Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:dfnpki:faq:ts-betrieb [2018/05/30 15:56] – Heike Ausserfeld | de:dfnpki:faq:ts-betrieb [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ~~NOTOC~~ | ||
- | ===== Fragen und Antworten zu Zertifikaten in der DFN-PKI - TS-Betrieb ===== | ||
- | {{INLINETOC 3}} | ||
- | |||
- | ====1. Organisation==== | ||
- | ====1.1 Welche Aufgaben hat ein Teilnehmerservice (TS)?==== | ||
- | Der Teilnehmerservice einer an der DFN-PKI teilnehmenden Einrichtung übernimmt in Zusammenhang mit der Ausstellung von Zertifikaten Aufgaben, die sinnvollerweise nur lokal durchgeführt werden können. Die wesentlichen Aufgaben sind: | ||
- | * Stellen von Zertifikatanträgen über die RA-Oberfläche | ||
- | * Sperren von Zertifikaten | ||
- | * Beraten von Nutzern | ||
- | |||
- | Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 2 des Dokuments " | ||
- | |||
- | ====1.2 Was ist eine handlungsberechtigte Person?==== | ||
- | | ||
- | Eine handlungsberechtigte Person (HP) in der DFN-PKI ist die Person, die eine Einrichtung in allen Belangen in Zusammenhang mit der DFN-PKI gegenüber dem DFN-Verein vertritt. Eine HP wird von einer für eine Einrichtung zeichnungsberechtigten Person mit dem Formular zur Teilnahme an der DFN-PKI (F-TA) ernannt und muss sich mit dem Formular F-ID und ihrem Ausweis persönlich beim DFN-Verein identifizieren (auch per PostIdent möglich). | ||
- | |||
- | Die HP kann nach ihrer Identifizierung | ||
- | |||
- | * alle Formulare - außer dem Formular zur Teilnahme an der DFN-PKI (F-TA) - im Zusammenhang mit der DFN-PKI unterschreiben | ||
- | * weitere HPs benennen, die sich dann ebenfalls mit dem Formular F-ID und ihrem Ausweis persönlich beim DFN-Verein identifizieren müssen (auch per PostIdent möglich) | ||
- | |||
- | ====1.3 Was ist beim Einrichten und Betrieb eines TS zu beachten? | ||
- | |||
- | Das Einrichten eines TS umfasst im Wesentlichen folgende Aufgaben: | ||
- | |||
- | Benennen der TS-Mitarbeiter (Formular F-TS-MA) | ||
- | Schaffung der räumlichen und technischen Voraussetzungen | ||
- | Bezug der persönlichen TS-Mitarbeiterzertifikate | ||
- | Verwendung der RA-Oberfläche (Java- oder Webbasiert) | ||
- | Regelmäßige Überprüfung der Aktualität der Liste der TS-Mitarbeiter | ||
- | Regelmäßiges Erstellen und Archivieren eines Schulungsbogens | ||
- | Abmeldung von ausgeschiedenen TS-Mitarbeitern bei der DFN-PCA | ||
- | |||
- | Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 3 des Dokuments " | ||
- | |||
- | 4. Wie muss die regelmäßige Selbstschulung der TS-Mitarbeiter durchgeführt werden? | ||
- | Es ist ausreichend, | ||
- | |||
- | Spezielles Schulungsmaterial, | ||
- | |||
- | Wichtig ist die jährliche Dokumentation einer Selbstschulung aller TS-Mitarbeiter durch die handlungsberechtigte Person (siehe hierzu auch Kapitel 3.5 des Dokuments " | ||
- | |||
- | 5. Wie meldet man ausgeschiedene TS-Mitarbeiter ab? | ||
- | Am einfachsten ist die Nutzung der Funktion „TS-Mitarbeiter abmelden” | ||
- | |||
- | Bitte senden Sie das ausgedruckte Formular an die DFN-PCA. | ||
- | |||
- | 6. Was sind die Arbeitsschritte beim Bearbeiten von Zertifikatanträgen? | ||
- | Das Bearbeiten eines Zertifikatantrags durch einen TS-Mitarbeiter umfasst die folgenden Schritte: | ||
- | |||
- | Prüfung der Berechtigung des Zertifikatinhabers | ||
