Leibniz Universität Hannover zur zentralen Website
Kontakt
Leibniz Universität IT Services
 
LUIS Services Anwendungen SAP Smartcard
Beantragung eines SAP-Zertifikates über die neue Portal-Software

Beantragung eines SAP-Zertifikates über die neue Portal-Software

Der neue Beantragungsweg für SAP-Smartcards ist seit Mitte April 2024 im Testbetrieb online

Dieser neue Beantragungsweg  über ein PKI-Portal  steht noch nicht vollumfänglich mit allen Funktionen zur Verfügung, wurde aber trotz dieses Umstandes schon vorab in Betrieb genommen. Der Grund für diese Entscheidung war der dringende Bedarf an SAP-Smartcards in einzelnen Hochschulen. Das Beantragen und Ausstellen von SAP-Smartcards ist mit der neuen Software schon möglich.

Einige der  am SAP-Projekt teilnehmenden  Hochschulen stellen schon produktiv SAP-Smartcards aus. Bei Rückfragen zum Stand der Inbetriebnahme in Ihrer Hochschule  wenden Sie sich bitte an die Ihnen bekannten SAP-Ansprechpersonen in Ihrer Hochschule.

Die folgenden Inhalte sind größtenteils noch im Entwurfstadium

Die  Veröffentlichung erfolgt, um so zeitnah wie möglich die schon bereitstehenden Informationen zur Verfügung stellen zu können. Die bisher schon vorhandenen Dokumentations-Entwürfe werden hier auf dieser Seite veröffentlicht und sukzessive erweitert und angepasst.

  • Diese Websseite ist noch nicht vollständig und noch im Wandel.
  • Einige Arbeitsabläufe sind noch genauer festzulegen und zu beschreiben oder können sich auch noch im Lauf der nächsten Wochen ändern.
  • Manche Notwendigkeiten ergeben sich auch erst noch während dieser ersten Phase der Vorab-Inbetriebnahme, die noch als Teil der eigentlich geplanten Testphase  zu betrachten ist

Voraussetzung: Datenschutz & Nutzungsbedingungen

Mit der Nutzung des Dienstes nehmen Sie den Datenschutzhinweis zur Kenntnis und akzeptieren die Nutzungsbedingungen, zu deren Einhaltung Sie als Inhaber*In einer SAP-Smartcard mit darauf enthaltenem Zertifikat verpflichtet sind.

Datenschutzhinweis
Nutzungsbedingungen

Beantragungsprozess

Schritt 1: Karte erhalten

Um ein SAP-Zertifikat beantragen zu können, muss Ihre Person zuerst als Datensatz in der neuen Portalsoftware angelegt und Ihnen eine Smartcard zugeordnet werden. Diese SAP-Smartcard erhalten Sie anschließend von Ihrer SAP-Ansprechperson in  Ihrer Hochschule. Wie die Übermittlung der Smartcard stattfindet, wird in jeder Hochschule selbstständig geregelt und Sie werden entsprechend informiert werden. Erst wenn Sie diese Karte erhalten haben, können Sie sich damit am Smartcard-Portal anmelden und ein SAP-Zertifikat beantragen.

Hinweis: Sobald Ihr Datensatz im Portal angelegt und diesem Personen-Datensatz  eine Smartcard zugeordnet wird, erfolgt automatisch die Versendung einer E-Mail, die einen Activation Code enthält. Dieser Activation Code wird später benötigt, um sich mit der Ihnen übergebenen Smartcard am Portal anzumelden.

Sollten Sie eine folgende E-Mail erhalten:

  • Absender: do-not-reply@smartcard.ccc.uni-hannover.de
  • Betreff: PKIaaS Activation Code

löschen Sie diese nicht. Den enthaltenen Activation Code benötigen Sie, sobald Ihnen Ihre Smartcard von der verantwortlichen Person Ihrer Hochschule übergeben wurde. Alle weiteren Informationen werden Sie dann ebenfalls in Ihrer Hochschule erhalten.

Schritt 2: Zertifikat beantragen

Bei der Zertifikatsbeantragung wird Sie eine SAP-Ansprechperson in Ihrer Hochschule begleiten und unterstützen.

