Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:dfnpki:faq:generation2 [2018/05/31 11:04] – [2.1 Wie stelle ich auf die zweite Generation der DFN-PKI um?] Heike Ausserfeldde:dfnpki:faq:generation2 [2018/05/31 14:46] Heike Ausserfeld
Zeile 1: Zeile 1:
 ~~NOTOC~~ ~~NOTOC~~
-===Fragen und Antworten zu Zertifikaten in der DFN-PKI - Generation 2===+=====FAQ Generation 2=====
  
 {{INLINETOC 3}} {{INLINETOC 3}}
Zeile 34: Zeile 34:
 Der Umstieg ist üblicherweise völlig problemlos. Allerdings sollten Sie bei folgenden Anwendungen vorab prüfen, ob nicht weitere Umkonfigurationen notwendig sind: Der Umstieg ist üblicherweise völlig problemlos. Allerdings sollten Sie bei folgenden Anwendungen vorab prüfen, ob nicht weitere Umkonfigurationen notwendig sind:
  
-* Server-Zertifikate, die noch von vielen Android 4.4-Nutzern verwendet werden +   * Server-Zertifikate, die noch von vielen Android 4.4-Nutzern verwendet werden 
-* Das Zertifikat Ihres eduroam-RADIUS-Servers +   * Das Zertifikat Ihres eduroam-RADIUS-Servers 
-* Server, die eine Authentisierung mittels Nutzerzertifikaten verlangen+   * Server, die eine Authentisierung mittels Nutzerzertifikaten verlangen
  
 Diese Anwendungen werden in dieser FAQ weiter unten beschrieben. Diese Anwendungen werden in dieser FAQ weiter unten beschrieben.
Zeile 72: Zeile 72:
 Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen. Das Zertifikat, mit dem sich Ihr RADIUS-Server gegenüber den Nutzern Ihrer Einrichtung im Rahmen von eduroam/802.1X ausweist, erfordert besondere Beachtung. Um bestimmte Formen von Angriffen insbesondere gegen Android-Systeme abzuwehren, wird seit Jahren empfohlen, dass eduroam-Nutzer die erlaubten CAs für die Zertifizierung von RADIUS-Servern fest in ihren Endgeräten konfigurieren. Wenn Sie nun Ihren RADIUS-Server mit einem neuen Zertifikat aus der zweiten Generation der DFN-PKI ausstatten, wird für alle Nutzer mit einer solchen Konfiguration die eduroam-Verbindung fehlschlagen. Diese Nutzer müssen dann ihre eduroam-Konfiguration überprüfen und eventuell anpassen.
  
-Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem Beitrag in unserem Blog.+Daher ist beim Austausch des RADIUS-Serverzertifikats mit Bedacht vorzugehen. Eine weitergehende Erläuterung der Problematik finden Sie in diesem [[https://blog.pki.dfn.de/2017/10/eduroam-und-radius-serverzertifikate-aus-der-neuen-dfn-pki-generation-2/|Beitrag]] in unserem Blog.
  
 ====2.6 Gibt es Besonderheiten bei der Client-Authentifizierung?==== ====2.6 Gibt es Besonderheiten bei der Client-Authentifizierung?====
Zeile 87: Zeile 87:
 ====2.8 Wo finde ich weitere Informationen?==== ====2.8 Wo finde ich weitere Informationen?====
  
-Weitere Informationen veröffentlichen wir unter blog.pki.dfn.de+Weitere Informationen veröffentlichen wir unter [[https://blog.pki.dfn.de|blog.pki.dfn.de]]
  
 Einführung der neuen Generation der DFN-PKI Einführung der neuen Generation der DFN-PKI
  
-blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/+[[https://blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/|blog.pki.dfn.de/2016/07/einfuehrung-der-neuen-generation-der-dfn-pki/]]
 ====3. Antragsstellung==== ====3. Antragsstellung====
 ====3.1 Wie ist die URL der Antragsseiten?==== ====3.1 Wie ist die URL der Antragsseiten?====
Zeile 111: Zeile 111:
 Bitte beachten Sie: Andere Formen wie Bitte beachten Sie: Andere Formen wie
  
-%%'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki' funktionieren nicht!%%+%%'https://pki.pca.dfn.de/uni-pellworm-ca-g2/cgi-bin/pub/pki'%% funktionieren **nicht**!
  
 ====4. Teilnehmerservice==== ====4. Teilnehmerservice====
Zeile 159: Zeile 159:
 ====4.9 Wie muss der Schulungsbogen erstellt werden?==== ====4.9 Wie muss der Schulungsbogen erstellt werden?====
  
-Der einmal jährlich auszufüllende Schulungsbogen (siehe Kapitel 3.5 von „Aufgaben des Teilnehmerservice“ ) muss über die Funktion „TS-Schulungsnachweis erstellen“ der Java RA-Oberfläche erzeugt und ausgedruckt werden.+Der einmal jährlich auszufüllende Schulungsbogen (siehe Kapitel 3.5 von [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Aufgaben-TS-DFN-PKI.pdf|„Aufgaben des Teilnehmerservice“]]) muss über die Funktion „TS-Schulungsnachweis erstellen“ der Java RA-Oberfläche erzeugt und ausgedruckt werden.
  
-Um alle TS-Mitarbeiter zu erfassen, müssen Sie den Bogen sowohl unter Ihrem Zugang zur ersten Generation als auch unter Ihrem Zugang zur zweiten Generation der DFN-PKI erstellen (letzteres nur, wenn Sie dort auch TS-Mitarbeiter aufgelistet sehen; siehe hierzu auch Punkt 4.6).+Um alle TS-Mitarbeiter zu erfassen, müssen Sie den Bogen sowohl unter Ihrem Zugang zur ersten Generation als auch unter Ihrem Zugang zur zweiten Generation der DFN-PKI erstellen (letzteres nur, wenn Sie dort auch TS-Mitarbeiter aufgelistet sehen; siehe hierzu auch [[de:dfnpki:faq:generation2#warum_sind_keine_ts-mitarbeiter_in_der_„dfn-ca-global-g2_aufgelistet|Punkt 4.6]]).
  
 ====4.10 Welche Domains sind für Zertifikate freigeschaltet?==== ====4.10 Welche Domains sind für Zertifikate freigeschaltet?====