| Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:dfnpki:faq:ts-betrieb [2018/05/30 15:53] – angelegt Heike Ausserfeld | de:dfnpki:faq:ts-betrieb [2018/05/31 13:55] – Heike Ausserfeld |
|---|
| ====1. Organisation==== | ====1. Organisation==== |
| ====1.1 Welche Aufgaben hat ein Teilnehmerservice (TS)?==== | ====1.1 Welche Aufgaben hat ein Teilnehmerservice (TS)?==== |
| Der Teilnehmerservice einer an der DFN-PKI teilnehmenden Einrichtung übernimmt in Zusammenhang mit der Ausstellung von Zertifikaten Aufgaben, die sinnvollerweise nur lokal durchgeführt werden können. Die wesentlichen Aufgaben sind: | Der Teilnehmerservice einer an der DFN-PKI teilnehmenden Einrichtung übernimmt in Zusammenhang mit der Ausstellung von Zertifikaten Aufgaben, die sinnvollerweise nur lokal durchgeführt werden können. Die wesentlichen Aufgaben sind: |
| | * Stellen von Zertifikatanträgen über die RA-Oberfläche |
| | * Sperren von Zertifikaten |
| | * Beraten von Nutzern |
| |
| Stellen von Zertifikatanträgen über die RA-Oberfläche | Eine ausführliche Darstellung dieser Punkte findet sich in **Kapitel 2** des Dokuments [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Aufgaben-TS-DFN-PKI.pdf|"Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global"]]. |
| Sperren von Zertifikaten | |
| Beraten von Nutzern | |
| |
| Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 2 des Dokuments "Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global". | ====1.2 Was ist eine handlungsberechtigte Person?==== |
| | |
| | Eine handlungsberechtigte Person (HP) in der DFN-PKI ist die Person, die eine Einrichtung in allen Belangen in Zusammenhang mit der DFN-PKI gegenüber dem DFN-Verein vertritt. Eine HP wird von einer für eine Einrichtung zeichnungsberechtigten Person mit dem Formular zur Teilnahme an der DFN-PKI (F-TA) ernannt und muss sich mit dem Formular F-ID und ihrem Ausweis persönlich beim DFN-Verein identifizieren (auch per PostIdent möglich). |
| |
| 2. Was ist eine handlungsberechtigte Person? | Die HP kann nach ihrer Identifizierung |
| Eine handlungsberechtigte Person (HP) in der DFN-PKI ist die Person, die eine Einrichtung in allen Belangen in Zusammenhang mit der DFN-PKI gegenüber dem DFN-Verein vertritt. Eine HP wird von einer für eine Einrichtung zeichnungsberechtigten Person mit dem Formular zur Teilnahme an der DFN-PKI (F-TA) ernannt und muss sich mit dem Formular F-ID und ihrem Ausweis persönlich beim DFN-Verein identifizieren (auch per PostIdent möglich). | |
| |
| Die HP kann nach ihrer Identifizierung | * alle Formulare - außer dem Formular zur Teilnahme an der DFN-PKI (F-TA) - im Zusammenhang mit der DFN-PKI unterschreiben |
| | * weitere HPs benennen, die sich dann ebenfalls mit dem Formular F-ID und ihrem Ausweis persönlich beim DFN-Verein identifizieren müssen (auch per PostIdent möglich) |
| |
| alle Formulare - außer dem Formular zur Teilnahme an der DFN-PKI (F-TA) - im Zusammenhang mit der DFN-PKI unterschreiben | ====1.3 Was ist beim Einrichten und Betrieb eines TS zu beachten?==== |
| weitere HPs benennen, die sich dann ebenfalls mit dem Formular F-ID und ihrem Ausweis persönlich beim DFN-Verein identifizieren müssen (auch per PostIdent möglich) | |
| |
| 3. Was ist beim Einrichten und Betrieb eines TS zu beachten? | Das Einrichten eines TS umfasst im Wesentlichen folgende Aufgaben: |
| | * Benennen der TS-Mitarbeiter [[https://www.pki.dfn.de/fileadmin/PKI/F-TS-Mitarbeiter.pdf|(Formular F-TS-MA)]] |
| | * Schaffung der räumlichen und technischen Voraussetzungen |
| | * Bezug der persönlichen TS-Mitarbeiterzertifikate |
