| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision |
| de:dfnpki:faq:ts-betrieb [2018/05/30 15:59] – Heike Ausserfeld | de:dfnpki:faq:ts-betrieb [2018/05/31 14:46] – Heike Ausserfeld |
|---|
| ~~NOTOC~~ | ~~NOTOC~~ |
| ===== Fragen und Antworten zu Zertifikaten in der DFN-PKI - TS-Betrieb ===== | ===== Fragen und Antworten zum Betrieb eines Teilnehmerservice (TS) in der DFN-PKI ===== |
| |
| {{INLINETOC 3}} | {{INLINETOC 3}} |
| * Beraten von Nutzern | * Beraten von Nutzern |
| |
| Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 2 des Dokuments "Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global". | Eine ausführliche Darstellung dieser Punkte findet sich in **Kapitel 2** des Dokuments [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Aufgaben-TS-DFN-PKI.pdf|"Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global"]]. |
| |
| ====1.2 Was ist eine handlungsberechtigte Person?==== | ====1.2 Was ist eine handlungsberechtigte Person?==== |
| |
| Das Einrichten eines TS umfasst im Wesentlichen folgende Aufgaben: | Das Einrichten eines TS umfasst im Wesentlichen folgende Aufgaben: |
| * Benennen der TS-Mitarbeiter (Formular F-TS-MA) | * Benennen der TS-Mitarbeiter [[https://www.pki.dfn.de/fileadmin/PKI/F-TS-Mitarbeiter.pdf|(Formular F-TS-MA)]] |
| * Schaffung der räumlichen und technischen Voraussetzungen | * Schaffung der räumlichen und technischen Voraussetzungen |
| * Bezug der persönlichen TS-Mitarbeiterzertifikate | * Bezug der persönlichen TS-Mitarbeiterzertifikate |
| * Verwendung der RA-Oberfläche (Java- oder Webbasiert) | * Verwendung der [[https://www.pki.dfn.de/die-cas-im-dfn/ra-oberflaeche/|RA-Oberfläche]] (Java- oder Webbasiert) |
| * Regelmäßige Überprüfung der Aktualität der Liste der TS-Mitarbeiter | * Regelmäßige Überprüfung der Aktualität der Liste der TS-Mitarbeiter |
| * Regelmäßiges Erstellen und Archivieren eines Schulungsbogens | * Regelmäßiges Erstellen und Archivieren eines Schulungsbogens |
| * Abmeldung von ausgeschiedenen TS-Mitarbeitern bei der DFN-PCA | * Abmeldung von ausgeschiedenen TS-Mitarbeitern bei der DFN-PCA |
| |
| Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 3 des Dokuments "Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global". | Eine ausführliche Darstellung dieser Punkte findet sich in **Kapitel 3** des Dokuments [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Aufgaben-TS-DFN-PKI.pdf|"Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global"]]. |
| |
| ====1.4 Wie muss die regelmäßige Selbstschulung der TS-Mitarbeiter durchgeführt werden?==== | ====1.4 Wie muss die regelmäßige Selbstschulung der TS-Mitarbeiter durchgeführt werden?==== |
| * Archivierung der Antragsformulare | * Archivierung der Antragsformulare |
| |
| Eine ausführliche Darstellung dieser Punkte findet sich in Kapitel 4 des Dokuments "Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global". | Eine ausführliche Darstellung dieser Punkte findet sich in **Kapitel 4** des Dokuments [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Aufgaben-TS-DFN-PKI.pdf|"Aufgaben des Teilnehmerservice (TS) in der DFN-PKI im Sicherheitsniveau Global"]]. |
| |
| ====1.7 Was passiert mit nicht bearbeiteten Zertifikatanträgen? | ====1.7 Was passiert mit nicht bearbeiteten Zertifikatanträgen?==== |
| |
| Nicht bearbeitete oder gelöschte Zertifikatanträge werden 180 Tage nach Eingang des Zertifikatantrags endgültig entfernt. | Nicht bearbeitete oder gelöschte Zertifikatanträge werden 180 Tage nach Eingang des Zertifikatantrags endgültig entfernt. |
| Sperranträge sind hiervon nicht betroffen. | Sperranträge sind hiervon nicht betroffen. |
| |
| 8. Was ist bei einer Namensänderung einer Einrichtung/Organisation zu tun? | ====1.8 Was ist bei einer Namensänderung einer Einrichtung/Organisation zu tun?==== |
| Neu ausgestellte Zertifikate müssen im Organisationsattribut (O-Attribut) im Zertifikatnamen (subjectDN) den zum Ausstellungszeitpunkt aktuellen offiziellen Namen des DFN-PKI-Teilnehmers enthalten - CP Abschnitte 3.1.1 und 3.1.2. Daher ist es wichtig, dass die DFN-PCA bei einer Namensänderung Ihrer Einrichtung/Organisation darüber informiert wird und am besten gleich ein objektiver Beleg für den neuen Namen beigebracht wird. | |