- | Identifizierung des Zertifikatinhabers | ||
- | Prüfung der Mailadressen in Zertifikaten | ||
- | Prüfung des DN | ||
- | Archivierung der Antragsformulare | ||
- | |||
- | Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 4 des Dokuments " | ||
- | |||
- | 7. Was passiert mit nicht bearbeiteten Zertifikatanträgen? | ||
- | Nicht bearbeitete oder gelöschte Zertifikatanträge werden 180 Tage nach Eingang des Zertifikatantrags endgültig entfernt. | ||
- | |||
- | Sperranträge sind hiervon nicht betroffen. | ||
- | |||
- | 8. Was ist bei einer Namensänderung einer Einrichtung/ | ||
- | Neu ausgestellte Zertifikate müssen im Organisationsattribut (O-Attribut) im Zertifikatnamen (subjectDN) den zum Ausstellungszeitpunkt aktuellen offiziellen Namen des DFN-PKI-Teilnehmers enthalten - CP Abschnitte 3.1.1 und 3.1.2. Daher ist es wichtig, dass die DFN-PCA bei einer Namensänderung Ihrer Einrichtung/ | ||
- | |||
- | Ist Ihre Einrichtung/ | ||
- | |||
- | Geschieht die Umbenennung auf Grund von Zusammenlegung, | ||
- | |||
- | Sobald die DFN-PCA den neuen Namen Ihrer Einrichtung anerkennt, wird die Konfiguration entsprechend angepasst. | ||
- | |||
- | 2. Domainnamen und E-Mail-Adressen | ||
- | |||
- | 1. Wie erfolgt die Prüfung der Domainnamen? | ||
- | |||
- | Jeder Teilnehmer an der DFN-PKI kann Zertifikate nur für Domains ausstellen, für die der Domaininhaber oder der technische Ansprechpartner in einem E-Mail-Challenge-Response-Verfahren zugestimmt hat. Um dies technisch sicherzustellen, | ||
- | |||
- | Die Freischaltung von Domains ist für 825 Tage gültig. Danach muss der Teilnehmerservice die Freischaltung erneut anstossen. | ||
- | |||
- | Eine ausführliche Beschreibung findet sich im Dokument " | ||
- | |||
- | 2. Welche E-Mail-Adressen können in ein Zertifikat der DFN-PKI Global aufgenommen werden? | ||
- | Hierfür gibt es zwei Möglichkeiten: | ||
- | |||
- | E-Mail-Adressen, | ||
- | Andere E-Mail-Adressen können, je nach Konfiguration, | ||
- | |||
- | Ob das Verfahren der Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. | ||
- | |||
- | 3. Kann die Versendung von Bestätigungs-E-Mails abgeschaltet werden? | ||
- | |||
- | Ja. Es kann für jede RA nach Absprache mit der DFN-PCA konfiguriert werden, dass ausschließlich die auf der Liste der E-Mail-Domains enthaltenen Adressen verwendet werden. | ||
- | |||
- | 4. Was muss vor der Genehmigung von Zertifikatanträgen in Bezug auf E-Mail-Adressen geprüft werden? | ||
- | Generell muss geprüft werden, ob die E-Mail-Adresse dem Antragssteller zugeordnet ist. Ist die E-Mail-Adresse aus der Domain der Einrichtung, | ||
- | |||
- | Bei E-Mail-Adressen, | ||
- | |||
- | 5. Was ist zu tun, wenn ein Nutzer der/die Aufnahme seiner E-Mail-Adresse in das Zertifikat widersprochen/ | ||
- | Wenn das Zertifikat ohne die E-Mail-Adresse ausgestellt werden soll, können Sie diese in der RA-Oberfläche aus dem Antrag löschen. Danach müssen Sie den Antrag erneut ausdrucken und vom Antragsteller unterschreiben lassen, und können ihn anschließend genehmigen. | ||
- | |||
- | Wenn stattdessen eine andere E-Mail-Adresse in das Zertifikat aufgenommen werden soll, müssen Sie den Antrag entsprechend in der RA-Oberfläche bearbeiten. Bitte beachten Sie, dass Sie den Versand einer Bestätigungs-E-Mail manuell auslösen müssen. | ||
- | |||
