diff --git a/docs/organisation-tasks/apply-for-certificates.mdx b/docs/organisation-tasks/apply-for-certificates.mdx
new file mode 100644
index 0000000000000000000000000000000000000000..bb3a9cbe4933968995bde6652f7cd7e199d85d0d
--- /dev/null
+++ b/docs/organisation-tasks/apply-for-certificates.mdx
@@ -0,0 +1,155 @@
+---
+title: Zertifikate beantragen
+---
+import useBaseUrl from '@docusaurus/useBaseUrl';
+import Tabs from '@theme/Tabs'
+import TabItem from '@theme/TabItem'
+
+# Zertifikate
+
+### Zertifikate der Verwaltungs-PKI beantragen
+
+Verantwortliche für Fachverfahren benötigen für das Produktivsystem von FIT-Connect Zertifikate der Verwaltungs-PKI.  <br/>
+Die Zertifikate enthalten öffentliche und private Schlüssel für Verschlüsselung und Signierung. Sie dienen zur Sicherung der Anträge und Berichte, die Antragsplattformen oder Softwareprogramme an Fachverfahren senden.
+
+#### Ãœberblick
+Das Beantragen von Zertifikaten ist eine Aufgabe, die Verantwortliche für Fachverfahren beachten müssen, um Fachverfahren an FIT-Connect anzubinden.
+Alle Aufgaben sind [hier im Ãœberblick](./publish_destination) aufgelistet.  <br/>
+
+:::note Hinweis
+Pro Fachverfahren ist ein Zertifikat der Verwaltungs-PKI erforderlich, um ein Fachverfahren an das Produktivsystem anzubinden. <br/>
+Für die Anbindung an die Testumgebung sind keine Zertifikate der Verwaltungs-PKI erforderlich. In der Testumgebung können auch selbstgenerierte Zertifikate genutzt werden. Das Vorgehen ist im Artikel [Erstellen von JSON Web Keys für Testzwecke](../details/jwk-creation.md) beschrieben.
+:::
+
+Sie erhalten Zertifikate von der Zertifizierungsstelle (Certification Authority, CA) „Deutschland Online Infrastruktur-Certification Authority“ (DOI-CA), die von der Deutsche Telekom Security GmbH betrieben wird. <br/>
+Die DOI-CA ist in die Verwaltungs-Public Key Infrastructure (V-PKI, auch *Verwaltungs-PKI*) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) integriert.  <br/>
+
+### Vorgaben für Zertifikate der Verwaltungs-PKI
+
+Da Zertifikate der Verwaltungs-PKI für Behörden ausgestellt werden, ist es erforderlich, dass die im Zertifikat angegebenen Daten sicher überprüft werden.
+Hierzu ist eine Identifizierung durch die siegelführende Stelle Ihrer Behörde erforderlich („Behörden-Ident“). <br/>
+Der von der siegelführenden Stelle gegengezeichnete Antrag muss dann zu einer Registrierungsstelle (Registration Authority, RA) gesendet werden, die nach einer Überprüfung der Daten die Zertifikatserzeugung freigibt.  <br/>
+Weitere Vorgaben für die eingesetzten X.509-Zertifikate sind unter [Vorgaben für kryptographische Verfahren in FIT-Connect](../details/crypto.md#certificates) dokumentiert.
+
+### Beantragen im Web-Portal der DOI-CA
+
+Um Zertifikate der Verwaltungs-PKI zu beantragen, melden Sie sich im [Webportal der DOI-CA](https://doi.telesec.de/doi/ee/) an.
+Nach der erfolgreichen Anmeldungen sehen Sie die folgende Startseite:
+
+<img width="600" alt="Management von Zertifikaten der DOI-CA" src={useBaseUrl('/images/certificate_registration/certificate_registration_1.png')} />
+
+Klicken Sie in der Navigation auf der linken Seite auf den Menü-Punkt **Software-Zertifikat**.  <br/>
+Dann klicken Sie auf den Untermenü-Punkt **beantragen**.  <br/>
+Nun wird eine Seite angezeigt, auf der Sie eine Domäne auswählen können, die dann im Zertifikat als "Organizational Unit (OU) übernommen wird. Je nachdem, ob Sie eine Smartcard oder ein Software-Zertifikat beantragen, stehen Ihnen nur bestimmte Domänen zur Auswahl. Wählen Sie hier die Sub-Domäne `DOI_OSCI` aus und bestätigen Sie Ihre Auswahl mit **Weiter**.
+
+:::info Hinweis
+Bei der Beantragung von Zertifikaten über die **Thüringer Registrierungsstelle** beim TLRZ wählen Sie stattdessen die Sub-Domäne `Kommunikation Thüringen`.
+:::
+
+<img width="600" alt="Auswahl der Domäne" src={useBaseUrl('/images/certificate_registration/certificate_registration_2.png')} />
+
+Im nächsten Schritt gilt, es den Zertifikatstyp auszuwählen.
