Die folgenden Punkte sind zu beachten, wenn Sie bereits in GÉANT TCS User-Zertifikate ausstellen. Voraussetzung für die Anwendung dieser Anleitung ist, dass Ihre Organisation bereits nach den neuen Regeln revalidiert wurde. Ob dies bereits der Fall ist, können Sie nicht selbstständig im Sectigo System SCM sehen. Die DFN-PCA informiert Einrichtungen, wenn die Revalidierung abgeschlossen ist.

Wenn Sie eine Anleitung für die erste Einrichtung von User-Zertifikaten suchen, schauen Sie bitte in die FAQ zu Nutzerzertifikaten

Die folgenden beiden Zertifikattypen stehen nun für sichere E-Mail / S/MIME zur Verfügung:

• GÉANT Personal email signing and encryption: Mit Vorname/Nachname, E-Mail-Adresse und Organisationsname
• GÉANT Organisation email signing: Ohne Vorname/Nachname, nur E-Mail-Adresse und Organisationsname

Dieser Zertifikattyp enthält sowohl die E-Mail-Adresse als auch Vorname/Nachname des Users und die Organisations-Informationen. Voraussetzung für die Ausstellung dieses Zertifikattyps ist, dass ein Person-Objekt in SCM existiert mit Validation Type 'HIGH'.

Diese Zertifikate sind geeignet für sichere E-Mail für User, die mit Vorname/Nachname im Zertifikat auftreten sollen, und die in der Organisation bereits identifiziert wurden.

Bitte stellen Sie auf keinen Fall „Testzertifikate“ mit unsinnigen Namen aus. Dies verstößt gegen das TCS CPS, die Policies von Sectigo und die Regeln für S/MIME-Zertifikate , und gefährdet den Dienst. Sie dürfen nur Zertifikate zu identifizierten Personen ausstellen.

Diese Zertifikate können über idp/clientgeant, E-Mail-Einladung oder REST-API ausgestellt werden.

Es gibt von Sectigo derzeit keine konkreten zusätzlichen Verfahrensanweisungen, um einen Validation Type 'HIGH' zu setzen.

Die Anforderungen, die im TCS CPS an die Identifizierung und die Dokumentation festgehalten sind, gelten weiterhin. Siehe hierzu Identifizierung und Dokumentation in der FAQ.

Dieser Zertifikattyp enthält nur die E-Mail-Adresse und Organisations-Informationen und keine Namen von Personen. Im cert-manager existiert trotzdem ein Personeneintrag, in dem die Felder firstName und lastName befüllt sein müssen. Der Validation Type des Personeneintrags kann auch 'STANDARD' sein.

Diese Zertifikate sind geeignet für Gruppen oder für Personen, die in der Einrichtung noch nicht persönlich identifiziert wurden.

Entgegen dem Profilnamen ist auch E-Mail Verschlüsselung möglich.

Diese Zertifikate können ausschließlich über E-Mail-Einladung oder REST-API ausgestellt werden. In idp/clientgeant steht dieser Typ nicht zur Verfügung.

Zertifikate für Grid-Computing wurden bisher in den „IGTF“-Profilen erstellt. Die Profile tragen nun die folgenden Namen:

• GÉANT Personal Authentication: Wie vorher IGTF Personal
• GÉANT Personal Automated Authentication: Wie vorher IGTF Personal Robot
• GÉANT Organisation Automated Authentication: Wie vorher IGTF Robot Email

Nutzen Sie diese Zertifikattypen nur im Kontext von Grid-Computing. Die Zertifikate sind nicht mehr für sichere E-Mail geeignet, da sie nun aus einer privaten Zertifizierungshierarchie ausgestellt werden.

Achtung: Aufgrund der Verwechslungsmöglichkeit für User bei der Beantragung stellen wir diese Profile nicht mehr allgemein zur Verfügung. Wenn Sie Zertifikate für Grid-Computing ausstellen wollen, melden Sie sich bitte bei dfnpca@dfn-cert.de. Wir weisen die Profile dann Ihrer Organisation zu.

Wenn Zertifikate über idp/clientgeant ausgerollt werden, ist folgendes zu beachten:

• Identity Provider müssen nun unbedingt die Attribute sn und givenName übertragen (siehe Attribute für cert-manager)
• Es können Zertifikate für sichere E-Mail (S/MIME) mit dem Profil GÉANT Personal email signing and encryption ausgestellt werden. Die Zertifikate beinhalten Vorname/Nachname.
  • Existiert die Person bereits im System, wird der Validation Type automatisch auf 'HIGH' gesetzt
  • Hat die Person bereits Zertifikate, und ist der Personeneintrag in Details anders, werden bisherige Zertifikate gesperrt.
• Zertifikatprofile für IGTF/Grid-Computing stellen wir nur auf Anfrage für Ihre Organisation zur Verfügung. Hintergrund: Es besteht die Gefahr, dass User die für sichere E-Mail ungeeigneten GÉANT * Authentication-Profile wählen. Wenn für Ihre Organisation Grid-Computing-Zertifikate ausgestellt werden sollen, melden Sie sich bitte bei dfnpca@dfn-cert.de, und informieren Sie vorab Ihre User über die Wahl der passenden Zertifikatprofile.