| | * Verwendung der [[https://www.pki.dfn.de/die-cas-im-dfn/ra-oberflaeche/|RA-Oberfläche]] (Java- oder Webbasiert) |
| | * Regelmäßige Überprüfung der Aktualität der Liste der TS-Mitarbeiter |
| | * Regelmäßiges Erstellen und Archivieren eines Schulungsbogens |
| | * Abmeldung von ausgeschiedenen TS-Mitarbeitern bei der DFN-PCA |
| |
| Das Einrichten eines TS umfasst im Wesentlichen folgende Aufgaben: | Eine ausführliche Darstellung dieser Punkte findet sich in **Kapitel 3** des Dokuments [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Aufgaben-TS-DFN-PKI.pdf|"Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global"]]. |
| |
| Benennen der TS-Mitarbeiter (Formular F-TS-MA) | ====1.4 Wie muss die regelmäßige Selbstschulung der TS-Mitarbeiter durchgeführt werden?==== |
| Schaffung der räumlichen und technischen Voraussetzungen | |
| Bezug der persönlichen TS-Mitarbeiterzertifikate | |
| Verwendung der RA-Oberfläche (Java- oder Webbasiert) | |
| Regelmäßige Überprüfung der Aktualität der Liste der TS-Mitarbeiter | |
| Regelmäßiges Erstellen und Archivieren eines Schulungsbogens | |
| Abmeldung von ausgeschiedenen TS-Mitarbeitern bei der DFN-PCA | |
| |
| Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 3 des Dokuments "Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global". | Es ist ausreichend, wenn sich alle TS-Mitarbeiter vergewissern, dass sie die aktuellen Dokumente kennen. Besonders wichtig sind die Dokumente „Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global", „Pflichten der Teilnehmer” und „Informationen für Zertifikatinhaber”. |
| |
| 4. Wie muss die regelmäßige Selbstschulung der TS-Mitarbeiter durchgeführt werden? | Spezielles Schulungsmaterial, Prüfungen oder ähnliches sind nicht vorgesehen. |
| Es ist ausreichend, wenn sich alle TS-Mitarbeiter vergewissern, dass sie die aktuellen Dokumente kennen. Besonders wichtig sind die Dokumente „Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global", „Pflichten der Teilnehmer” und „Informationen für Zertifikatinhaber”. | |
| |
| Spezielles Schulungsmaterial, Prüfungen oder ähnliches sind nicht vorgesehen. | Wichtig ist die jährliche Dokumentation einer Selbstschulung aller TS-Mitarbeiter durch die handlungsberechtigte Person (siehe hierzu auch Kapitel 3.5 des Dokuments "Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global"). |
| |
| Wichtig ist die jährliche Dokumentation einer Selbstschulung aller TS-Mitarbeiter durch die handlungsberechtigte Person (siehe hierzu auch Kapitel 3.5 des Dokuments "Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global"). | ====1.5 Wie meldet man ausgeschiedene TS-Mitarbeiter ab?==== |
| |
| 5. Wie meldet man ausgeschiedene TS-Mitarbeiter ab? | Am einfachsten ist die Nutzung der Funktion „TS-Mitarbeiter abmelden” in der Java RA-Oberfläche (in der Baumansicht der CA im Punkt „Administration->Teilnehmerservice-Mitarbeiter”, Kontextmenü „TS-Mitarbeiter abmelden”). |
| Am einfachsten ist die Nutzung der Funktion „TS-Mitarbeiter abmelden” in der Java RA-Oberfläche (in der Baumansicht der CA im Punkt „Administration->Teilnehmerservice-Mitarbeiter”, Kontextmenü „TS-Mitarbeiter abmelden”). | |
| |
| Bitte senden Sie das ausgedruckte Formular an die DFN-PCA. | Bitte senden Sie das ausgedruckte Formular an die DFN-PCA. |
| |
| 6. Was sind die Arbeitsschritte beim Bearbeiten von Zertifikatanträgen? | ====1.6 Was sind die Arbeitsschritte beim Bearbeiten von Zertifikatanträgen?==== |
| Das Bearbeiten eines Zertifikatantrags durch einen TS-Mitarbeiter umfasst die folgenden Schritte: | |
| |
| Prüfung der Berechtigung des Zertifikatinhabers | Das Bearbeiten eines Zertifikatantrags durch einen TS-Mitarbeiter umfasst die folgenden Schritte: |