| |
| Ist Ihre Einrichtung/Organisation z.B. eine GmbH, ein eingetragener Verein oder anderweitig im Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen, so nennen Sie uns bitte unter Angabe des eingetragenen geänderten Namens das zuständige Registergericht und die zugehörige Registerart und -nummer, siehe https://www.handelsregister.de. Ist Ihre Einrichtung/Organisation eine Stiftung, so belegen Sie den neuen Namen bitte z.B. mit der den neuen Namen festlegenden Stiftungssatzung oder dem/der in Kraft getretenen Gesetz/Verordnung mit der Namensänderung. Wird der neue Name Ihrer Einrichtung/Organisation anderweitig durch Gesetz oder Verordnung bestimmt (z.B. oft zu finden bei Stiftungen öffentlichen Rechts, Bundes- und Landesanstalten, Universitätskliniken, Hochschulen, Großforschungseinrichtungen, etc), so belegen Sie den Namen bitte mit dem entsprechenden Auszug aus dem/der in Kraft getretenen Gesetz/Verordnung. Im Falle von Hochschulen, die sich ihren Namen durch ihre Grundordnung selbständig geben, belegen Sie den Namen bitte durch den entsprechenden Auszug aus der in Kraft getretenen Grundordnung. Trifft keiner der o.a. Fälle zu, so belegen Sie uns den neuen Namen Ihrer Einrichtung/Organisation bitte durch andere aussagekräftige Dokumente, die durch objektive Dritte bestätigt sind. | Neu ausgestellte Zertifikate müssen im Organisationsattribut (O-Attribut) im Zertifikatnamen (subjectDN) den zum Ausstellungszeitpunkt aktuellen offiziellen Namen des DFN-PKI-Teilnehmers enthalten - [[https://www.pki.dfn.de/fileadmin/PKI/DFN-PKI_CP.pdf|CP Abschnitte 3.1.1 und 3.1.2]]. Daher ist es wichtig, dass die DFN-PCA bei einer Namensänderung Ihrer Einrichtung/Organisation darüber informiert wird und am besten gleich ein objektiver Beleg für den neuen Namen beigebracht wird. |
| |
| Geschieht die Umbenennung auf Grund von Zusammenlegung, Aufkauf, Ausgründung, Abspaltung, Umfirmierung (o.ä.) von Einrichtungen/Organisationen oder deren Teilen, so ist im Einzelfall zu prüfen, ob der alte Name vom Rechtsnachfolger noch weiter genutzt werden kann oder wie der neue Name auszusehen hat. | Ist Ihre Einrichtung/Organisation z.B. eine GmbH, ein eingetragener Verein oder anderweitig im Handels-, Vereins-, Partnerschafts- oder Genossenschaftsregister eingetragen, so nennen Sie uns bitte unter Angabe des eingetragenen geänderten Namens das zuständige Registergericht und die zugehörige Registerart und -nummer, siehe https://www.handelsregister.de. Ist Ihre Einrichtung/Organisation eine Stiftung, so belegen Sie den neuen Namen bitte z.B. mit der den neuen Namen festlegenden Stiftungssatzung oder dem/der in Kraft getretenen Gesetz/Verordnung mit der Namensänderung. Wird der neue Name Ihrer Einrichtung/Organisation anderweitig durch Gesetz oder Verordnung bestimmt (z.B. oft zu finden bei Stiftungen öffentlichen Rechts, Bundes- und Landesanstalten, Universitätskliniken, Hochschulen, Großforschungseinrichtungen, etc), so belegen Sie den Namen bitte mit dem entsprechenden Auszug aus dem/der in Kraft getretenen Gesetz/Verordnung. Im Falle von Hochschulen, die sich ihren Namen durch ihre Grundordnung selbständig geben, belegen Sie den Namen bitte durch den entsprechenden Auszug aus der in Kraft getretenen Grundordnung. Trifft keiner der o.a. Fälle zu, so belegen Sie uns den neuen Namen Ihrer Einrichtung/Organisation bitte durch andere aussagekräftige Dokumente, die durch objektive Dritte bestätigt sind. |
| |
| Sobald die DFN-PCA den neuen Namen Ihrer Einrichtung anerkennt, wird die Konfiguration entsprechend angepasst. | Geschieht die Umbenennung auf Grund von Zusammenlegung, Aufkauf, Ausgründung, Abspaltung, Umfirmierung (o.ä.) von Einrichtungen/Organisationen oder deren Teilen, so ist im Einzelfall zu prüfen, ob der alte Name vom Rechtsnachfolger noch weiter genutzt werden kann oder wie der neue Name auszusehen hat. |
| |
| 2. Domainnamen und E-Mail-Adressen | Sobald die DFN-PCA den neuen Namen Ihrer Einrichtung anerkennt, wird die Konfiguration entsprechend angepasst. |
