Erste Schritte in TCS

Die ersten notwendigen Schritte in TCS nach Erhalt eines RAO-Zugangs sind:

1. Domain hinzufügen:

• Im linken Seiten-Menü unter ☰→Domains per grünem +-Button die Hauptdomain (example.org) Ihrer Einrichtung hinzufügen und an Ihre Einrichtung „delegieren“. Die DFN-PCA muss diese Delegierung manuell bestätigen.
• Nach erfolgter Delegierung unter ☰→Domains die Domain auswählen und rechts unter „Domain Control Validation“ die Domainfreischaltung starten.
  • Wenn Sie CAA-Records nutzen, so müssen diese bereits in diesem Schritt zum TCS-Anbieter passen: CAA-Records
  • Bitte die Validierungsmethode HTTP/HTTPS nur in Einzelfällen verwenden. Mit dieser Methode können nur Zertifikate für die exakte Domain ohne weitere Subdomains oder Hostnamen ausgestellt werden.
  • Bei der Validierungsmethode EMAIL stehen nur die Standard-Adressen hostmaster@, postmaster@, usw aus der zu validierenden Domain selbst zur Verfügung. Die Kontaktadresse aus dem SOA-Record im DNS kann bei Sectigo nicht verwendet werden. Sie müssen auf der zu validierenden Domain E-Mail empfangen können. Andernfalls müssen Sie die Validierungsmethode CNAME verwenden.
• Erst wenn Ihre Hauptdomain den Zustand „Validated“ zeigt: Fügen Sie auch *.<hauptdomain> (*.example.org) hinzu, damit auch FQDNs und Subdomains unterhalb der *.<hauptdomain> beantragt werden können. Diese *.<hauptdomain> erhält automatisch ohne weitere Interaktion den Zustand „Validated“.
• Hinweis: Solange die Domain nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben.
• domains

2. Organisationsvalidierung überprüfen:

• Unter ☰→Organizations überprüfen, dass die Einrichtung den Zustand „Validated“ zeigt
  • Hinweis: Solange die Organisation nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen ist normal.
• Für die Beantragung von Zertifikaten per SAML: Unter ☰→Organizations→Auswahl der Organisation→Button Edit→Stift-Symbol das Feld Organization Alias auf das von Ihrem Identity Provider gelieferte Attribut schacHomeOrganization setzen. Siehe Zugriff per AAI

3. Automatische Benachrichtigungen (Notifications) durch den SCM einrichten:

• Zertifikatsablauf-Warn-E-Mails und Domain-Validation-Ablauf-Warn-E-Mails einrichten

4. Weitere Kolleg*innen einbinden:

• Unter ☰→Settings→Admins→+-Button weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen.
• Mail-Adressen bitte klein schreiben. cert-manager quittiert groß geschriebene Mail-Adressen mit einer Fehlermeldung „Please enter a valid email“.
• Passworte: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie #$%& usw. können verwendet werden, Umlaute oder „exotischere“ Sonderzeichen wie § oder € aber nicht.
• Die Privilegien, weitere Peer-Admins (RAO zu RAO bzw. DRAO zu DRAO) anzulegen, zu bearbeiten und zu löschen, werden automatisch beim Anlegen dieser Peer-Accounts (RAO zu RAO bzw. DRAO zu DRAO) weitervererbt, sofern der eigene Admin-Account die entsprechenden Berechtigungen hat.
• RAOs können immer neue DRAOs anlegen, bearbeiten und löschen.
• Durch RAOs neuangelegte DRAOs erhalten automatisch die Privilegien, weitere DRAOs anzulegen, zu bearbeiten und zu löschen.
• Eine Beschreibung der Privilegien findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation

Für andere/neue RAO-Accounts können die meisten Privilegien nur dann durch einen RAO-Account selbst verwaltet werden, wenn dieser RAO-Account das Privileg Allow editing of peer admin users/Allow creation of peer admin users besitzt und das zu vergebene Privileg selbst bereits besitzt.

Die meisten Privilegien können für DRAO-Accounts mit einem RAO-Account selbst verwaltet werden. Um einen DRAO-Account anzulegen, muss allerdings vorher bereits ein Department eingerichtet worden sein.

Für andere/neue DRAO-Accounts können die meisten Privilegien nur dann durch einen DRAO-Account selbst verwaltet werden, wenn dieser DRAO-Account das Privileg Allow editing of peer admin users/Allow creation of peer admin users besitzt und das zu vergebene Privileg selbst bereits besitzt.

DRAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen RAOs oder bei einem „Peer“-DRAO mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben.

RAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen „Peer“-RAOs mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben.

Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei dfnpca@dfn-cert.de. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM.

5. Client-Zertifikate beantragen:

• Prüfen, für welche Anwendungsfälle Client-Zertifikate aus TCS sinnvoll sind. Achtung: Der Subject-DN in neu ausgestellten TCS-Zertifikaten kann sich unvermittelt ändern, wenn Sectigo Organisationen neu validiert. Client-Authentifizierung mit Prüfung des Subject-DN ist nicht für TCS empfohlen. Wählen Sie hierfür bitte eine andere PKI, z.B. die DFN-Verein Community PKI
• Per E-Mail-Einladung aus dem cert-manager heraus: https://doku.tid.dfn.de/de:dfnpki:tcs:usercert#e-mail-einladung
• Beantragung über SAML/AAI:
  • Unter Mithilfe Ihrer AAI-Administration die Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcs:usercert#ueber_die_aai
  • Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant

6. Serverzertifikate beantragen:

• Aus dem cert-manager heraus: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert#direkt_im_cert-manager
• Über SAML/AAI: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert#ueber_die_aai
• ACME: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert_acme

7. Link zur FAQ: https://doku.tid.dfn.de/de:dfnpki:tcsfaq