| Identifizierung des Zertifikatinhabers | * Prüfung der Berechtigung des Zertifikatinhabers |
| Prüfung der Mailadressen in Zertifikaten | * Identifizierung des Zertifikatinhabers |
| Prüfung des DN | * Prüfung der Mailadressen in Zertifikaten |
| Archivierung der Antragsformulare | * Prüfung des DN |
| | * Archivierung der Antragsformulare |
| |
| Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 4 des Dokuments "Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global". | Eine ausführliche Darstellung dieser Punkte findet sich in **Kapitel 4** des Dokuments [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Aufgaben-TS-DFN-PKI.pdf|"Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global"]]. |
| |
| 7. Was passiert mit nicht bearbeiteten Zertifikatanträgen? | ====1.7 Was passiert mit nicht bearbeiteten Zertifikatanträgen?==== |
| Nicht bearbeitete oder gelöschte Zertifikatanträge werden 180 Tage nach Eingang des Zertifikatantrags endgültig entfernt. | |
| |
| Sperranträge sind hiervon nicht betroffen. | Nicht bearbeitete oder gelöschte Zertifikatanträge werden 180 Tage nach Eingang des Zertifikatantrags endgültig entfernt. |
| |
| 8. Was ist bei einer Namensänderung einer Einrichtung/Organisation zu tun? | Sperranträge sind hiervon nicht betroffen. |
| Neu ausgestellte Zertifikate müssen im Organisationsattribut (O-Attribut) im Zertifikatnamen (subjectDN) den zum Ausstellungszeitpunkt aktuellen offiziellen Namen des DFN-PKI-Teilnehmers enthalten - CP Abschnitte 3.1.1 und 3.1.2. Daher ist es wichtig, dass die DFN-PCA bei einer Namensänderung Ihrer Einrichtung/Organisation darüber informiert wird und am besten gleich ein objektiver Beleg für den neuen Namen beigebracht wird. | |
| |
| Ist Ihre Einrichtung/Organisation z.B. eine GmbH, ein eingetragener Verein oder anderweitig im Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen, so nennen Sie uns bitte unter Angabe des eingetragenen geänderten Namens das zuständige Registergericht und die zugehörige Registerart und -nummer, siehe https://www.handelsregister.de. Ist Ihre Einrichtung/Organisation eine Stiftung, so belegen Sie den neuen Namen bitte z.B. mit der den neuen Namen festlegenden Stiftungssatzung oder dem/der in Kraft getretenen Gesetz/Verordnung mit der Namensänderung. Wird der neue Name Ihrer Einrichtung/Organisation anderweitig durch Gesetz oder Verordnung bestimmt (z.B. oft zu finden bei Stiftungen öffentlichen Rechts, Bundes- und Landesanstalten, Universitätskliniken, Hochschulen, Großforschungseinrichtungen, etc), so belegen Sie den Namen bitte mit dem entsprechenden Auszug aus dem/der in Kraft getretenen Gesetz/Verordnung. Im Falle von Hochschulen, die sich ihren Namen durch ihre Grundordnung selbständig geben, belegen Sie den Namen bitte durch den entsprechenden Auszug aus der in Kraft getretenen Grundordnung. Trifft keiner der o.a. Fälle zu, so belegen Sie uns den neuen Namen Ihrer Einrichtung/Organisation bitte durch andere aussagekräftige Dokumente, die durch objektive Dritte bestätigt sind. | ====1.8 Was ist bei einer Namensänderung einer Einrichtung/Organisation zu tun?==== |
| |
| Geschieht die Umbenennung auf Grund von Zusammenlegung, Aufkauf, Ausgründung, Abspaltung, Umfirmierung (o.ä.) von Einrichtungen/Organisationen oder deren Teilen, so ist im Einzelfall zu prüfen, ob der alte Name vom Rechtsnachfolger noch weiter genutzt werden kann oder wie der neue Name auszusehen hat. | Neu ausgestellte Zertifikate müssen im Organisationsattribut (O-Attribut) im Zertifikatnamen (subjectDN) den zum Ausstellungszeitpunkt aktuellen offiziellen Namen des DFN-PKI-Teilnehmers enthalten - [[https://www.pki.dfn.de/fileadmin/PKI/DFN-PKI_CP.pdf|CP Abschnitte 3.1.1 und 3.1.2]]. Daher ist es wichtig, dass die DFN-PCA bei einer Namensänderung Ihrer Einrichtung/Organisation darüber informiert wird und am besten gleich ein objektiver Beleg für den neuen Namen beigebracht wird. |