| |
| 1. Wie erfolgt die Prüfung der Domainnamen? | ====2. Domainnamen und E-Mail-Adressen==== |
| |
| Jeder Teilnehmer an der DFN-PKI kann Zertifikate nur für Domains ausstellen, für die der Domaininhaber oder der technische Ansprechpartner in einem E-Mail-Challenge-Response-Verfahren zugestimmt hat. Um dies technisch sicherzustellen, wird von der DFN-PCA für jeden Teilnehmerservice eine Liste ihrer zulässigen Domains vorgehalten. TS-Mitarbeiter haben die Möglichkeit, diese Liste einzusehen und zu bearbeiten, z.B. wenn eine Einrichtung eine neue Domain nutzt. Zertifikatanträge mit Domainnamen, die nicht auf dieser Liste stehen, werden bereits bei der Antragstellung mit einer Fehlermeldung abgewiesen. | ====2.1 Wie erfolgt die Prüfung der Domainnamen?==== |
| |
| Die Freischaltung von Domains ist für 825 Tage gültig. Danach muss der Teilnehmerservice die Freischaltung erneut anstossen. | Jeder Teilnehmer an der DFN-PKI kann Zertifikate nur für Domains ausstellen, für die der Domaininhaber oder der technische Ansprechpartner in einem E-Mail-Challenge-Response-Verfahren zugestimmt hat. Um dies technisch sicherzustellen, wird von der DFN-PCA für jeden Teilnehmerservice eine Liste ihrer zulässigen Domains vorgehalten. TS-Mitarbeiter haben die Möglichkeit, diese Liste einzusehen und zu bearbeiten, z.B. wenn eine Einrichtung eine neue Domain nutzt. Zertifikatanträge mit Domainnamen, die nicht auf dieser Liste stehen, werden bereits bei der Antragstellung mit einer Fehlermeldung abgewiesen. |
| |
| Eine ausführliche Beschreibung findet sich im Dokument "Prüfung von Domainnamen in der DFN-PKI . | Die Freischaltung von Domains ist für 825 Tage gültig. Danach muss der Teilnehmerservice die Freischaltung erneut anstossen. |
| |
| 2. Welche E-Mail-Adressen können in ein Zertifikat der DFN-PKI Global aufgenommen werden? | Eine ausführliche Beschreibung findet sich im Dokument [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/DFN-PKI-Namenspruefung.pdf|"Prüfung von Domainnamen in der DFN-PKI]]. |
| Hierfür gibt es zwei Möglichkeiten: | |
| |
| E-Mail-Adressen, die aus einer Domain auf der Liste der zugelassenen E-Mail-Domains stammen, sind immer möglich (Ansicht über die Java RA-Oberfläche, "Administration->Konfiguration E-Mail-Domains"). | ====2.2 Welche E-Mail-Adressen können in ein Zertifikat der DFN-PKI Global aufgenommen werden?==== |
| Andere E-Mail-Adressen können, je nach Konfiguration, ebenfalls enthalten sein. An diese werden immer Bestätigungs-E-Mails mit je einem Link versandt, der aufgerufen werden muss, bevor der Teilnehmerservice den Antrag genehmigen kann. | |
| |
| Ob das Verfahren der Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. | Hierfür gibt es zwei Möglichkeiten: |
| |
| 3. Kann die Versendung von Bestätigungs-E-Mails abgeschaltet werden? | * E-Mail-Adressen, die aus einer Domain auf der Liste der zugelassenen E-Mail-Domains stammen, sind immer möglich (Ansicht über die Java RA-Oberfläche, "Administration->Konfiguration E-Mail-Domains"). |
| | * Andere E-Mail-Adressen können, je nach Konfiguration, ebenfalls enthalten sein. An diese werden immer Bestätigungs-E-Mails mit je einem Link versandt, der aufgerufen werden muss, bevor der Teilnehmerservice den Antrag genehmigen kann. |
| |
| Ja. Es kann für jede RA nach Absprache mit der DFN-PCA konfiguriert werden, dass ausschließlich die auf der Liste der E-Mail-Domains enthaltenen Adressen verwendet werden. | Ob das Verfahren der Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. |
| |
| 4. Was muss vor der Genehmigung von Zertifikatanträgen in Bezug auf E-Mail-Adressen geprüft werden? | ==== 2.3 Kann die Versendung von Bestätigungs-E-Mails abgeschaltet werden?==== |
| Generell muss geprüft werden, ob die E-Mail-Adresse dem Antragssteller zugeordnet ist. Ist die E-Mail-Adresse aus der Domain der Einrichtung, lässt sich dies in der Regel durch einrichtungsinterne Adresslisten o.ä. feststellen. | |
| |