Wenn Software zur Ausstellung von User-Zertifikaten verwendet wird, die über das REST-API an das Sectigo-System angebunden ist, ist folgendes zu beachten:

• Sie müssen sich als erstes entscheiden, ob Sie Zertifikate mit oder ohne Vorname/Nachname ausstellen wollen.

• Für Zertifikate ohne Vorname/Nachname:
  • Ändern Sie den certType auf die ID des Profils GÉANT Organisation email signing
  • Entgegen dem Profilnamen ist auch E-Mail Verschlüsselung möglich
  • Beachten Sie, dass nur noch die Laufzeiten 365 oder 730 Tage zur Verfügung stehen. Ändern Sie ggf. den Parameter term entsprechend ab.
  • Im Request muss weiterhin firstName angegeben werden, und es wird ein Person-Objekt mit diesen Daten angelegt.

• Für Zertifikate mit Vorname/Nachname:
  • Ändern Sie den certType auf die ID des Profils GÉANT Personal email signing and encryption
  • Beachten Sie, dass nur noch die Laufzeiten 365 oder 730 Tage zur Verfügung stehen. Ändern Sie ggf den Parameter term entsprechend ab.
  • Anders als bisher benötigt die Zertifikatausstellung nun ein Personenobjekt mit Validationtype 'HIGH'
  • Legen Sie zunächst mit dem API api/person/v1 eine Person an (mit Parameter 'validationType': 'HIGH')
  • Beantragen Sie anschließend das Zertifikat per api/smime/v1/enroll
  • Für die Erneuerung von Zertifikaten von bereits im System existierenden Personen muss der Validation Type auf HIGH aktualisiert werden. Entweder per Hand im cert-manager, oder per API api/person/v1/<Person-ID>

• Die Ausstellung von User-Zertifikaten dauert nun deutlich länger. Es wurden Zeiten von > 3 Minuten beobachtet. Passen Sie ggf. Timeouts an.

Alle bestehenden Accounts in Enrollment Forms müssen von Ihnen aktualisiert werden. Es müssen die neuen Profile eingetragen und die alten Profile gelöscht werden.

• Wählen Sie in SCM ☰→Enrollment→Enrollment Forms
• Wählen Sie Ihr Enrollment Form aus
• Oben auf „Accounts“ klicken
• Den zu bearbeitenden Account auswählen
• Unter Profiles die bestehenden alten Profile löschen
• Über das kleine „+“-Zeichen aus der Drop-Down-Liste das gewünschte Zertifikatprofil für den E-Mail-Einladungsprozess auswählen.
  • Sie müssen sich bei der Wahl des Profils entscheiden, ob Sie Zertifikate mit oder ohne Vorname/Nachname ausstellen wollen.
  • Ohne Vorname/Nachname (u.a. auch für Gruppenzertifikate):
    • Wählen Sie das Profil GÉANT Organisation email signing
  • Mit Vorname/Nachname:
    • Wählen Sie das Profil GÉANT Personal email signing and encryption
    • Hierfür muss jeder Eintrag unter ☰→Persons, der ein Zertifikat erhalten soll, bearbeitet werden. Sie müssen jede Person aufrufen, und dort den Validation Type von 'STANDARD' auf 'HIGH' umsetzen.

• Die Ausstellung von User-Zertifikaten dauert nun deutlich länger. Es wurden Zeiten von > 3 Minuten beobachtet. Es ist damit zu rechnen, dass User ungeduldig sind und den Vorgang vorzeitig abbrechen.

Wenn Sie Personen per Upload einer CSV-Datei anlegen und Zertifikate mit Vorname/Nachname ausstellen wollen, muss der Validation-Type auf 'HIGH' gesetzt werden:

<Vorname>;;<Nachname>;<E-Mail-Adresse>;;High;<Organisationsname>;;<Secret ID (Passwort)>;;DE;;<eduPersonPrincipalName>;<Common Name>

Als Beispiel:

Erika;;Musterfrau;musterfrau@example.org;;High;Example GmbH;;AL07rQCsofFQfrJqqmAn;;DE;;musterfrau@example.org;Erika Musterfrau