Sectigo Certificate Manager - Rollen und Anmeldung

Im linken Seitenmenü können unter ☰→Settings→Admins weitere (D)RAO-Accounts über das grüne „+“-Symbol angelegt werden:

• Standard-Accounts mit Login via Benutzername/Passwort

• IdP-Accounts mit Login via SAML/AAI

• reine API-Accounts mit Login via Benutzername/Passwort und optional auch via API Key für den OAuth 2.0 „Client Credentials Flow“

Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können.

• RAO und DRAO sind Registration Authority Officer auf Organisations- oder Department-(Abteilungs)-Ebene. Je nach den diesen Accounts bei der Einrichtung zugewiesenen Rechten können RAO/DRAO weitere RAOs/DRAOs anlegen, modifizieren oder löschen, und eine Auswahl der Zertifikattypen SSL, Client und Code Signing erstellen.

• MRAO sind die Main Registration Authority Officer auf übergeordneter DFN-Ebene. Die MRAO-Rolle wird nicht an Personen außerhalb der DFN-PCA vergeben. Das Privileg Approve domain delegation ist ausschließlich MRAOs vorbehalten. Die MRAOs können über die üblichen Kontakte zur DFN-PCA erreicht werden, z.B. per E-Mail an dfnpca@dfn-cert.de.

Der erste RAO-Account einer Einrichtung wird von der DFN-PCA angelegt. Dieser erste RAO-Account erhält automatisch die von uns vergebenen höchstmöglichen Privilegien im SCM. Weitere RAOs oder DRAOs können dann eigenständig angelegt und verwaltet werden.

• Privilegien Allow … of peer admin ermöglichen auf Organisationsebene u.a. das Anlegen, Modifizieren oder Löschen von weiteren RAO-Accounts durch einen RAO-Account, analog auf Department-Ebene von weiteren DRAO-Accounts durch einen DRAO-Account. DRAO-Accounts können von jedem RAO-Account aus angelegt, modifiziert und gelöscht werden.
• Allow to manage organizations/departments: Mit diesem Privileg darf ein RAO-Account die Organisations- und Department-Details ändern. Mit dieser Berechtigung darf ein DRAO-Account die Department-Details ändern.
• Mit dem Privileg Allow DCV (Domain Control Validation) kann die Domainvalidierung gesteuert werden. Achtung: Auch ohne dieses Privileg ist das Eintragen von Domains und in bestimmten Situationen auch deren unmittelbare Verwendung möglich.
• Das Privileg Approve domain delegation ist ausschließlich MRAO-Accounts vorbehalten.
• Allow certificate revocation: Mit diesem Privileg darf ein RAO/DRAO-Account die für diesen SCM-Account sichtbaren Zertifikate (also auf Organisations- und/oder Department-Ebene) sperren.
• WS-API only: Ein RAO/DRAO-Account kann auf eine ausschließliche API-Nutzung eingeschränkt werden (Privileg WS API use only im Dialog „Add New Client Admin“, Menü ☰→Settings→Admins, Button „+“). Mit diesem Account kann dann ausschl. das REST-API bedient werden. Wichtig: Nach unseren Erkenntnissen sollte diese Checkbox erst nachträglich nach dem Ändern des Anfangspasswortes angekreuzt werden, da der neue Account sich einmal an der Web-Oberfläche anmelden muss, um sein Passwort vom Initial-Passwort zu setzen. Erst nach dem Setzen des richtigen Passworts sollte WS API use only über ☰→Settings→Admins→<Auswahl>→Edit unten im Karteireiter „Role & Privileges“ angekreuzt werden. Zur Einbindung weiterer Personen mit „WS-API only“-RAO-Account legen Sie bitte zuerst einen RAO-Account an, sofern kein bestehender RAO-Account geändert werden soll, loggen sich einmal ein, um das Anfangspasswort zu ändern. Weitere Einstellungen, die unbedingt vorgenommen werden müssen, bevor das REST-API genutzt werden kann, finden sich in REST-API.
• E-Mail-Adressen von SCM-Admin-Accounts dürfen keine großen Buchstaben (A-Z) enthalten. Kleinschreibung (a-z) wird akzeptiert.