| Bei E-Mail-Adressen, die durch eine Bestätigungs-E-Mail geprüft wurden (in der RA-Oberfläche erkennbar am Text "Bestätigt durch Nutzer"), ist nichts weiter zu prüfen. | Ja. Es kann für jede RA nach Absprache mit der DFN-PCA konfiguriert werden dass ausschließlich die auf der Liste der E-Mail-Domains enthaltenen Adressen verwendet werden. |
| |
| 5. Was ist zu tun, wenn ein Nutzer der/die Aufnahme seiner E-Mail-Adresse in das Zertifikat widersprochen/zurückgewiesen hat? | ====2.4 Was muss vor der Genehmigung von Zertifikatanträgen in Bezug auf E-Mail-Adressen geprüft werden?==== |
| Wenn das Zertifikat ohne die E-Mail-Adresse ausgestellt werden soll, können Sie diese in der RA-Oberfläche aus dem Antrag löschen. Danach müssen Sie den Antrag erneut ausdrucken und vom Antragsteller unterschreiben lassen, und können ihn anschließend genehmigen. | |
| |
| Wenn stattdessen eine andere E-Mail-Adresse in das Zertifikat aufgenommen werden soll, müssen Sie den Antrag entsprechend in der RA-Oberfläche bearbeiten. Bitte beachten Sie, dass Sie den Versand einer Bestätigungs-E-Mail manuell auslösen müssen. | Generell muss geprüft werden, ob die E-Mail-Adresse dem Antragssteller zugeordnet ist. Ist die E-Mail-Adresse aus der Domain der Einrichtung, lässt sich dies in der Regel durch einrichtungsinterne Adresslisten o.ä. feststellen. |
| |
| 6.Wirkt sich das Eintragen oder Löschen einer E-Mail-Domain in die Liste der zugelassenen E-Mail-Domains auf bestehende noch zu bearbeitende Zertifikatanträge aus? | Bei E-Mail-Adressen, die durch eine Bestätigungs-E-Mail geprüft wurden (in der RA-Oberfläche erkennbar am Text "Bestätigt durch Nutzer"), ist nichts weiter zu prüfen. |
| Ja, sofern noch zu bearbeitende Zertifikatanträge vorhanden sind, die E-Mail-Adressen aus dieser Domain enthalten: | ====2.5 Was ist zu tun, wenn ein Nutzer der/die Aufnahme seiner E-Mail-Adresse in das Zertifikat widersprochen/zurückgewiesen hat?==== |
| |
| Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert und wird ein Domain-Eintrag aus der Liste der zugelassenen E-Mail-Domains gelöscht, so werden noch zu bearbeitende Zertifikatanträge, die E-Mail-Adressen aus dieser Domain enthalten, nicht mehr genehmigt werden können. Soll eine betroffene E-Mail-Adresse aus so einem Zertifikatantrag trotzdem in das Zertifikat aufgenommen werden, so muss vom Teilnehmerservice der Versand einer Bestätigungs-E-Mail manuell ausgelöst werden. | Wenn das Zertifikat ohne die E-Mail-Adresse ausgestellt werden soll, können Sie diese in der RA-Oberfläche aus dem Antrag löschen. Danach müssen Sie den Antrag erneut ausdrucken und vom Antragsteller unterschreiben lassen, und können ihn anschließend genehmigen. |
| |
| Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert, so kann ein Domain-Eintrag nur dann in die Liste der zugelassenen E-Mail-Domains aufgenommen werden, wenn keine noch zu bearbeitenden Zertifikatanträge vorliegen, die mittels Bestätigungs-E-Mail explizit bestätigte oder abgelehnte E-Mail-Adressen aus dieser Domain enthalten. | Wenn stattdessen eine andere E-Mail-Adresse in das Zertifikat aufgenommen werden soll, müssen Sie den Antrag entsprechend in der RA-Oberfläche bearbeiten. Bitte beachten Sie, dass Sie den Versand einer Bestätigungs-E-Mail manuell auslösen müssen. |
| |
| Ist das Verfahren zum Versenden von Bestätigungs-E-Mails deaktiviert, so kann ein Domain-Eintrag aus der Liste der zugelassenen E-Mail-Domains nur dann aus dieser Liste gelöscht werden, wenn es keine noch zu bearbeitenden Zertifikatanträge mehr gibt, die E-Mail-Adressen aus dieser Domain enthalten. Die betroffenen Zertifikatanträge müssen vorher genehmigt oder gelöscht werden; oder die betroffenen darin enthaltenen E-Mail-Adressen müssen vorher im Zertifikatantrag geändert oder aus diesem gelöscht werden. | ====2.6 Wirkt sich das Eintragen oder Löschen einer E-Mail-Domain in die Liste der zugelassenen E-Mail-Domains auf bestehende noch zu bearbeitende Zertifikatanträge aus?==== |
| |
| Ob das Verfahren zum Versenden von Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. | Ja, sofern noch zu bearbeitende Zertifikatanträge vorhanden sind, die E-Mail-Adressen aus dieser Domain enthalten: |
| |
