüllen der Felder
Folgen Sie den Anweisungen im Browser und füllen Sie die geforderten Felder korrekt aus. Diese sind u.A.:
- mindestens ein Vorname und der Nachname, so wie er im Ausweis steht. Es sollen nicht alle im Ausweis aufgeführten Namen übernommen werden, der Rufname ist ausreichend.
- Akademische Titel am besten weglassen, da sie in der Darstellungs-Zuordnung oft Schwierigkeiten verursachen. Die Angabe eines Titels ist auch nur zulässig, wenn er im Ausweis auch eingetragen ist.
- Ersetzen Sie gegebenenfalls die vorgegebene Hochschul-Adresse durch Ihrer dienstliche Adresse, falls diese nicht übereinstimmen.
- Die Felder Telefonnummer und Abteilung sind Pflichtfelder, das Feld Abteilungskürzel kann leer bleiben.
- Vergeben Sie sich eine Sperr-Pin. Mit dieser Sperrpin können Sie bei Bedarf Ihr Zertifikat sperren. Verwechseln die die Sperr-Pin des Zertifikates später nicht mit der Pin für Ihre Smartcard.
- Hinweise zu im Zertifikatsantrag erlaubten Zeichen:
- a-z A-Z 0-9 ' ( ) , - . / : Leerzeichen
- Für die Ersetzung deutscher Sonderzeichen gelten folgende Substitutionsregeln:
Ä -> Ae, Ö -> Oe, Ü -> Ue, ä -> ae, ö -> oe, ü -> ue, ß -> ss, ẞ -> SS - Sonderzeichen mit Akzenten verlieren diese.
- Ansonsten wird eine für das betreffende Zeichen gemeinhin verwendete Schreibweise aus den Zeichen a-z und A-Z so zusammengesetzt, dass der entsprechende Laut entsteht.
- Quelle https://www.pki.dfn.de/fileadmin/PKI/DFN-Verein_Community_PKI_CPS.pdf
Abschnitt 3.1.4
Nach dem Ausfüllen speichern Sie die eingegebenen Daten mit Klick auf "Speichern". Kontrollieren Sie noch einmal alles auf Richtigkeit und reichen den Antrag mit Klick auf "einreichen" ein.
Anschließend lösen Sie mit Klick auf "Generate Request on Token" die Erzeugung eines Schlüsselpaares auf Ihrer Smartcard aus.
Die Smartcard muss dazu im Reader stecken
Sie müssen dann die Pin Ihrer Smartcard eingeben, da auf die Karte geschrieben werden soll. Bitte beachten Sie: Sie müssen die Pin der Smartcard eingeben und nicht die eben vergebene Sperr-Pin für das Zertifikat.
Die Erzeugung des Schlüsselpaares kann eine bis mehrere Minuten in Anspruch nehmen, während dessen erscheint die Meldung: Smart card access in progress. Ihr Reader blinkt, da Zugriffe auf die Karte stattfinden.
Bitte warten Sie den Abschluss des Prozesses ab, es escheint dann wieder das Zertifikat-Beantragungs-Formular.
Hinweis: Solange Sie dieses "Generate Request on Token" nicht durchgeführt haben, kann der Request nicht finalisiert und weitergereicht werden und die Weiterbearbeitung ihrer Beantragung stockt.
-
Hinweis für Smartcards mit Gruppenzertifikaten
Für die Beantragung von Smartcards mit Gruppenzertifikaten (z.B. für Notfallkarten, Schulungen oder Wirtschaftsprüfer, also Karten für mehr als eine einzelne Person) gelten Besonderheiten.
Für diese Karten muss der DN des Zertifikates geändert werden, dies muss durch eine für die Antragsvorgenehmigung berechtigte Person Ihrer Hochschule - meist KeyUser - geschehen. In der Regel beantragen auch nur diese Personen SAP-Gruppenzertifikate. Sollten auch Sie eine Smartcard mit Gruppenzertifikat benötigen, aber die erforderliche Berechtigung nicht haben, nehmen Sie vor der Antragstellung Kontakt zu Ihren SAP-Ansprechpersonen auf. Der Common Name (CN) des Distinguished Name (DN) des Antrages muss vor der Vorgenehmigung editiert werden und Sie müssen sich mit den zum Editieren berechtigten Personen absprechen, was dort im Zertifikat eingetragen werden soll.
