Zum Beantragen und Einrichten eines VPN-Zugangs werden auf dem Klientenrechner folgende Dateien benötigt:

RZ-Zertifikat (enthält öffentlichen Schlüssel/Public Key) des Klienten (des Benutzers)
- passender privater Schlüssel (Private Key)
RZ-Zertifikate der Zertifizierungsstellen (Certificate Authorities/CAs)
- DFN-PCA (www-policy), als PEM und als DER(Windows) zum Download
- UNIKA-CA
- UNIKA-U-CA (Benutzerzertifikate)
- UNIKA-S-CA (Serverzertifikate)
Bei der Serverzertifizierungsstelle muss i.d.R. zusätzlich das Zertifikat vom letzten Jahr heruntergeladen und importiert werden.
RZ-Zertifikat des ATIS-VPN-Servers (nur bei einem Linux-Klienten)

Nochmals schematisch dargestellt:

Der eigentliche Antrag auf einen VPN-Zugang besteht aus einer (formlosen) E-Mail an vpn ∂does-not-exist.atis uka de mit dem Betreff "Antrag auf VPN-Account für <NAME>" und (nur) Ihrem RZ-Zertifikat im Anhang. Benutzen Sie für diese Nachricht wenn möglich Ihren ATIS-E-Mail-Account.

ACHTUNG: Niemals den privaten Schlüssel (private Key) aus der Hand geben!!

Erst nachdem Ihr Antrag von uns bewilligt wurde, können Sie Ihren VPN-Zugang einrichten.

Beim Beantragen des Zertifikats ist zu beachten, dass Sie einen Browser benutzen, auf den Sie jederzeit Zugriff haben. Dieser Browser sollte zudem seinen Zertifikatsspeicher durch ein Kennwort schützen können, da sich hier nach dem Ausfüllen des Zertifikatsantrags ihr Private-Key befindet.

Firefox: Edit -> Preferences -> Privacy -> Change Master Password. Dieses Passwort schützt den Zertifikatssppeicher Ihres Browsers.
Sie benötigen es um nach dem erfolgreichen Request ihr Zertifkat und den Private-Key aus dem Browser zu exportieren.

Beantragen Sie jetzt ein X509-Zertifikat beim Rechenzentrum. Dazu stellt man bei der Benuttzerzertifizierungsstelle (UNIKA-U-CA) einen Antrag (Requests -> Request a Certificate -> ...).
Hinweise zum Antragsformular:

Wir empfehlen, keine alternative E-Mail-Adresse anzugeben.
Beim Drop-Down-Menü "Role" sollte man "User mit VPN" wählen.
Da man seine Identität im weiteren Verlauf von einer authorisierten Person validieren lassen muss wird bei dem Antrag auch gleich die zuständige Registration Authority (RA) angegeben. Hier ist derzeit die Wahl zwischen RZ und ATIS möglich. Bei der ATIS zuständig ist z.Z. Olaf Hopp.

Tipp: Auf der Seite der UNIKA-U-CA kann man auch gleich die aktuelle Zertifikatsdatei der Benutzer-CA selbst herunterladen ("CA Infos" - "Get CA certificate").

Nachdem der Antrag abgesetzt ist, müssen Sie die Seite mit der Bestätigung ausdrucken. Das ist die letzte zusammenfassende Seite auf der unten der "Print"-Knopf vorhanden ist. Mit diesem unterschriebenen Ausdruck erscheinen Sie persönlich bei der RA und lassen Ihre Identität bestätigen (Personalausweis mitbringen!).

Hinweis: Der letzte Schritt ist unbedingt notwendig - unterbleibt er, bleibt Ihr Zertifikatsrequest unbearbeitet liegen. Die RA schickt obigen Ausdruck an die UNIKA-U-CA des RZ und bestätigt auf einer entsprechenden Seite die Korrektheit Ihres Antrags.

Nach wenigen Werktagen erhalten Sie per E-Mail die Bestätigung mit entsprechenden Links zum Download des Zertifikats. Sie müssen jetzt mit demselben Browser (!!!), mit dem sie den Request abgesetzt haben, den Link anwählen und das Zertifikat in den Zertifikatsspeicher Ihres Browsers importieren.

Firefox: Edit -> Preferences -> Advanced -> Manage Certificates -> Backup
Dies erzeugt eine Datei mit der Endung .p12, die Ihren Private Key und Ihr signiertes Zertifikat enthält. Ein Passwort für diese p12-Datei ist sinnvollerweise zu setzen.
Die .p12-Datei benötigen Sie für die Einrichtung der VPN-Verbindung sowohl unter Linux als auch unter Windows.
ACHTUNG: Diese Datei enthält Ihren Private-Key, geben Sie sie nicht aus der Hand!

Um Ihr RZ-Zertifikat getrennt in einer Datei zu erhalten, können Sie es entweder von der Seite der UNIKA-U-CA aus der Liste der gültigen Zertifikate (Certificates -> Search) herunterladen oder auf einem Linux-/Unix-Rechner mit OpenSSL aus Ihrer .p12-Datei extrahieren:

openssl pkcs12 -in file.p12 -nodes -nokeys -clcerts -out rz-username.pem