| 7. Gilt die Aufnahme einer Domain in die Liste der zugelassenen E-Mail-Domains automatisch auch für beliebige Sub-Domains dieser Domain? | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert und wird ein Domain-Eintrag aus der Liste der zugelassenen E-Mail-Domains gelöscht, so werden noch zu bearbeitende Zertifikatanträge, die E-Mail-Adressen aus dieser Domain enthalten, nicht mehr genehmigt werden können. Soll eine betroffene E-Mail-Adresse aus so einem Zertifikatantrag trotzdem in das Zertifikat aufgenommen werden, so muss vom Teilnehmerservice der Versand einer Bestätigungs-E-Mail manuell ausgelöst werden. |
| |
| Sofern für eine eingetragene E-Mail-Domain die Option "Beliebige Hostnamen in dieser Domain zulassen" ausgewählt ist, werden automatisch auch E-Mail-Adressen von beliebigen Sub-Domains (in beliebiger Hierarchietiefe) dieser Domain für die Aufnahme in Zertifikate akzeptiert. Sofern für eine eingetragene E-Mail-Domain die Option "Nur diesen Hostnamen zulassen" ausgewählt ist, werden nur E-Mail-Adressen für die Aufnahme in Zertifikate akzeptiert, deren Host/Domain-Teil nach dem @-Zeichen exakt diesem gesamten eingetragenen Domainnamen (inklusive ggf. explizit darin angegebener Sub-Domains) entspricht. | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert, so kann ein Domain-Eintrag nur dann in die Liste der zugelassenen E-Mail-Domains aufgenommen werden, wenn keine noch zu bearbeitenden Zertifikatanträge vorliegen, die mittels Bestätigungs-E-Mail explizit bestätigte oder abgelehnte E-Mail-Adressen aus dieser Domain enthalten. |
| |
| 8. Was passiert, wenn die Liste der zugelassenen E-Mail-Domains leer ist? | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails deaktiviert, so kann ein Domain-Eintrag aus der Liste der zugelassenen E-Mail-Domains nur dann aus dieser Liste gelöscht werden, wenn es keine noch zu bearbeitenden Zertifikatanträge mehr gibt, die E-Mail-Adressen aus dieser Domain enthalten. Die betroffenen Zertifikatanträge müssen vorher genehmigt oder gelöscht werden; oder die betroffenen darin enthaltenen E-Mail-Adressen müssen vorher im Zertifikatantrag geändert oder aus diesem gelöscht werden. |
| |
| Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert, so wird bei einer leeren Liste an jede in ein Zertifikat aufzunehmende E-Mail-Adresse eine Bestätigungs-E-Mail geschickt. | Ob das Verfahren zum Versenden von Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. |
| |
| Ist das Verfahren zum Versenden von Bestätigungs-E-Mails deaktiviert, so werden bei einer leeren Liste gar keine E-Mail-Adressen zur Aufnahme in Zertifikate akzeptiert. | ====2.7 Gilt die Aufnahme einer Domain in die Liste der zugelassenen E-Mail-Domains automatisch auch für beliebige Sub-Domains dieser Domain?==== |
| |
| Ob das Verfahren zum Versenden von Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. | Sofern für eine eingetragene E-Mail-Domain die Option "Beliebige Hostnamen in dieser Domain zulassen" ausgewählt ist, werden automatisch auch E-Mail-Adressen von beliebigen Sub-Domains (in beliebiger Hierarchietiefe) dieser Domain für die Aufnahme in Zertifikate akzeptiert. Sofern für eine eingetragene E-Mail-Domain die Option "Nur diesen Hostnamen zulassen" ausgewählt ist, werden nur E-Mail-Adressen für die Aufnahme in Zertifikate akzeptiert, deren Host/Domain-Teil nach dem @-Zeichen exakt diesem gesamten eingetragenen Domainnamen (inklusive ggf. explizit darin angegebener Sub-Domains) entspricht. |
| |
| 3. RA-Oberfläche | ====2.8 Was passiert, wenn die Liste der zugelassenen E-Mail-Domains leer ist?==== |
| |
| 1. Wie kann die Java RA-Oberfläche genutzt werden? | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert, so wird bei einer leeren Liste an jede in ein Zertifikat aufzunehmende E-Mail-Adresse eine Bestätigungs-E-Mail geschickt. |
| |
| Zur Nutzung der Java RA-Oberfläche müssen Sie eine Java-Laufzeitumgebung von Oracle in der Version 1.8 oder höher installiert haben. Die Anwendung steht über Java WebStart unter der folgenden URL zur Verfügung: | Ist das Verfahren zum Versenden von Bestätigungs-E-Mails deaktiviert, so werden bei einer leeren Liste gar keine E-Mail-Adressen zur Aufnahme in Zertifikate akzeptiert. |