- | 6.Wirkt sich das Eintragen oder Löschen einer E-Mail-Domain in die Liste der zugelassenen E-Mail-Domains auf bestehende noch zu bearbeitende Zertifikatanträge aus? | ||
- | Ja, sofern noch zu bearbeitende Zertifikatanträge vorhanden sind, die E-Mail-Adressen aus dieser Domain enthalten: | ||
- | |||
- | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert und wird ein Domain-Eintrag aus der Liste der zugelassenen E-Mail-Domains gelöscht, so werden noch zu bearbeitende Zertifikatanträge, | ||
- | |||
- | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert, so kann ein Domain-Eintrag nur dann in die Liste der zugelassenen E-Mail-Domains aufgenommen werden, wenn keine noch zu bearbeitenden Zertifikatanträge vorliegen, die mittels Bestätigungs-E-Mail explizit bestätigte oder abgelehnte E-Mail-Adressen aus dieser Domain enthalten. | ||
- | |||
- | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails deaktiviert, | ||
- | |||
- | Ob das Verfahren zum Versenden von Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. | ||
- | |||
- | 7. Gilt die Aufnahme einer Domain in die Liste der zugelassenen E-Mail-Domains automatisch auch für beliebige Sub-Domains dieser Domain? | ||
- | |||
- | Sofern für eine eingetragene E-Mail-Domain die Option " | ||
- | |||
- | 8. Was passiert, wenn die Liste der zugelassenen E-Mail-Domains leer ist? | ||
- | |||
- | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert, so wird bei einer leeren Liste an jede in ein Zertifikat aufzunehmende E-Mail-Adresse eine Bestätigungs-E-Mail geschickt. | ||
- | |||
- | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails deaktiviert, | ||
- | |||
- | Ob das Verfahren zum Versenden von Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. | ||
- | |||
- | 3. RA-Oberfläche | ||
- | |||
- | 1. Wie kann die Java RA-Oberfläche genutzt werden? | ||
- | |||
- | Zur Nutzung der Java RA-Oberfläche müssen Sie eine Java-Laufzeitumgebung von Oracle in der Version 1.8 oder höher installiert haben. Die Anwendung steht über Java WebStart unter der folgenden URL zur Verfügung: | ||
- | |||
- | https:// | ||
- | |||
- | Bei einer regulären Installation der Java-Laufzeitumgebung startet die Anwendung, wenn die URL in die Adresszeile des Browsers eingegeben wird. | ||
- | |||
- | Alternativ kann die Anwendung auch mit der gleichen URL von der Kommandozeile gestartet werden: # $JAVA_HOME/ | ||
- | |||
- | Nach dem Start der Anwendung werden Sie in einem Dialog dazu aufgefordert, | ||
- | |||
- | Weiter Informationen zur Bedienung der JAVA RA-Oberfläche finden Sie in der Anleitung für Teilnehmerservice-Mitarbeiter. | ||
- | |||
- | 2. Wie kann die Web RA-Oberfläche genutzt werden? | ||
- | |||
- | Die Web RA-Oberfläche kann nur mit Firefox-Versionen < 33 genutzt werden. Wir empfehlen die Verwendung der Java RA-Oberfläche. | ||
- | |||
- | Bis voraussichtlich Sommer 2015 steht für die Nutzung der Web RA-Oberfläche noch der Firefox 31 Extended Support Release zur Verfügung, erhältlich unter: | ||
- | http:// | ||
- | |||
- | 3. Das Signieren eines Antrags scheitert mit der Fehlermeldung "Eine digitale Signatur ist notwendig, um erfolgreich fortzufahren. Diese ist nicht vorhanden!" | ||
- | |||