Erläuterung: Für ein persönliches Zertifikat hat das Feld ""Distinguished Name" im Zertifikatantrag - und später im Zertifikat - folgenden Aufbau:
C=DE,ST=Niedersachsen,L=Hannover,O=Leibniz Universitaet Hannover,OU=ERP-Hochschulkürzel,CN=PN - Vorname Nachname (Hashwert)
Für ein Gruppenzertifikat muss der CN-Teil angepasst werden : Ansstatt
- "CN=PN - Vorname Nachname (Hashwert)" muss der CN folgendermaßen lauten:
- "CN=GRP - Funktionsname Hochschulkürzel"
- PN ist die Kennzeichnung für ein Pseudonym-Zertifikat
- GRP ist die Kennzeichnung für ein Gruppen-Zertifikat
- Der Funktionsname sollte eine Bezeichnung sein, die auf den Einsatzzweck des Zertifikates schließen lässt, z.b.
- CN=GRP - Sekretariat Institut A Hochschulkürzel für eine Mailadresse sekretariat@inst-a.hochschule.de
- CN= GRP - Wirtschaftsprüfer01 Hochschulkürzel für die erste von vllt. drei Smartcards gür Wirtschaftsprüfer
Erhalten Ihres Antrags-PDFs
Nach der Vorgenehmigung Ihres SAP-Zertifikatantrages in Ihrer Hochschule erhalten Sie eine Mail mit einem PDF im Anhang, dieses PDF enthält Ihren SAP-Zertifikatantrag und einen Postident-Coupon.
Sie müssen den Antrag nicht ausdrucken und unterschreiben, das PDF wird im weiteren Verlauf der Beantragung nur noch als Anhang einer Mail versendet.
Es kann passieren, dass Sie die Mail mit dem Antrags-PDF nicht erhalten, entweder
- durch einen technischen Fehler oder
- die vorgenehmigende Person hat vergessen, das Versenden des Antrags-PDFs zu initiieren.
Alternativ kann dann auch die DFN-Antragsquittung als Antrags-PDF verwendet werden. Dazu muss jedoch durch einen Key-User Ihrer Hochschule Kontakt zur RA in Hannover aufgenommen werden, damit wir die DFN-Antragsquittung an Ihre Hochschule übermitteln können. Bitte kontaktieren Sie in solch einem Fall Ihre SAP-Ansprechperson, damit diese umgehend Kontakt zu uns aufnehmen kann, da die Möglichkeit zum Download der Antragsquittung nicht unbegrenzt lange zur Verfügung steht.
Gegebenenfalls muss der Antrag abgelehnt und neu gestellt werden.
Wenn Sie nach einer in Ihrer Hochschule üblichen normalen Wartezeit das Antrags-PDF nicht zugesendet bekommen, nehmen Sie Kontakt zum SAP-Support Ihrer Hochschule auf, um die Ursache zu emiteln.
Manchmal fehlt noch einSchritt bei Ihrer Beantragung, und das klärt sich dann durch eine Nachfrage.
Schritt 4: Identitätsfeststellung
Um Ihr Zertifikat genehmigen zu können, ist einmalig eine Identitätsfeststellung notwendig. Dafür gibt es je nach Voraussetzung und Hochschule unterschiedliche Möglichkeiten. Die Person Ihrer Hochschule, die die Vorgenehmigung durchführt, wird dieses Verfahren festlegen. Im Bemerkungs-Feld Ihres Antrags-Requestes (einzusehen durch eine Anmeldung am Portal) hinterlässt die vorgenehmigende Person Ihrer Hochschule, welches Identifikationsverfahren für Sie notwendig ist. Wollen Sie aus einem wichtigen Grunde ein anderes Identifikationsverfahren wählen, so sollten Sie das mit Ihrer SAP-Betreuungsperson absprechen.