+Zur Wahl stehen ein personenbezogenes Zertifikat (für eine konkrete Person) und ein Gruppen- bzw. Funktions-Zertifikat, das für Personengruppen, Funktionen, Rollen, Systeme oder IT-Prozesse Anwendung findet.
+In Abhängigkeit der zuvor gewählten Domäne kann auch nur eine der beiden Möglichkeiten zur Auswahl stehen.
+
+Für unseren Anwendungsfall wählen Sie bitte `Gruppen-/Funktions-Zertifikat` und bestätigen sie Ihre Auswahl mit **Weiter**.
+
+<img width="600" alt="Auswahl des Zertifikatstyps" src={useBaseUrl('/images/certificate_registration/certificate_registration_3.png')} />
+
+Es folgt die Erfassung der Anschrift und Kontaktdaten des Anstragsstellers bzw. des Schlüsselverantwortlichen.
+Der Schlüsselverantwortliche ist der Repräsentant einer Gruppe und verantwortlich für die sichere Verteilung, Nutzung und ggf. Sperrung des Schlüssels.
+Er wird wie ein Antragsteller für ein personenbezogenes Zertifikat identifiziert und registriert.
+
+Bestätigen sie Ihre Eingaben mit **Weiter**.
+
+<img width="600" alt="Erfassung der Daten des Antragstellers/Schlüsselverantwortlichen" src={useBaseUrl('/images/certificate_registration/certificate_registration_4.png')} />
+
+Mit Eingabe der Zertifikatsdaten werden die eigentlichen zu beglaubigenden Inhalte erfasst.
+Da zuvor als Zertifikatstyp Gruppen-/Funktions-Zertifikat gewählt wurde, ist jetzt im Common Name des Zertifikats der Gruppen-/Funktionsname zu benennen.
+Gemäß der Zertifikats-Policy muss dieser mit Zusatz `GRP: `&nbsp;beginnen.
+
+Im Feld E-Mail-Adresse sollten Sie zur Gewährleistung der Erreichbarkeit, sofern vorhanden, eine zentrale E-Mail-Adresse bzw. ein Funktionspostfach eintragen.
+An diese E-Mail-Adresse werden sowohl die Informationen über die Zertifikatserstellung als auch später eine Erinnerung vor Ablauf des Zertifikats zur Erneuerung gesendet.
+
+Geben Sie jetzt den Gruppen-/Funktionsnamen sowie die E-Mail-Adresse ein und bestätigen Sie Ihre Eingaben mit **Weiter**.
+
+<img width="600" alt="Zertifikatsdaten: Name und E-Mail-Adresse" src={useBaseUrl('/images/certificate_registration/certificate_registration_5.png')} />
+
+Zusätzlich zum Namen und zur E-Mail-Adresse können weitere Daten zu Ihrer Behörde optional in das Zertifikat aufgenommen werden.
+Im Feld Dienstort können Sie den Dienstort Ihrer Behörde erfassen.
+Im Feld Kennung 1 tragen Sie bitte den Namen Ihrer Behörde ein, sofern sich dieser nicht bereits aus dem Gruppennamen ergibt.
+
+Nach Eingabe der optionalen Angaben bestätigen Sie Ihre Eingaben mit **Weiter**.
+
+<img width="600" alt="Zertifikatsdaten: Optionale Zertifikatsdaten" src={useBaseUrl('/images/certificate_registration/certificate_registration_6.png')} />
+
+Neben den Zertifikatsinhalten haben Sie als antragstellende Person auch die Möglichkeit, über einige technische Rahmenbedingungen zu entscheiden.
+
+So können Sie wählen, ob das Zertifikat neben einer Veröffentlichung im DOI-Netz auch über einen im Internet verfügbaren Verzeichnisdienst veröffentlicht werden soll.
+Damit wird das Zertifikat auch für nicht öffentliche Stellen im Internet auffindbar.
+
+Für die Verwendung der Zertifikate in FIT-Connect müssen gemäß den [Vorgaben für kryptographische Verfahren](../details/crypto.md#certificates) der Hash-Algorithmus `SHA-512` und der Schlüsseltyp `4096 Bit` ausgewählt werden.
+
+Das Sperrpasswort wird benötigt, wenn Sie Ihr Zertifikat vor Ende seiner Laufzeit sperren müssen.
+Notwendig kann das zum Beispiel sein bei Kompromittierung des geheimen Schlüssels, dem Ausscheiden einer Person aus der Behörde oder der Auflösung einer Organisationseinheit.
+
+Haben Sie sich für die technischen Rahmenbedingungen entschieden, bestätigen sie Ihre Eingaben mit **Weiter**.
+
+<img width="600" alt="Veröffentlichung, Hash-Algorithmus, Schlüsseltyp und Sperrpasswort" src={useBaseUrl('/images/certificate_registration/certificate_registration_7.png')} />
+
+Für die Abrechnung Ihres Zertifikats geben Sie bitte in diesem Schritt die Rechnungsanschrift des zuständigen Rechnungsempfängers an.