Für andere/neue RAO-Accounts können die meisten Privilegien nur dann durch einen RAO-Account selbst verwaltet werden, wenn dieser RAO-Account das Privileg Allow editing of peer admin users/Allow creation of peer admin users besitzt und das zu vergebene Privileg selbst bereits besitzt.

Die meisten Privilegien können für DRAO-Accounts mit einem RAO-Account selbst verwaltet werden. Um einen DRAO-Account anzulegen, muss allerdings vorher bereits ein Department eingerichtet worden sein.

Für andere/neue DRAO-Accounts können die meisten Privilegien nur dann durch einen DRAO-Account selbst verwaltet werden, wenn dieser DRAO-Account das Privileg Allow editing of peer admin users/Allow creation of peer admin users besitzt und das zu vergebene Privileg selbst bereits besitzt.

DRAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen RAOs oder bei einem „Peer“-DRAO mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben.

RAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen „Peer“-RAOs mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben.

Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei dfnpca@dfn-cert.de. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM.

Vorsicht bei der Vergabe von Passworten: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie #$%& usw. können verwendet werden, Umlaute oder 8-Bit-Zeichen wie § oder € aber nicht.

Unter ☰→Settings→Admins→<Auswahl>→Edit kann für jeden RAO oder DRAO, der ein GÉANT Nutzerzertifikat besitzt, eine zertifikatbasierte Authentifizierung eingestellt werden. Diese Anmeldung ist zusätzlich zu dem vorhandenen Nutzername/Passwort erforderlich.

Achtung: Geht das Zertifikat verloren, wird es gesperrt oder läuft es ab, ist für den RAO oder DRAO kein Zugriff mehr möglich. Eine andere Person mit gleichen oder größeren Rechten muss in dem Fall die zertifikatbasierte Authentifizierung abschalten oder ändern.

Besonders tückische Falle: Die automatische Sperrung, wenn bereits Nutzerzertifikate existieren, siehe Beschränkung der Anzahl der Zertifikate

Über den Button „Sign in with your Institution“ unterhalb der Eingabefelder für Nutzername und Passwort können sich RAOs oder DRAOs in cert-manager.com über die AAI einloggen. Eine Beschreibung der Voraussetzungen ist zu finden unter: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-ToenableSAMLforadminaccesstoSCM:

Weitere Voraussetzungen finden Sie unter Zugriff per AAI

Um einen Account für das Einloggen mittels SAML/AAI vorzubereiten, gibt es zwei verschiedene Wege:

1. Bei einem per ☰→Settings→Admins, Button „Add“, manuell angelegten Standard-Account mit Passwort kann zusätzlich das Feld „Identity Provider“ auf „Your Institution“ gesetzt werden, und „EPPN“ auf den Wert des Attributes eduPersonPrincipalName. Anschließend kann sich dieser Account per Nutzername/Password und alternativ auch per SAML über den einrichtungseigenen IdP einloggen.
2. Mit dem Weg ☰→Settings→Admins, grünes „+“-Symbol, kann ein IdP-Account ohne Passwort angelegt werden, der sich nur über den IdP einloggen kann.

Ihr IdP muss mindestens schacHomeOrganization, eduPersonPrincipalName (ePPN) und mail an Sectigo übertragen. Die übertragenen Attribute können Sie einsehen unter: https://cert-manager.com/customer/DFN/ssocheck/

Zur weiteren Strukturierung der Organisation können RAOs Abteilungen anlegen. Hierzu im linken Seiten-Menü „Organizations“ die eigene Organisation anwählen, und dann den Button Departments betätigen.

Bitte beim Eintragen des Secondary Organization Names darauf achten, dass dessen Länge unter 64 Zeichen bleibt. Es wird sonst zu mysteriösen Fehlern bei der Zertifikatbeantragung kommen.

Wichtig: Unter „Client Certificates“ bitte unbedingt alle Punkte „Allow Key Recovery by…“ herausnehmen! Es kommt sonst zu mysteriösen Fehlern bei der Zertifikatbeantragung.

Im Anschluss können über ☰→Settings→Admins weitere Zugänge („DRAOs“) angelegt werden, die innerhalb der zugewiesenen Abteilung Zertifikate verwalten können.

Entgegen der Intuition unterliegen DRAOs keiner besonderen Beschränkung in der Domain-Verwaltung.