Folgende Möglichkeiten der Identifizierung stehen zur Verfügung:
-
4.1. Digital signierte Mail
Bei Vorhandensein eines gültigen Nutzerzertifikates ist keine erneute Identifizierung notwendig. Das Einsenden einer signierten Mail ist ausreichend, um die Identität zu belegen.
- Ablauf der Identifizierung bei Vorhandensein eines gültigen Nutzerzertifikates
- Senden Sie eine mit Ihrem persönlichen Zertifikat digital signierte Mail an identifizierung@ca.uni-hannover.de, das Antrags-PDF fügen Sie als Anhang dieser Mail bei.
- Der Betreff der Mail muss lauten: SAP-Smartcard, Vorname Nachname, Universitätskürzel
- Ablauf der Identifizierung bei Vorhandensein eines gültigen Nutzerzertifikates
-
4.2. Postident
Sie erhalten zusammen mit dem Zertifikatsantrag per Mail auch einen PostIdent-Coupon, mit dem Sie zu einem PostIdent durchführenden Postamt gehen. Dort zeigen Sie Ihren Ausweis und den Coupon vor.
- Weiterer Ablauf bei der Postident-Identifizierung:
- Nach der Durchführung von Postident senden Sie eine unsignierte Mail an identifizierung@ca.uni-hannover.de, das Antrags-PDF fügen Sie als Anhang dieser Mail bei
- Der Betreff der Mail muss lauten: SAP-Smartcard, Vorname Nachname, Universitätskürzel, Postident durchgeführt
- In den Mailtext bitte eintragen, dass Postident durchgeführt wurde inkl. Vorname, Name , E-Mail und Identifikationsdatum.
- Weiterer Ablauf bei der Postident-Identifizierung:
-
4.3. Identifizierung vor Ort in Ihrer Hochschule (nicht in allen Hochschulen möglich)
Einige Hochschulen bieten eine Identifizierung vor Ort in der eigenen Hochschule an, das jeweilige Verfahren wird in der Hochschule kommuniziert. Für weitere Informationen treten Sie mit Ihrem SAP-Basis-Support in Kontakt.
Das genaue Verfahren der Identifizierung kann jede Hochschule selbst festlegen, es sind nur einige Regelungen zu beachten.
Notwendige Maßnahmen bei einer Identifizierung vor Ort in Ihrer Hochschule
- Wir benötigen Ihr Antrags-PDF und eine "offizielle" Bestätigung und Dokumentation der durchgeführten Identifizierung
- Das PDF versenden Sie im Anhang einer Mail :
- Der Betreff der Mail lautet: SAP-Smartcard: Vorname Nachname, Vor Ort Identifikation (Hochschulkürzel)
- Der Versand erfolgt entweder direkt an identifizierung@ca.uni-hannover.de
- Oder der Versand erfolgt alternativ an die Person in Ihrer Hochschule, die Ihre Identifizierung bestätigt, oder diese vielleicht sogar direkt durchführt. Diese Person leitet Ihre Mail dann digital signiert und mit der Bestätigung dass Ihre Identifizierung korrekt erfolgt ist, an uns weiter.
- Wohin Sie diese Mail senden, wird in Ihrer Hochschule festgelegt.
- Sobald Sie sich vor Ort den Bestimmungen Ihrer Hochschule entsprechend identifiziert haben und sowohl Antrags-PDF als auch die Identifizierungsbestätigung der vorgenehmigenden Person Ihrer Hochschule bei uns eingegangen ist, kann Ihr Zertifikat ausgestellt werden. Wie es dann weiter geht, erfahren Sie unter Schritt 4: Zertifikat abholen im nächsten Abschnitt.