Die Beantragungsseite kann nur aus den Rechnernetzen der beteiligten Hochschulen erreicht werden, d.h. von Ihrem Arbeitsplatz in der Hochschule aus oder via VPN.

Nach der Vorgenehmigung Ihres SAP-Zertifikatantrages in Ihrer Hochschule erhalten Sie eine Mail mit einem PDF im Anhang,  dieses PDF enthält Ihren  SAP-Zertifikatantrag und einen Postident-Coupon.

Sie müssen den Antrag nicht ausdrucken, das PDF wird im weiteren Verlauf der Beantragung nur noch als Anhang einer Mail versendet.

Es kann passieren, dass Sie die Mail  mit dem Antrags-PDF nicht erhalten, entweder 

  • durch einen technischen Fehler oder
  • die vorgenehmigende Person hat vergessen, das Versenden des  Antrags-PDFs zu initiieren.

Bitte nehmen Sie in diesem Fall Kontakt zu  Ihrer SAP-Ansprechperson auf. Gegebenenfalls  muss der Antrag abgelehnt und neu gestellt werden.

Alternativ kann  auch die DFN-Antragsquittung als Antrags-PDF verwendet werden. Dazu muss jedoch durch einen Key-User Ihrer Hochschule Kontakt zur RA in Hannover aufgenommen werden, damit wir die DFN-Antragsquittung an Ihre Hochschule übermitteln können.

 

  • Hinweise zum Ausfüllen der Felder

    Folgen Sie den Anweisungen im Browser und füllen Sie die geforderten Felder korrekt aus. Diese sind u.A.:

    • mindestens ein Vorname und der Nachname, so wie er im Ausweis steht,
    • akademische Titel nur wenn sie auch im Ausweis eingetragen sind
    • ersetzen Sie gegebenenfalls die vorgegebene Hochschul-Adresse durch Ihrer dienstliche Adresse, falls diese nicht übereinstimmen.
    • Die Felder  Telefonnummer und Abteilung sind Pflichtfelder, das Feld Abteilungskürzel kann leer bleiben.
    • Vergeben Sie sich eine Sperr-Pin. Mit dieser Sperrpin können Sie bei Bedarf Ihr Zertifikat sperren. Verwechseln die die Sperr-Pin des Zertifikates später nicht  mit der Pin für Ihre Smartcard.

    Nach dem Ausfüllen speichern Sie die eingegebenen Daten mit Klick auf "Speichern". Kontrollieren Sie noch einmal alles auf Richtigkeit und reichen den Antrag mit Klick auf "einreichen" ein.

    Anschließend lösen Sie mit Klick auf "Generate Request on Token" die Erzeugung eines Schlüsselpaares auf Ihrer Smartcard aus.

    Die Smartcard muss dazu im Reader stecken

    Sie müssen dann die Pin Ihrer Smartcard eingeben, da auf die Karte geschrieben werden soll. Bitte beachten Sie: Sie müssen die Pin der Smartcard eingeben und nicht die eben vergebene Sperr-Pin für das Zertifikat.

    Die Erzeugung des Schlüsselpaares kann eine bis mehrere Minuten in Anspruch nehmen, während dessen erscheint die Meldung: Smart card access in progress.  Ihr Reader blinkt, da Zugriffe auf die Karte stattfinden.

    Bitte warten Sie den Abschluss des Prozesses ab, es escheint dann wieder das Zertifikat-Beantragungs-Formular.

  • Hinweis für Smartcards mit Gruppenzertifikaten

    Für die Beantragung von Smartcards mit Gruppenzertifikaten (z.B. für Notfallkarten, Schulungen oder Wirtschaftsprüfer, also Karten für mehr als eine einzelne Person) gelten Besonderheiten.