| |
| Sobald die DFN-PCA den neuen Namen Ihrer Einrichtung anerkennt, wird die Konfiguration entsprechend angepasst. | Ist Ihre Einrichtung/Organisation z.B. eine GmbH, ein eingetragener Verein oder anderweitig im Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen, so nennen Sie uns bitte unter Angabe des eingetragenen geänderten Namens das zuständige Registergericht und die zugehörige Registerart und -nummer, siehe https://www.handelsregister.de. Ist Ihre Einrichtung/Organisation eine Stiftung, so belegen Sie den neuen Namen bitte z.B. mit der den neuen Namen festlegenden Stiftungssatzung oder dem/der in Kraft getretenen Gesetz/Verordnung mit der Namensänderung. Wird der neue Name Ihrer Einrichtung/Organisation anderweitig durch Gesetz oder Verordnung bestimmt (z.B. oft zu finden bei Stiftungen öffentlichen Rechts, Bundes- und Landesanstalten, Universitätskliniken, Hochschulen, Großforschungseinrichtungen, etc), so belegen Sie den Namen bitte mit dem entsprechenden Auszug aus dem/der in Kraft getretenen Gesetz/Verordnung. Im Falle von Hochschulen, die sich ihren Namen durch ihre Grundordnung selbständig geben, belegen Sie den Namen bitte durch den entsprechenden Auszug aus der in Kraft getretenen Grundordnung. Trifft keiner der o.a. Fälle zu, so belegen Sie uns den neuen Namen Ihrer Einrichtung/Organisation bitte durch andere aussagekräftige Dokumente, die durch objektive Dritte bestätigt sind. |
| |
| 2. Domainnamen und E-Mail-Adressen | Geschieht die Umbenennung auf Grund von Zusammenlegung, Aufkauf, Ausgründung, Abspaltung, Umfirmierung (o.ä.) von Einrichtungen/Organisationen oder deren Teilen, so ist im Einzelfall zu prüfen, ob der alte Name vom Rechtsnachfolger noch weiter genutzt werden kann oder wie der neue Name auszusehen hat. |
| |
| 1. Wie erfolgt die Prüfung der Domainnamen? | Sobald die DFN-PCA den neuen Namen Ihrer Einrichtung anerkennt, wird die Konfiguration entsprechend angepasst. |
| |
| Jeder Teilnehmer an der DFN-PKI kann Zertifikate nur für Domains ausstellen, für die der Domaininhaber oder der technische Ansprechpartner in einem E-Mail-Challenge-Response-Verfahren zugestimmt hat. Um dies technisch sicherzustellen, wird von der DFN-PCA für jeden Teilnehmerservice eine Liste ihrer zulässigen Domains vorgehalten. TS-Mitarbeiter haben die Möglichkeit, diese Liste einzusehen und zu bearbeiten, z.B. wenn eine Einrichtung eine neue Domain nutzt. Zertifikatanträge mit Domainnamen, die nicht auf dieser Liste stehen, werden bereits bei der Antragstellung mit einer Fehlermeldung abgewiesen. | ====2. Domainnamen und E-Mail-Adressen==== |
| |
| Die Freischaltung von Domains ist für 825 Tage gültig. Danach muss der Teilnehmerservice die Freischaltung erneut anstossen. | ====2.1 Wie erfolgt die Prüfung der Domainnamen?==== |
| |
| Eine ausführliche Beschreibung findet sich im Dokument "Prüfung von Domainnamen in der DFN-PKI . | Jeder Teilnehmer an der DFN-PKI kann Zertifikate nur für Domains ausstellen, für die der Domaininhaber oder der technische Ansprechpartner in einem E-Mail-Challenge-Response-Verfahren zugestimmt hat. Um dies technisch sicherzustellen, wird von der DFN-PCA für jeden Teilnehmerservice eine Liste ihrer zulässigen Domains vorgehalten. TS-Mitarbeiter haben die Möglichkeit, diese Liste einzusehen und zu bearbeiten, z.B. wenn eine Einrichtung eine neue Domain nutzt. Zertifikatanträge mit Domainnamen, die nicht auf dieser Liste stehen, werden bereits bei der Antragstellung mit einer Fehlermeldung abgewiesen. |