- | Wenn Sie auf die Webseiten der RA zugreifen können, das Genehmigen eines Antrags aber mit o.g. Fehlermeldung scheitert, kann eine Ursache sein, dass die Vertrauenseinstellungen des Wurzelzertifikats nicht korrekt gesetzt sind. Überprüfen Sie im Zertifikatmanager, | ||
- | |||
- | 4. Muss JavaScript im Browser aktiviert sein, um auf die Web RA-Oberfläche meiner CA zugreifen zu können? | ||
- | |||
- | Ja, ansonsten funktionieren Teile der Web RA-Oberfläche nur eingeschränkt. | ||
- | |||
- | 5. Müssen Cookies im Browser aktiviert sein, um auf die Web RA-Oberfläche meiner CA zugreifen zu können? | ||
- | |||
- | Durch das Sicherheits-Update vom 15.2.2008 gegen Cross-Site-Resource-Forgery (XSRF) Angriffe ist es nötig, beim Zugriff auf die Web RA-Oberfläche Cookies zu aktivieren. | ||
- | |||
- | 6. Warum funktionieren Links aus Bookmarks auf die Web RA-Oberfläche nicht mehr? | ||
- | |||
- | Durch das Sicherheits-Update vom 15.2.2008 gegen Cross-Site-Resource-Forgery (XSRF) Angriffe funktionieren Links aus Bookmarks auf die Web RA-Oberfläche, | ||
- | |||
- | 7. Was kann ich tun, wenn die Java RA-Oberfläche nach einem Update von Java 6 auf Java 7 nicht mehr startet? | ||
- | |||
- | Java 7 hat einen Bug, der die Kompatibilität mit alten Installationen von Java Webstart Software stört. Einzige Lösung ist, den Java Cache zu löschen. Den Java Cache finden Sie an folgenden Stellen: | ||
- | Windows XP: C: | ||
- | Windows 7: C: | ||
- | Linux/UNIX: ~/.java. | ||
- | |||
- | 8. Was kann ich tun, wenn die Java RA-Oberfläche nicht startet, weil im Home-Verzeichnis kein Verzeichnis .dfn-pki angelegt werden darf? | ||
- | Die Java RA-Oberfläche versucht bei ihrem Start, ein Verzeichnis .dfn-pki in Ihrem Home-Verzeichnis zur Speicherung von Konfigurationsdateien anzulegen. Wenn Sie auf einem System arbeiten, in dem Sie keine Schreibrechte auf Ihr Home-Verzeichnis haben, kann die Java RA-Oberfläche deshalb nicht starten. Starten Sie in diesem Fall die Java RA-Oberfläche von der Kommandozeile mit einem weiteren Parameter, um die Home-Verzeichnis-Einstellungen von Java auf ein von Ihnen gewähltes schreibbares Verzeichnis zu setzen: javaws -J-Duser.home=[X: | ||
- | |||
- | Unter Umständen legt Java dabei eine /neue/ nutzerspezifische Konfiguration der Java-Laufzeitumgung (JRE) mit zurückgesetzten Standardeinstellungen an. Falls nötig, können diese Einstellungen (z. B. Netzwerk-Proxy-Einstellung, | ||
- | |||
- | javaws -J-Duser.home=[X: | ||
- | |||
- | bearbeitet werden. | ||
- | |||
- | 9. Kann man in der Java RA-Oberfläche unter Linux den gewünschten PDF-Betrachter konfigurieren? | ||
- | Die folgenden PDF-Betrachter werden von der Java RA-Oberfläche unter Linux in der angegebenen Reihenfolge gesucht: " | ||
- | |||
- | 10. Wie funktioniert die Java RA-Oberfläche mit Oracle Java 8u40 Build <= 26 (1.8.40.26) unter Mac OS X? | ||
- | |||
- | Das Java Web Start Modul von Oracle Java 8u40 Build <= 26 unter Max OS X enthält einen Fehler, der verhindert, dass die Java RA-Oberfläche den Eingabefokus für Eingabefelder (z.B. Passwort-Dialog) erhält. Im aktuelleren Oracle Java 8u40b27 (1.8.40.27) ist dieser Fehler behoben worden. Diese Version erhalten Sie unter http:// | ||
- | |||
- | Falls Oracle Java 8u40b27 auf Ihrem System nicht zur Verfügung steht, kann Java Web Start als Work-Around auch von der Kommandozeile aus mit folgenden Optionen gestartet werden: | ||
- | |||
- | javaws -Xnosplash -Xdebug pki.pca.dfn.de/ |