+
+<img width="600" alt="Rechnungsanschrift" src={useBaseUrl('/images/certificate_registration/certificate_registration_8.png')} />
+
+Im nächsten Schritt haben Sie die Möglichkeit, der zuständigen Registrierungsstelle eine Mitteilung zu Ihrem Antrag zu übermitteln.
+
+Bestätigen Sie Ihre Eingabe mit **Weiter**.
+
+<img width="600" alt="Mitteilung an die Registrierungsstelle" src={useBaseUrl('/images/certificate_registration/certificate_registration_9.png')} />
+
+Im letzten Schritt der Zertifikatsbeantragung werden die Antragsdaten in einer Zusammenfassung angezeigt.
+Sollten Ihnen hier noch etwaige Fehler auffallen, können Sie mithilfe von **Zurück** zu vorherigen Seiten zurück navigieren.
+
+Schließen Sie Ihren Zertifikatsantrag mit **Absenden** ab.
+Ihr Antrag wird nun an das Trustcenter gesendet. 
+
+<img width="600" alt="Zusammenfassung der Antragsdaten" src={useBaseUrl('/images/certificate_registration/certificate_registration_10.png')} />
+
+Klicken Sie nun auf die Schaltfläche **Zertifikatsantrag herunterladen**.
+Der Antrag beinhaltet neben dem eigentlichen Antrag für die Registrierungsstelle auch noch eine Kopie des Antrags für Ihre Unterlagen, einen PIN-Brief sowie ggf. weitere Blätter.
+
+Drucken Sie den Antrag bitte aus, unterschreiben Sie ihn und lassen Sie sich gemäß den Vorgaben (siehe Antrag) in einer siegelführenden Stelle Ihrer Behörde identifizieren.
+Senden Sie den Antrag an die zuständige Registrierungsstelle.
+Die Anschrift finden Sie im Antragsformular.
+Mit dem Versand des Antrags an die Registrierungsstelle ist der Vorgang für Sie zunächst abgeschlossen.
+Nachdem Ihr Zertifikat ausgestellt wurde, erhalten Sie eine E-Mail mit weiteren Informationen zu der Abholung Ihres Zertifikats.
+
+<img width="600" alt="Download und Versand des Zertifikatsantrags" src={useBaseUrl('/images/certificate_registration/certificate_registration_10_2.png')} />
+
+### Abruf des Zertifikats
+Nachdem das Trust Center der Telekom Ihr Zertifikat erstellt hat, werden Sie per E-Mail darüber informiert, dass Ihr Zertifikat bereit zum Download steht.
+
+Rufen Sie die Startseite des [Webportals der DOI-CA](https://doi.telesec.de/doi/ee/) auf.
+Nach erfolgreichem Login klicken Sie in der Navigation auf der linken Seite auf den Menü-Punkt **Software-Zertifikat**.
+Im Untermenü klicken Sie auf **abholen**.
+
+Geben Sie anschließend die Referenznummer und das Download-Passwort ein, das Sie Ihrem Antragsformular bzw. dem PIN-Brief entnehmen, und bestätigen Sie Ihre Eingaben mit **Suchen**.
+
+<img width="600" alt="Software-Zertifikat abholen" src={useBaseUrl('/images/certificate_registration/certificate_registration_11.png')} />
+
+Bei erfolgreicher Eingabe wird Ihr Zertifikat angezeigt.
+Klicken Sie auf **Herunterladen** und speichern Sie die Datei auf Ihrer Festplatte oder einem Datenträger.
+Bei der PKCS-12-Datei handelt es sich um einen Container, in dem ein Schlüsselpaar (öffentlicher und geheimer Schlüssel, siehe dazu auch [Verschlüsselte Übertragung in FIT-Connect](../getting-started/encryption.mdx)) sowie das Zertifikat enthalten sind.
+
+**Hinweis:** Die Anzahl der möglichen Downloads ist auf drei Versuche begrenzt!
+Sollten Sie nach dem 3. Versuch den erfolgreichen Download nicht bestätigt haben, wird beim nächsten Versuch das Zertifikat gesperrt und der geheime Schlüssel gelöscht.
+Die PKCS12-Datei kann dann nicht mehr heruntergeladen werden und ein Zugriff auf die Schlüssel ist nicht länger möglich.
+Sie müssen in dem Fall einen neuen Antrag stellen.
+Nach dem Herunterladen der Datei müssen Sie den erfolgreichen Download zwingend mit **Bestätigen** quittieren, damit die geheimen Schlüssel gelöscht werden und die Datei kein weiteres Mal heruntergeladen werden kann.
+Darüber hinaus wird mit dieser Bestätigung das Zertifikat in den Verzeichnissen veröffentlicht.
+
+<img width="600" alt="Software-Zertifikat herunterladen" src={useBaseUrl('/images/certificate_registration/certificate_registration_11_2.png')} />
+
+Sie erhalten nach der Bestätigung eine Meldung, dass Ihr Zertifikat freigeschaltet wurde.
+
+<img width="600" alt="Zertifikat als *.der-Datei herunterladen" src={useBaseUrl('/images/certificate_registration/certificate_registration_11_3.png')} />