| |
| 2. Welche E-Mail-Adressen können in ein Zertifikat der DFN-PKI Global aufgenommen werden? | Die Freischaltung von Domains ist für 825 Tage gültig. Danach muss der Teilnehmerservice die Freischaltung erneut anstossen. |
| Hierfür gibt es zwei Möglichkeiten: | |
| |
| E-Mail-Adressen, die aus einer Domain auf der Liste der zugelassenen E-Mail-Domains stammen, sind immer möglich (Ansicht über die Java RA-Oberfläche, "Administration->Konfiguration E-Mail-Domains"). | Eine ausführliche Beschreibung findet sich im Dokument [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/DFN-PKI-Namenspruefung.pdf|"Prüfung von Domainnamen in der DFN-PKI]]. |
| Andere E-Mail-Adressen können, je nach Konfiguration, ebenfalls enthalten sein. An diese werden immer Bestätigungs-E-Mails mit je einem Link versandt, der aufgerufen werden muss, bevor der Teilnehmerservice den Antrag genehmigen kann. | |
| |
| Ob das Verfahren der Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. | ====2.2 Welche E-Mail-Adressen können in ein Zertifikat der DFN-PKI Global aufgenommen werden?==== |
| |
| 3. Kann die Versendung von Bestätigungs-E-Mails abgeschaltet werden? | Hierfür gibt es zwei Möglichkeiten: |
| |
| Ja. Es kann für jede RA nach Absprache mit der DFN-PCA konfiguriert werden, dass ausschließlich die auf der Liste der E-Mail-Domains enthaltenen Adressen verwendet werden. | * E-Mail-Adressen, die aus einer Domain auf der Liste der zugelassenen E-Mail-Domains stammen, sind immer möglich (Ansicht über die Java RA-Oberfläche, "Administration->Konfiguration E-Mail-Domains"). |
| | * Andere E-Mail-Adressen können, je nach Konfiguration, ebenfalls enthalten sein. An diese werden immer Bestätigungs-E-Mails mit je einem Link versandt, der aufgerufen werden muss, bevor der Teilnehmerservice den Antrag genehmigen kann. |
| |
| 4. Was muss vor der Genehmigung von Zertifikatanträgen in Bezug auf E-Mail-Adressen geprüft werden? | Ob das Verfahren der Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. |
| Generell muss geprüft werden, ob die E-Mail-Adresse dem Antragssteller zugeordnet ist. Ist die E-Mail-Adresse aus der Domain der Einrichtung, lässt sich dies in der Regel durch einrichtungsinterne Adresslisten o.ä. feststellen. | |
| |
| Bei E-Mail-Adressen, die durch eine Bestätigungs-E-Mail geprüft wurden (in der RA-Oberfläche erkennbar am Text "Bestätigt durch Nutzer"), ist nichts weiter zu prüfen. | ==== 2.3 Kann die Versendung von Bestätigungs-E-Mails abgeschaltet werden?==== |
| | |
| | Ja. Es kann für jede RA nach Absprache mit der DFN-PCA konfiguriert werden dass ausschließlich die auf der Liste der E-Mail-Domains enthaltenen Adressen verwendet werden. |
| | |
| | ====2.4 Was muss vor der Genehmigung von Zertifikatanträgen in Bezug auf E-Mail-Adressen geprüft werden?==== |
| | |
| | Generell muss geprüft werden, ob die E-Mail-Adresse dem Antragssteller zugeordnet ist. Ist die E-Mail-Adresse aus der Domain der Einrichtung, lässt sich dies in der Regel durch einrichtungsinterne Adresslisten o.ä. feststellen. |
| | |
| | Bei E-Mail-Adressen, die durch eine Bestätigungs-E-Mail geprüft wurden (in der RA-Oberfläche erkennbar am Text "Bestätigt durch Nutzer"), ist nichts weiter zu prüfen. |
| |
| 5. Was ist zu tun, wenn ein Nutzer der/die Aufnahme seiner E-Mail-Adresse in das Zertifikat widersprochen/zurückgewiesen hat? | 5. Was ist zu tun, wenn ein Nutzer der/die Aufnahme seiner E-Mail-Adresse in das Zertifikat widersprochen/zurückgewiesen hat? |