| |
| https://pki.pca.dfn.de/guira/guira.jnlp | Ob das Verfahren zum Versenden von Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar. |
| |
| Bei einer regulären Installation der Java-Laufzeitumgebung startet die Anwendung, wenn die URL in die Adresszeile des Browsers eingegeben wird. | ====3. RA-Oberfläche==== |
| |
| Alternativ kann die Anwendung auch mit der gleichen URL von der Kommandozeile gestartet werden: # $JAVA_HOME/bin/javaws https://pki.pca.dfn.de/guira/guira.jnlp | ====3.1 Wie kann die Java RA-Oberfläche genutzt werden?==== |
| |
| Nach dem Start der Anwendung werden Sie in einem Dialog dazu aufgefordert, ein TS-Mitarbeiterzertifikat als PKCS#12-Datei anzugeben. Diese können Sie aus Ihrem Browser, mit dem Sie bisher die Web RA-Oberfläche bedienen, als Datei exportieren. | Zur Nutzung der Java RA-Oberfläche müssen Sie eine Java-Laufzeitumgebung von Oracle in der Version 1.8 oder höher installiert haben. Die Anwendung steht über Java WebStart unter der folgenden URL zur Verfügung: |
| |
| Weiter Informationen zur Bedienung der JAVA RA-Oberfläche finden Sie in der Anleitung für Teilnehmerservice-Mitarbeiter. | * https://pki.pca.dfn.de/guira/guira.jnlp |
| |
| 2. Wie kann die Web RA-Oberfläche genutzt werden? | Bei einer regulären Installation der Java-Laufzeitumgebung startet die Anwendung, wenn die URL in die Adresszeile des Browsers eingegeben wird. |
| |
| Die Web RA-Oberfläche kann nur mit Firefox-Versionen < 33 genutzt werden. Wir empfehlen die Verwendung der Java RA-Oberfläche. | Alternativ kann die Anwendung auch mit der gleichen URL von der Kommandozeile gestartet werden: # $JAVA_HOME/bin/javaws https://pki.pca.dfn.de/guira/guira.jnlp |
| |
| Bis voraussichtlich Sommer 2015 steht für die Nutzung der Web RA-Oberfläche noch der Firefox 31 Extended Support Release zur Verfügung, erhältlich unter: | Nach dem Start der Anwendung werden Sie in einem Dialog dazu aufgefordert, ein TS-Mitarbeiterzertifikat als PKCS#12-Datei anzugeben. Diese können Sie aus Ihrem Browser, mit dem Sie bisher die Web RA-Oberfläche bedienen, als Datei exportieren. |
| http://www.mozilla.org/en-US/firefox/organizations/all.html | |
| |
| 3. Das Signieren eines Antrags scheitert mit der Fehlermeldung "Eine digitale Signatur ist notwendig, um erfolgreich fortzufahren. Diese ist nicht vorhanden!" | Weiter Informationen zur Bedienung der JAVA RA-Oberfläche finden Sie in der [[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_JAVA-RA_Oberflaeche.pdf|Anleitung für Teilnehmerservice-Mitarbeiter]]. |
| |
| Wenn Sie auf die Webseiten der RA zugreifen können, das Genehmigen eines Antrags aber mit o.g. Fehlermeldung scheitert, kann eine Ursache sein, dass die Vertrauenseinstellungen des Wurzelzertifikats nicht korrekt gesetzt sind. Überprüfen Sie im Zertifikatmanager, ob das Wurzelzertifikat, z.B. Deutsche Telekom Root CA 2, die Vertrauenseinstellung "Dieses Zertifikat kann Websites identifizieren" und "Dieses Zertifikat kann Mail-Benutzer identifizieren" besitzt. | ====3.2 Wie kann die Web RA-Oberfläche genutzt werden?==== |
| |
| 4. Muss JavaScript im Browser aktiviert sein, um auf die Web RA-Oberfläche meiner CA zugreifen zu können? | Die Web RA-Oberfläche kann nur mit Firefox-Versionen < 33 genutzt werden. Wir empfehlen die Verwendung der Java RA-Oberfläche. |
| |
| Ja, ansonsten funktionieren Teile der Web RA-Oberfläche nur eingeschränkt. | Bis voraussichtlich Sommer 2015 steht für die Nutzung der Web RA-Oberfläche noch der Firefox 31 Extended Support Release zur Verfügung, erhältlich unter: |
| | http://www.mozilla.org/en-US/firefox/organizations/all.html |
| |
| 5. Müssen Cookies im Browser aktiviert sein, um auf die Web RA-Oberfläche meiner CA zugreifen zu können? | ====3.3 Das Signieren eines Antrags scheitert mit der Fehlermeldung "Eine digitale Signatur ist notwendig, um erfolgreich fortzufahren. Diese ist nicht vorhanden!"==== |
| |