- Das PDF versenden Sie im Anhang einer Mail :
Allgemeine Anmerkungen zur Identifizierung vor Ort in Ihrer Hochschule- Entweder führt die vorgenehmigende Person die Identifizierung gleich selbst durch, dann kann die Bestätigungsmail direkt versendet und die Bemerkung im Beantragungs-Request gleich bei der Vorgenehmigung eingetragen werden.
- Oder Sie müssen innerhalb Ihrer Hochschule noch zu einer anderen Stelle gehen, um dort Ihren Ausweis zu zeigen. Anschließend muss die Information über die korrekt erfolgte Identifizierung zwischen den verantwortlichen vorgenehmigenden Personen und der identifizierenden Stelle ausgetauscht werden. Dann erst kann die Bestätigung beim Request eingetragen, die Mail versendet und der Zertifikats-Request an die RA in Hannover weitergeleitet werden.
- Sie werden in Ihrer Hochschule durch Informationen auf einer Webseite oder über direkte Ansprache informiert, wie es sich bei Ihnen vor Ort jeweils verhält. Sie können sich auch proaktiv an den SAP-Basis-Support in Ihrer Hochschule wenden.
- Wir benötigen Ihr Antrags-PDF und eine "offizielle" Bestätigung und Dokumentation der durchgeführten Identifizierung
-
4.3a. Hinweise an vorgenehmigende Personen bei Hochschulinterner Identifizierung
Zur Dokumentation der Identifizierung benötigen wir:
- Eine Anmerkung von Ihnen im Bemerkungsfeld des Beantragungs-Request, dass die Identifizierung durchgeführt wurde.
- Ergänzend eine von Ihnen signierte Mail an identifizierung@ca.uni-hannover.de
- Mailtext: Persönliche Identifizierung von Vorname Nachname, Email-Adresse wurde hochschulintern am dd.mm.yy durchgeführt
- Betreff: SAP-Smartcard: Vorname Nachname, Vor Ort Identifikation (Hochschulkürzel)
- Bei den Daten im Betreff und Mailtext handelt es sich um Name & Mailadresse der identifizierten Person.
- Sollten Sie das Antragas-PDF per Mail erhalten haben, können Sie diese Mail um den oben vorgeschlagenen Mailtext erweitern und diese Mail dann digital signiert an identifizierung@ca.uni-hannover.de weiterleiten.
- Sollten Sie die Identifizierung selbst durchführen, dann kann die Bestätigungsmail direkt versendet bzw. weitergeleitet und die Bemerkung im Beantragungs-Request gleich bei der Vorgenehmigung eingetragen werden.
- Sollten Sie die Identifizierung innerhalb Ihrer Hochschule an einer anderen Stelle stattfinden, muss die Information über die korrekt erfolgte Identifizierung zwischen Ihnen als vorgenehmigender Person und der identifizierenden Stelle ausgetauscht werden. Dann erst kann die Bestätigung beim Request eingetragen, die Mail versendet und der Zertifikats-Request an die RA in Hannover weitergeleitet werden.
Schritt 5: Zertifikat abholen
Sobald der Request von der verantwortlichen vorgenehmigenden Person der Hochschule an die RA weitergeleitet wurde und alle Mails wie oben beschrieben korrekt eingegangen sind, bzw. die in der Hochschule stattgefundene Identifikation im Bemerkungsfeld des Requests bestätigt wurde, kann der Zertifikatsantrag genehmigt werden.
Sie erhalten dann anhand einer Mail vom DFN die Information, dass Ihr Zertifikat ausgestellt wurde und Sie können sich im Portal anmelden und das Zertifikat auf Ihre Karte laden: Nach der Anmeldung auf dem Home-Bildschirm den Request anklicken und dann unten "Store Certificate on Token " anklicken. Die Smartcard muss dazu in den Reader gesteckt sein, Sie müssen auch wieder Ihre Pin eingeben.