    Für diese Karten muss der DN des Zertifikates geändert werden, dies muss durch eine für die Zertifikatsgenehmigung berechtigte Person Ihrer Hochschule geschehen. In der Regel beantragen auch nur diese Personen SAP-Gruppenzertifikate. Sollten auch Sie eine Smartcard mit Gruppenzertifikat benötigen, aber die  erforderliche Berechtigung nicht haben, nehmen Sie vor der Antragstellung Kontakt zu Ihren SAP-Ansprechpersonen auf. Der Common Name (CN) des Distinguished Name (DN) des Antrages muss vor der Vorgenehmigung editiert werden und Sie müssen sich mit den zum Editieren berechtigten Personen absprechen, was dort im Zertifikat eingetragen werden soll.

    Erläuterung: Für ein persönliches Zertifikat hat das Feld ""Distinguished Name"  im Zertifikatantrag - und später im Zertifikat - folgenden Aufbau:

    C=DE,ST=Niedersachsen,L=Hannover,O=Leibniz Universitaet Hannover,OU=ERP-Hochschulkürzel,CN=PN - Vorname  Nachname (Hashwert)

    Für ein Gruppenzertifikat muss der CN-Teil angepasst werden :  Ansstatt

    • "CN=PN - Vorname  Nachname (Hashwert)" muss der CN folgendermaßen lauten:
    • "CN=GRP - Funktionsname Hochschulkürzel"
    • PN ist die Kennzeichnung für ein Pseudonym-Zertifikat
    • GRP ist die Kennzeichnung für ein Gruppen-Zertifikat
    • Der Funktionsname sollte eine Bezeichnung sein, die auf den Einsatzzweck des Zertifikates  schließen lässt, z.b.
      • CN=GRP - Sekretariat Institut A Hochschulkürzel für eine Mailadresse sekretariat@inst-a.hochschule.de
      • CN= GRP - Wirtschaftsprüfer01 Hochschulkürzel für die erste von vllt. drei Smartcards gür Wirtschaftsprüfer

     

Schritt 3: Identitätsfeststellung

Um Ihr Zertifikat genehmigen zu können, ist einmalig eine Identitätsfeststellung notwendig. Dafür gibt es je nach Voraussetzung und Hochschule unterschiedliche  Möglichkeiten. Die Person Ihrer Hochschule, die die Vorgenehmigung durchführt, wird dieses Verfahren festlegen. Wollen Sie aus einem wichtigen Grunde ein anderes Identifikationsverfahren wählen, so sollten Sie das mit Ihrer SAP-Betreuungsperson absprechen.

  1. Bei Vorhandensein eines gültigen Nutzerzertifikates ist keine erneute Identifizierung notwendig. Das Einsenden einer signierten Mail ist ausreichend, um die Identität zu belegen.
  2. PostIdent-Verfahren
    Sie erhalten zusammen mit dem Zertifikatsantrag per Mail auch einen PostIdent-Coupon, mit dem Sie zu einem PostIdent durchführenden Postamt gehen. Dort zeigen Sie Ihren Ausweis und den Coupon vor.
  3. Einige Hochschulen bieten eine Identifizierung vor Ort in der eigenen Hochschule an, das jeweilige Verfahren  wird in der Hochschule kommuniziert. Für weitere Informationen treten Sie mit Ihrem SAP-Basis-Support in Kontakt.

Die notwendigen Schritte des weiteren Vorgehens sind  im Folgenden aufgelistet:

Im Bemerkungs-Feld Ihres Antrags-Requestes (einzusehen durch eine Anmeldung am Portal) erfahren Sie, wie Sie sich identifizieren müssen.  In dem Bemerkungsfeld hinterlässt die vorgenehmigende Person  Ihrer Hochschule, welches  Identifikationsverfahren für Sie notwendig ist. Wollen Sie aus einem wichtigen Grunde ein anderes Identifikationsverfahren wählen, so sollten Sie das mit Ihrer SAP-Betreuungsperson absprechen. Folgende Möglichkeiten kommen in Frage:

  1. Vorhandensein eines gültigen Nutzerzertifikates

    1. Senden Sie eine mit Ihrem persönlichen Zertifikat digital signierte Mail an identifizierung@ca.uni-hannover.de, das  Antrags-PDF fügen Sie als  Anhang dieser Mail bei.

