FAQ

Beim Beantragen Ihres Zertifikats haben Sie auf der Antragsseite ein Kennwort zum Schutz der Zertifikatsdatei vergeben.
Auf dieser Seite konnten Sie auch zwischen zwei Algorithmen wählen (Choose key protection algorithm).
Wenn Sie dort einen anderen Algorithmus ausgewählt haben, als in der Anleitung beschrieben ist, kann es bei der Installation oder Verwendung des Zertifikats zu verschiedenen Problemen kommen.

Mögliche Fehlermeldungen lauten:

"Das eingegebene Kennwort ist falsch."
Eine Aufforderung zum Einstecken einer Smartcard
"Die digitale Datei-ID konnte mit dem Passwort nicht geöffnet werden"
"Fehler im zugrunde liegenden Sicherheitssystem. Ungültigen Anbietertyp angegeben"

Beantragen Sie in diesem Fall bitte ein neues Zertifikat. Achten Sie darauf, dass Sie den korrekten Algorithmus Compatible TripleDES-SHA1 auswählen.

Wenn Sie das Zertifikat bereits auf einem Ihrer Systeme installiert haben, können Sie versuchen es von dort aus zu exportieren. In diesem Fall wird eine neue Zertifikatsdatei erzeugt und Sie können ein neues Passwort vergeben. Achten Sie beim Export darauf, dass auch der private Schlüssel exportiert wird. Eine Anleitung dazu finden Sie HIER.

Sollten Sie das Zertifikat noch nirgends installiert haben oder ist der private Schlüssel als "nicht exportierbar" markiert, beantragen Sie bitte ein neues Nutzerzertifikat.

Der Zertifikatsdienst prüft nicht, ob Sie bereits ein neues Zertifikat beantragt haben.
Für jedes Zertifikat werden vom System zwei E-Mails zur Erinnerung verschickt: 30 Tage und 7 Tage vor Ablauf des Zertifikats.
Prüfen Sie, um welches Zertifikat es sich in der E-Mail handelt. Sofern Sie bereits ein neues Zertifikat besitzen oder kein Zertifikat mehr benötigen, können Sie die E-Mail ignorieren.

Vergewissern Sie sich, dass Sie den Empfänger aus der globalen Adressliste (GAL) von Outlook ausgewählt haben. Sollte die Verschlüsselung dennoch fehlschlagen, ist der Empänger entweder nicht im Besitz eines Nutzerzertifikats oder er hat dieses nicht in der globalen Adressliste hinterlegt. Nehmen Sie ggfs. Kontakt zum Empfänger auf, um diese beiden Punkte zu klären.

Alternativ (und bei externen Kontakten) können Sie eine signierte Mail vom Empfänger anfordern. Anschließend können Sie verschlüsselt miteinander kommunizieren.

Bei der Verwendung von mehreren Postfächern wird der Button zur Veröffentlichung von Zertifikaten nicht angezeigt.
Gehen Sie in diesem Fall folgendermaßen vor:

Exportieren Sie zunächst den öffentlichen Schlüssel Ihres Zertifikats (Public key). Eine Anleitung dazu finden Sie auf folgender Seite unter dem Punkt "Öffentliches Zertifikat exportieren (für Import in GAL)": Zertifikate importieren / exportieren

Melden Sie sich anschließend mit Ihrem Account auf folgender Seite an und laden Sie dort die exportierte Zertifikatsdatei hoch: Zertifikat in GAL veröffentlichen

Nutzerzertifikate können nicht verlängert werden. Bitte beantragen Sie (bestenfalls vor Ablauf Ihres derzeitigen Zertifikats) ein neues Zertifikat.

Wenn Sie das Zertifikat zur Verschlüsselung und Signierung von E-Mails verwendet haben, beachten Sie bitte folgendes:
Bewahren Sie ihr altes Zertifikat gut auf, um archivierte, verschlüsselte Mails zufünktig noch lesen (entschlüsseln) zu können.
Denken Sie daran Ihr neues Zertifikat in der GAL zu veröffentlichen.

Digitale Unterschriften bleiben gültig, auch wenn das verwendete Zertifikat bereits abgelaufen ist. Hier wird mit einem Zeitstempel geprüft, ob das Zertifikat zum Zeitpunkt der digitalen Signatur gültig war.

Sie haben bei der Beantragung Ihres Zertifikats das falsche Zertifikatsprofil ausgewählt.
Bitte beantragen Sie ein neues Zertifikat und achten Sie auf die Auswahl des Profils "GÉANT Personal email signing and encryption", wie es in der folgenden Anleitung unter Punkt 3 beschrieben ist:
https://ca.fernuni-hagen.de/anleitungen/nutzerzertifikate/beantragen/

Es handelt sich dabei um keine E-Mail-Adresse, sondern um einen eindeutigen Namen, der in Ihrem Zertifikat hinterlegt ist. Dieser setzt sich aus Ihrem Accountnamen und der Endung "@fernuni-hagen.de" zusammen.
Bei älteren Zertifikaten steht dieser Name nicht im Zertifikat und wird daher auch nicht angezeigt.
In Adobe Acrobat gibt es keine Möglichkeit den Namen auszublenden. Sie können aber das Erscheinungsbild der Signatur in Adobe Acrobat anpassen und den linken Teil beispielsweise durch eine eingefügte, händische Unterschrift von Ihnen ersetzen.

Diese Meldung wird angezeigt, wenn das Wurzelzertifikat "T-TeleSec" bzw. "GÉANT" (bei den neuen Zertifikaten) nicht als vertrauenswürdiges Stammzertifikat importiert wurde.
Importieren Sie bitte die Zertifikate aus der von uns bereitgestellte Zertifikatsdatei in Adobe Acrobat, indem Sie folgende Anleitung befolgen: Wurzelzertifikate importieren.

Dies kann mehrere Ursachen haben.

Überprüfen Sie folgendes:
Haben Sie die richtige und vollständige Adresse aufgerufen, z.B. "https://staffsearch" statt "https://staffsearch.fernuni-hagen.de"?
Ist Ihre Systemzeit (Datum und Uhrzeit) korrekt eingestellt?

Bei den folgenden Ursachen muss der Webseitenbetreiber tätig werden:
Das Serverzertifikat ist abgelaufen oder gesperrt.
Der aufgerufene Domain-Name ist im hinterlegten Serverzertifikat nicht enthalten.
Das Serverzertifikat wurde von einer nicht vertrauenswürdigen Zertifizierungsinstanz ausgestellt.
Das Serverzertifikat oder die zugehörige Zertifizierungskette wurde nicht korrekt eingebunden.

Sie können eine E-Mail nur signieren, wenn die E-Mail-Adresse mit der im Zertifikat übereinstimmt.
Sie benötigen daher für jede E-Mail-Adresse ein eigenes Zertifikat.

Sie können die benötigten Zertifikate über folgende Links herunterladen:

CA-Bundle Geant CA Bundle

Root Root AAA
Intermediate 1 User Trust RSA CA
Intermediate 2 Geant OV RSA

Für Eduroam User Trust RSA Root