Die ersten notwendigen Schritte in TCS nach Erhalt eines RAO-Zugangs sind:
1. Domain hinzufügen:
☰→Domains
per grünem +
-Button die Hauptdomain (example.org
) Ihrer Einrichtung hinzufügen und an Ihre Einrichtung „delegieren“. Die DFN-PCA muss diese Delegierung manuell bestätigen.☰→Domains
die Domain auswählen und rechts unter „Domain Control Validation“ die Domainfreischaltung starten.hostmaster@, postmaster@, usw
aus der zu validierenden Domain selbst zur Verfügung. Die Kontaktadresse aus dem SOA-Record im DNS kann bei Sectigo nicht verwendet werden. Sie müssen auf der zu validierenden Domain E-Mail empfangen können. Andernfalls müssen Sie die Validierungsmethode CNAME verwenden.*.<hauptdomain>
(*.example.org
) hinzu, damit auch FQDNs und Subdomains unterhalb der *.<hauptdomain>
beantragt werden können. Diese *.<hauptdomain>
erhält automatisch ohne weitere Interaktion den Zustand „Validated“.2. Organisationsvalidierung überprüfen:
☰→Organizations
überprüfen, dass die Einrichtung den Zustand „Validated“ zeigt☰→Organizations→Auswahl der Organisation→Button Edit→Stift-Symbol
das Feld Organization Alias
auf das von Ihrem Identity Provider gelieferte Attribut schacHomeOrganization
setzen. Siehe Zugriff per AAI3. Automatische Benachrichtigungen (Notifications) durch den SCM einrichten:
4. Weitere Kolleg*innen einbinden:
☰→Settings→Admins→+-Button
weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen.cert-manager
quittiert groß geschriebene Mail-Adressen mit einer Fehlermeldung „Please enter a valid email“.#$%&
usw. können verwendet werden, Umlaute oder „exotischere“ Sonderzeichen wie §
oder €
aber nicht.
Für andere/neue RAO-Accounts können die meisten Privilegien nur dann durch einen RAO-Account selbst verwaltet werden, wenn dieser RAO-Account das Privileg Allow editing of peer admin users
/Allow creation of peer admin users
besitzt und das zu vergebene Privileg selbst bereits besitzt.
Die meisten Privilegien können für DRAO-Accounts mit einem RAO-Account selbst verwaltet werden. Um einen DRAO-Account anzulegen, muss allerdings vorher bereits ein Department eingerichtet worden sein.
Für andere/neue DRAO-Accounts können die meisten Privilegien nur dann durch einen DRAO-Account selbst verwaltet werden, wenn dieser DRAO-Account das Privileg Allow editing of peer admin users
/Allow creation of peer admin users
besitzt und das zu vergebene Privileg selbst bereits besitzt.
DRAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen RAOs oder bei einem „Peer“-DRAO mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben.
RAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen „Peer“-RAOs mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben.
Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei dfnpca@dfn-cert.de. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM.
5. Client-Zertifikate beantragen:
6. Serverzertifikate beantragen:
7. Link zur FAQ: https://doku.tid.dfn.de/de:dfnpki:tcsfaq