    2. Der Betreff der Mail muss lauten: SAP-Smartcard, Vorname Nachname, Universitätskürzel

  2. Postident:
    1. Nach der Durchführung von Postident senden Sie eine unsignierte Mail an identifizierung@ca.uni-hannover.de, das  Antrags-PDF fügen Sie als  Anhang dieser Mail bei.
    2. Der Betreff der Mail muss lauten: SAP-Smartcard, Vorname Nachname, Universitätskürzel, Postident durchgeführt
    3. In der Mail steht als Information, dass Postident durchgeführt wurde inkl. Name , E-Mail und Identifikationsdatum.
  3. Identifizierung vor Ort in Ihrer Hochschule
    1. Diese Verfahren der Identifizierung kann jede Hochschule selbst festlegen.
    2. Zur Dokumentation der Identifizierung benötigen wir:
      1. Eine Anmerkung  vorgenehmigenden Person im Bemerkungsfeld des Beantragungs-Request, dass die Identifizierung durchgeführt wurde:
        • Persönliche Identifizierung wurde hochschulintern am dd.mm.yy durchgeführt  -KeyUser-Kürzel aktuelles Datum
      2. Ergänzend eine von der vorgenehmigenden Person signierte Mail an identifizierung@ca.uni-hannover.de
        • Mailtext: Persönliche Identifizierung wurde hochschulintern am dd.mm.yy durchgeführt 
        • Betreff: SAP-Smarcard:  Vorname Nachname, E-Mailadresse, Vor Ort Identifikation (Hochschulkürzel)
          • Bei den Daten im Betreff handelt es sich Name & Mailadresse der identifizierten Person
    3. Sobald Sie sich vor Ort identifiziert haben und die Identifizierungesbestätigung der vorgenehmigenden Person Ihrer Hochschule bei uns eingegangen ist, kann Ihr Zertifikat ausgestellt werden.
      1. Entweder führt  die vorgenehmigende Person die Identifizierung gleich selbst durch, dann kann die Brstärigungemail direkt versendet und die Bemerkung im  Beantragungs-Request  gleich bei der Vorgenehmigung eingetragen werden.
      2. Oder Sie müssen innerhalb Ihrer Hochschule noch zu einer anderen Stelle gehen, um dort Ihren Ausweis zu zeigen. Anschließend muss die Information über die korrekt erfolgte Identifizierung zwischen den verantwortlichen  vorgenehmigenden Personen und der identifizierenden Stelle ausgetauscht werden. Dann  kann die Bestätigung beim Request eingetragen, die Mail versendet  und der Request an die RA in Hannover weitergeleitet werden.
      3. Sie werden in  Ihrer Hochschule informiert, wie es sich bei Ihnen vor Ort jeweils verhält.

Schritt 4: Zertifikat abholen

Sobald der Request von der verantwortlichen vorgenehmigendenPerson der Hochschule an die RA weitergeleitet wurde und alle  Mails wie oben beschrieben korrekt eingegangen sind, bzw. die in der Hochschule stattgefundene Identifikation im Bemerkungsfeld des Requests bestätigt wurde, kann der Zertifikatsantrag genehmigt werden.

Sie erhalten dann anhand einer Mail vom DFN die Information, dass Ihr Zertifikat ausgestellt wurde und Sie können sich im Portal anmelden und das Zertifikat auf Ihre Karte laden: Nach der Anmeldung auf dem Home-Bildschirm den Request anklicken und dann unten "Store Certificate on Token " anklicken. Die Smartcard  muss dazu in den Reader gesteckt sein, Sie müssen auch wieder Ihre Pin eingeben.

Downloadbereich

Dokumente für KeyUser und SAP-Smartcard-Beantragende

Dokumente für KeyUser

Informationen und Tools für KeyUser

Kontakt

Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Telefon
+49 511 762 9996
E-Mail
support@luis.uni-hannover.de
Hotline IT-Service-Desk
Sprechzeiten
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Telefon
+49 511 762 9996
E-Mail
support@luis.uni-hannover.de

Letzte Änderung: 14.05.24; IT-Sicherheit Druckversion

So erreichen Sie uns
Kontakt