**Diese FAQ richtet sich primär an die Teilnehmerservices an den an der DFN-PKI teilnehmenden Einrichtungen. Nicht alle hier beschriebenen Funktionen werden von allen Einrichtungen gleichermaßen umgesetzt. Falls Sie sich für den Bezug eines Zertifikats interessieren, wenden Sie sich bitte an Ihren lokalen Teilnehmerservice an Ihrer Heimateinrichtung.** =====Wie erhalten Einrichtungen einen Zugang?===== Ein Zugang zu TCS kann über den Kontakt [[pki@dfn.de|pki@dfn.de]] beauftragt werden. Das initiale Setup erfolgt dann in direkter Absprache mit [[dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. ====Gibt es eine Testumgebung für TCS REST API und die Webseiten?==== Der TCS-Anbieter Sectigo stellt keine Testumgebung zur Verfügung. =====Erste Schritte===== Überblick über erste Schritte nach Erhalt eines Zugangs: [[de:dfnpki:tcsfaq:ersteschritte|Erste Schritte]] =====Dokumentation===== Bei GÉANT gibt es eine Zusammenstellung von FAQs: [[https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ]] Die Dokumentation von Sectigo zur Administrations-Oberfläche und zu ACME ist zu finden unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-Administrator-s-Guide/kA01N000000bvJA Die REST-API ist dokumentiert unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-REST-API/kA01N000000XDkE Sectigo unterhält einen Youtube-Kanal mit vielen Tutorials: https://www.youtube.com/c/Sectigo/videos =====Datenschutz===== Hinweise zum Datenschutz und der vertraglichen Konstruktion: [[de:dfnpki:tcs:datenschutz|Datenschutz]] =====Funktionsüberblick===== Anwender haben Zugriff über die Administrations-Oberfläche, genannt "Sectigo Certificate-Manager" (SCM), unter https://cert-manager.com/customer/DFN Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Client-Zertifikaten möglich. TCS bietet zusätzlich: * Web-Formulare zum Beantragen von Zertifikaten für nicht in cert-manager.com eingeloggte Benutzer * Eine Ausstellung von Zertifikaten über eine SAML-Integration * Eine ACME-Schnittstelle * Eine REST-API Es gibt **keine** Testumgebung. =====Rollen, Anmeldung und Abteilungen (Departments)===== In SCM gibt es verschiedene Rollen und Möglichkeiten zur Anmeldung. Es können Abteilungen ("Departments") angelegt werden: [[de:dfnpki:tcs:scmrollenundanmeldung|Rollen, Anmeldung, Abteilungen]] ===== Tipps und Tricks in SCM ===== [[de:dfnpki:tcs:scmtipstricks|Tipps und Tricks für SCM]] =====Zugriff per AAI===== Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen Voraussetzungen erfüllt sein: [[de:dfnpki:tcs:zugriffperaai|Zugriff per AAI]] =====Benachrichtigungen===== Um Benachrichtigungen über Ereignisse wie den Ablauf von Zertifikaten oder der Gültigkeit von Domain-Valididierungen zu erhalten, können Benachrichtigungen konfiguriert werden: [[de:dfnpki:tcs:scm_notifications|Benachrichtigungen in SCM]] =====Domains und IPv4-Adressen in Zertifikaten===== Um Zertifikate zu erhalten, müssen die entsprechenden Domains oder IPv4-Adressen **vorab** bei Sectigo im System eingetragen werden. Eine detaillierte Beschreibung ist verfügbar unter: [[de:dfnpki:tcs:domains|Domains und IPv4-Adressen in Zertifikaten]] =====Zertifikate erstellen===== [[de:dfnpki:tcs:servercert|Serverzertifikate]] [[de:dfnpki:tcs:servercert_acme|Serverzertifikate per ACME]] [[de:dfnpki:tcs:usercert|Client-Zertifikate]] [[de:dfnpki:tcs:documentsigning|Document Signing]] [[de:dfnpki:tcs:codesigning|Code Signing]] [[de:dfnpki:tcs:restapi|REST API]] ====CA- und Root-Zertifikate in TCS==== Die uns bekannten Root- und CA-Zertifikate in TCS sind dokumentiert unter: [[de:dfnpki:tcs_ca_certs|TCS CA-Zertifikate]] =====CAA-Records===== Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken: [[de:dfnpki:tcs:caa|CAA]] =====Zertifikate sperren (Revoke, Revocation)===== Zertifikate sollen üblicherweise von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden. Die [[de:dfnpki:tcs:servercert_acme#acme-zertifikate_sperren|Sperrmechanismen von ACME]] (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung. Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können: https://secure.sectigo.com/products/RevocationPortal Hier sind allerdings weitere Authentifizierungsschritte erforderlich, wie beispielsweise die Beantwortung einer E-Mail-Challenge, die Bereitstellung des Private Key oder die Signierung eines vorgegebenen Datenobjektes. ======Audits====== Im Gegensatz zur DFN-PKI sind in GÉANT TCS keine regelmäßigen Audits der RA-Tätigkeit von Teilnehmern vorgesehen. Im [[https://wiki.geant.org/display/TCSNT/TCS+Repository|TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates]] wird in Kapitel 9.6.2 vereinbart: The Subscriber agrees to provide on request full documentation to the Member and/or the GÉANT Association about the procedures used to populate and maintain the identity related information in its IdP. =====Statusmeldungen und Wartungsankündigungen===== Statusmeldungen und Wartungsankündigungen der Sectigo-Services sind sichtbar über: https://sectigo.status.io Die Meldungen können dort auch als E-Mail und RSS-Feed (https://status.io/pages/5938a0dbef3e6af26b001921/rss) abonniert werden. =====Support===== Wir helfen auch bei technischen Schwierigkeiten mit den TCS-Systemen gerne weiter: [[dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]] Ein direkter Kontakt mit dem englischsprachigen Sectigo Support ist auch möglich. Das Support-Portal von Sectigo ist erreichbar unter: https://sectigo.com/support-ticket Bitte unbedingt den folgenden Hinweis einfügen: "We are a DFN member of the GEANT TCS service, using the SCM instance https://cert-manager.com/customer/DFN." Es ist zu empfehlen, vor einer direkten Kontaktaufnahme zum Sectigo Support mit uns zu sprechen. ===Support-Tickets für die Validierung (DCV) von IP-Adressen=== Sofern Sie ein Ticket für den speziellen [[de:dfnpki:tcs:domains#ip-adressen_in_zertifikaten|DCV-Vorgang zur Validierung von IP-Adressen]] erstellen wollen, wählen Sie bitte für das Ticket //Case type: "Technical Support"// und //Case reason: "Sectigo Certificate Manager (SCM)"// aus, damit das Ticket gleich in die korrekte Supportschlange eingestellt wird. ===Support-Tickets für Anträge von Code-Signing-Zertifikate=== Sofern Sie ein Ticket für die Bearbeitung von [[de:dfnpki:tcs:codesigning|Anträgen von Code-Signing-Zertifikaten]] erstellen wollen, wählen Sie bitte für das Ticket //Case type: "Validation Support"// und //Case reason: "Code Signing Certificate"// aus. Die Order Number ist zwingend anzugeben. Sie ist im SCM unter ☰→Certificates→Code Signing einsehbar. =====E-Mail-Verteilerliste dfnpki-d===== Auf [[https://listserv.dfn.de]] ist die E-Mail-Verteilerliste dfnpki-d@listserv.dfn.de eingerichtet. Diese unmoderierte Liste soll den Austausch **unter den Teilnehmern an der DFN-PKI** befördern und die Diskussion von Problemen und die Verbreitung von Lösungsvorschlägen ermöglichen. Eine Anmeldung ist **für DFN-PKI-Teilnehmer** möglich unter [[https://www.listserv.dfn.de/sympa/info/dfnpki-d]].