| Durch das Sicherheits-Update vom 15.2.2008 gegen Cross-Site-Resource-Forgery (XSRF) Angriffe ist es nötig, beim Zugriff auf die Web RA-Oberfläche Cookies zu aktivieren. | Wenn Sie auf die Webseiten der RA zugreifen können, das Genehmigen eines Antrags aber mit o.g. Fehlermeldung scheitert, kann eine Ursache sein, dass die Vertrauenseinstellungen des Wurzelzertifikats nicht korrekt gesetzt sind. Überprüfen Sie im Zertifikatmanager, ob das Wurzelzertifikat, z.B. Deutsche Telekom Root CA 2, die Vertrauenseinstellung "Dieses Zertifikat kann Websites identifizieren" und "Dieses Zertifikat kann Mail-Benutzer identifizieren" besitzt. |
| |
| 6. Warum funktionieren Links aus Bookmarks auf die Web RA-Oberfläche nicht mehr? | ====3.4 Muss JavaScript im Browser aktiviert sein, um auf die Web RA-Oberfläche meiner CA zugreifen zu können?==== |
| |
| Durch das Sicherheits-Update vom 15.2.2008 gegen Cross-Site-Resource-Forgery (XSRF) Angriffe funktionieren Links aus Bookmarks auf die Web RA-Oberfläche, die ein "cmd=" in der URL enthalten, nicht mehr. Greifen Sie bitte immer über <https:// ra.pca.dfn.de/xyz-ca/ra> auf Ihre RA Seiten zu und gehen Sie dann über die Karteikarten auf die gewünschten Funktionen. Die Webseiten zur Antragstellung sind nicht betroffen. | Ja, ansonsten funktionieren Teile der Web RA-Oberfläche nur eingeschränkt. |
| |
| 7. Was kann ich tun, wenn die Java RA-Oberfläche nach einem Update von Java 6 auf Java 7 nicht mehr startet? | ====3.5 Müssen Cookies im Browser aktiviert sein, um auf die Web RA-Oberfläche meiner CA zugreifen zu können?==== |
| |
| Java 7 hat einen Bug, der die Kompatibilität mit alten Installationen von Java Webstart Software stört. Einzige Lösung ist, den Java Cache zu löschen. Den Java Cache finden Sie an folgenden Stellen: | Durch das Sicherheits-Update vom 15.2.2008 gegen [[http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery|Cross-Site-Resource-Forgery (XSRF) Angriffe]] ist es nötig, beim Zugriff auf die Web RA-Oberfläche Cookies zu aktivieren. |
| Windows XP: C:\Dokumente und Einstellungen\<NutzerAccountName>\Anwendungsdaten\Sun\Java | |
| Windows 7: C:\Benutzer\<NutzerAccountName>\AppData\LocalLow\Sun\Java | |
| Linux/UNIX: ~/.java. | |
| |
| 8. Was kann ich tun, wenn die Java RA-Oberfläche nicht startet, weil im Home-Verzeichnis kein Verzeichnis .dfn-pki angelegt werden darf? | ====3.6 Warum funktionieren Links aus Bookmarks auf die Web RA-Oberfläche nicht mehr?==== |
| Die Java RA-Oberfläche versucht bei ihrem Start, ein Verzeichnis .dfn-pki in Ihrem Home-Verzeichnis zur Speicherung von Konfigurationsdateien anzulegen. Wenn Sie auf einem System arbeiten, in dem Sie keine Schreibrechte auf Ihr Home-Verzeichnis haben, kann die Java RA-Oberfläche deshalb nicht starten. Starten Sie in diesem Fall die Java RA-Oberfläche von der Kommandozeile mit einem weiteren Parameter, um die Home-Verzeichnis-Einstellungen von Java auf ein von Ihnen gewähltes schreibbares Verzeichnis zu setzen: javaws -J-Duser.home=[X:\Schreibbbares_Verzeichnis] https://pki.pca.dfn.de/guira/guira.jnlp | |
| |
| Unter Umständen legt Java dabei eine /neue/ nutzerspezifische Konfiguration der Java-Laufzeitumgung (JRE) mit zurückgesetzten Standardeinstellungen an. Falls nötig, können diese Einstellungen (z. B. Netzwerk-Proxy-Einstellung, aktive Java-Version etc.) mittels Aufruf von | Durch das Sicherheits-Update vom 15.2.2008 gegen [[http://de.wikipedia.org/wiki/Cross-Site_Request_Forgery|Cross-Site-Resource-Forgery (XSRF) Angriffe]] funktionieren Links aus Bookmarks auf die Web RA-Oberfläche, die ein %%"cmd="%% in der URL enthalten, nicht mehr. Greifen Sie bitte immer über %%<https:// ra.pca.dfn.de/xyz-ca/ra>%% auf Ihre RA Seiten zu und gehen Sie dann über die Karteikarten auf die gewünschten Funktionen. Die Webseiten zur Antragstellung sind nicht betroffen. |
| |
| javaws -J-Duser.home=[X:\Schreibbbares_Verzeichnis] -viewer | ====3.7 Was kann ich tun, wenn die Java RA-Oberfläche nach einem Update von Java 6 auf Java 7 nicht mehr startet?==== |
| |
| bearbeitet werden. | Java 7 hat einen Bug, der die Kompatibilität mit alten Installationen von Java Webstart Software stört. Einzige Lösung ist, den Java Cache zu löschen. Den Java Cache finden Sie an folgenden Stellen: |
| |
| 9. Kann man in der Java RA-Oberfläche unter Linux den gewünschten PDF-Betrachter konfigurieren? | Windows XP: C:\Dokumente und Einstellungen\<NutzerAccountName>\Anwendungsdaten\Sun\Java\\ |
| Die folgenden PDF-Betrachter werden von der Java RA-Oberfläche unter Linux in der angegebenen Reihenfolge gesucht: "acroread", "evince", "kpdf", "xpdf", "okular" Wenn Sie unter Linux einen anderen PDF-Betrachter verwenden wollen, so können sie ihn konfigurieren, indem Sie in der Datei ~/.dfn-pki/configuration.xml die folgende Zeile innerhalb des <configuration>-Blockes einfügen: <property name="PDFviewer">[Vollständiger Pfad zum gewünschten PDF Betrachter]</property> | Windows 7: C:\Benutzer\<NutzerAccountName>\AppData\LocalLow\Sun\Java\\ |
| | Linux/UNIX: ~/.java. |
| |
| 10. Wie funktioniert die Java RA-Oberfläche mit Oracle Java 8u40 Build <= 26 (1.8.40.26) unter Mac OS X? | ====3.8 Was kann ich tun, wenn die Java RA-Oberfläche nicht startet, weil im Home-Verzeichnis kein Verzeichnis .dfn-pki angelegt werden darf?==== |
| |
| Das Java Web Start Modul von Oracle Java 8u40 Build <= 26 unter Max OS X enthält einen Fehler, der verhindert, dass die Java RA-Oberfläche den Eingabefokus für Eingabefelder (z.B. Passwort-Dialog) erhält. Im aktuelleren Oracle Java 8u40b27 (1.8.40.27) ist dieser Fehler behoben worden. Diese Version erhalten Sie unter http://www.oracle.com/technetwork/java/javase/downloads/index.html. | Die Java RA-Oberfläche versucht bei ihrem Start, ein Verzeichnis .dfn-pki in Ihrem Home-Verzeichnis zur Speicherung von Konfigurationsdateien anzulegen. Wenn Sie auf einem System arbeiten, in dem Sie keine Schreibrechte auf Ihr Home-Verzeichnis haben, kann die Java RA-Oberfläche deshalb nicht starten. Starten Sie in diesem Fall die Java RA-Oberfläche von der Kommandozeile mit einem weiteren Parameter, um die Home-Verzeichnis-Einstellungen von Java auf ein von Ihnen gewähltes schreibbares Verzeichnis zu setzen: javaws -J-Duser.home=[X:\Schreibbbares_Verzeichnis] https://pki.pca.dfn.de/guira/guira.jnlp |
| |
| Falls Oracle Java 8u40b27 auf Ihrem System nicht zur Verfügung steht, kann Java Web Start als Work-Around auch von der Kommandozeile aus mit folgenden Optionen gestartet werden: | Unter Umständen legt Java dabei eine /neue/ nutzerspezifische Konfiguration der Java-Laufzeitumgung (JRE) mit zurückgesetzten Standardeinstellungen an. Falls nötig, können diese Einstellungen (z. B. Netzwerk-Proxy-Einstellung, aktive Java-Version etc.) mittels Aufruf von |
| |
| javaws -Xnosplash -Xdebug pki.pca.dfn.de/guira/guira.jnlp | javaws -J-Duser.home=[X:\Schreibbbares_Verzeichnis] -viewer |
| | |
| | bearbeitet werden. |
| | |
| | ====9. Kann man in der Java RA-Oberfläche unter Linux den gewünschten PDF-Betrachter konfigurieren?==== |
| | |
| | Die folgenden PDF-Betrachter werden von der Java RA-Oberfläche unter Linux in der angegebenen Reihenfolge gesucht: "acroread", "evince", "kpdf", "xpdf", "okular" Wenn Sie unter Linux einen anderen PDF-Betrachter verwenden wollen, so können sie ihn konfigurieren, indem Sie in der Datei ~/.dfn-pki/configuration.xml die folgende Zeile innerhalb des <configuration>-Blockes einfügen: <property name="PDFviewer">[Vollständiger Pfad zum gewünschten PDF Betrachter]</property> |
| | |
| | ====10. Wie funktioniert die Java RA-Oberfläche mit Oracle Java 8u40 Build <= 26 (1.8.40.26) unter Mac OS X?==== |
| | |
| | Das Java Web Start Modul von Oracle Java 8u40 Build <= 26 unter Max OS X enthält einen Fehler, der verhindert, dass die Java RA-Oberfläche den Eingabefokus für Eingabefelder (z.B. Passwort-Dialog) erhält. Im aktuelleren Oracle Java 8u40b27 (1.8.40.27) ist dieser Fehler behoben worden. Diese Version erhalten Sie unter http://www.oracle.com/technetwork/java/javase/downloads/index.html. |
| | |
| | Falls Oracle Java 8u40b27 auf Ihrem System nicht zur Verfügung steht, kann Java Web Start als Work-Around auch von der Kommandozeile aus mit folgenden Optionen gestartet werden: |
| | |
| | javaws -Xnosplash -Xdebug pki.pca.dfn.de/guira/guira.jnlp |