Akkreditierung von Trustcenter-Managern für Identifikationsaufgaben
Dieser Abschnitt enthält vorläufig gültige Regelungen, die noch nicht abschließend verabschiedet sind und sich noch ändern können. Die Regelungen beschreiben die Möglichkeit, Trustcenter-Manager der einzelnen Hochschulen für die Übernahme von Identifizierungsaufgaben zu akkreditieren. Diese Identifizierungsaufgaben beziehen sich ausschließlich auf die Ausstellung von Nutzerzertifikaten der DFN-Community-PKI auf Smartcards für den SAP-Zugriff. Sowohl der Akkreditierungsvorgang als auch die Identifizierungsaufgaben werden im Weiteren näher erläutert.
-
Voraussetzungen für eine Akkreditierung
- Trustcenter-Manager dürfen gegenüber Mitarbeitenden der Zertifizierungsstelle im LUIS die in der eigenen Hochschule korrekt erfolgte persönliche Identifizierung einer ein Zertifikat beantragenden Person bestätigen.
- Von Mitarbeitenden der Zertifizierungsstelle im LUIS werden solche Bestätigungen ausschließlich von Trustcenter-Managern der jeweiligen Hochschulen anerkannt.
- Ob die Trustcenter-Manager der jeweiligen Hochschulen diese Identifizierung selbst vornehmen, oder ob diese von geeigneten anderen Stellen innerhalb der Hochschule vorgenommen werden, ist für die Zertifizierungsstelle im LUIS nicht relevant, die Verantwortung für die korrekte Ausführung der Identifikation liegt in den Händen der Hochschule.
- Die mit Identifizierungsaufgaben in Hochschulen betrauten Trustcenter-Manager können die Identifizierung entweder selbst vornehmen oder müssen sich in der Hochschule über geeignete zuverlässige Wege informieren/müssen informiert werden, dass eine korrekt erfolgte Identifizierung stattgefunden hat.
-
Durchführung der Akkreditierung
- Die Akkreditierung erfolgt durch eine dafür weisungsbefugte Person der betreffenden Hochschule anhand eines auszufüllenden Akkreditierungs-PDFs, welches sowohl von der akkreditierenden als auch von der akkreditierten Person mit einer digitalen Signatur unterzeichnet wird.
- Die Akkreditierung wird übermittelt anhand einer signierten E-Mail der akkreditierten Person .
- Die Mail wird versendet an: akkreditierung@ca.uni-hannover.de
- Der Betreff der Mail muss lauten: Akkreditierung für persönliche Identifikation für Nutzerzertifikate auf einer SAP-Smartcard, Hochschulkürzel
- Im Anhang dieser Mail befindet sich das Akkreditierungs-PDF.
-
Durchführung der Identifizierungsaufgabe
Die Bestätigung erfolgter Identifizierungen - sowohl von akkreditierten Trustcenter-Manager selbst durchgeführten, als auch an anderer Stelle in der Hochschule durchgeführten Identifizierungen - erfolgt zweistufig durch die jeweiligen, den Antrags-Request bearbeitenden Trustcenter-Manager.
- Eintragung einer entsprechenden Bemerkung im Portal, versehen mit Identifizierungsdatum, aktuellem Datum und Namenskürzel:
- Identifizierung erfolgt am <Identifikationsdatum> - <Namenskürzel> <aktuelles Datum> (falls Identifikationsdatum und aktuelles Datum nicht identisch sind)
- Versenden einer signierten Mail an identifizierung@ca.uni-hannover.de
- Der Betreff der Mail lautet: SAP-Smartcard: Vorname Nachname (der identifizierten Person), Hochschulkürzel
- Im Mailtext steht :
- Identifikationsdatum: tt.mm.jjjj
- Der Mail muss das dem Request ensprechende Antrags-PDF als Anhang beigefügt werden. Das Antrags-PDF muss dazu von der beantragenden Person an den jeweiligen Trustcenter-Manager übermittelt werden.
Bitte vergessen Sie auch nicht, im Portal das Feld "Identitätsfeststellung" auf "Hochschulintern (Bitte beachten Sie die Regelungen an Ihrer Hochschule)" zu setzen.
- Eintragung einer entsprechenden Bemerkung im Portal, versehen mit Identifizierungsdatum, aktuellem Datum und Namenskürzel: