Fragen und Antworten zum Betrieb eines Teilnehmerservice (TS) in der DFN-PKI

Der Teilnehmerservice übernimmt in einer PKI Aufgaben, die sinnvollerweise nur lokal durchgeführt werden können. Die wesentlichen Aufgaben sind:

• Freischaltung von Domains, die in E-Mail-Adressen oder Servernamen in Zertifikaten aufgenommen werden sollen

• Genehmigen von Zertifikatanträgen

• Sperren von Zertifikaten

• Beraten von Nutzenden

Einen Teilnehmerservice gibt es sowohl bei den vom DFN-Verein betriebenen PKIs (DFN-Verein Community PKI, Grid-PKI), als auch bei GÉANT TCS.

Eine handlungsberechtigte Person (HP) in der DFN-PKI ist die Person, die eine Einrichtung in allen Belangen in Zusammenhang mit der DFN-PKI gegenüber dem DFN-Verein vertritt. Eine HP wird von einer für eine Einrichtung zeichnungsberechtigten Person mit dem entsprechenden Formular ernannt.

Nicht bearbeitete oder gelöschte Zertifikatanträge werden 180 Tage nach Eingang des Zertifikatantrags endgültig entfernt.

Sperranträge sind hiervon nicht betroffen.

Jeder Teilnehmer an der DFN-PKI kann Zertifikate nur für Domains ausstellen, für die der Domaininhaber oder der technische Ansprechpartner in einem E-Mail-Challenge-Response-Verfahren zugestimmt hat. Um dies technisch sicherzustellen, wird von der DFN-PCA für jeden Teilnehmerservice eine Liste ihrer zulässigen Domains vorgehalten. TS-Mitarbeiter haben die Möglichkeit, diese Liste einzusehen und zu bearbeiten, z.B. wenn eine Einrichtung eine neue Domain nutzt. Zertifikatanträge mit Domainnamen, die nicht auf dieser Liste stehen, werden bereits bei der Antragstellung mit einer Fehlermeldung abgewiesen.

Die Freischaltung von Domains ist für 394 Tage gültig. Danach muss der Teilnehmerservice die Freischaltung erneut anstossen.

Hierfür gibt es zwei Möglichkeiten:

1. E-Mail-Adressen, die aus einer Domain auf der Liste der zugelassenen E-Mail-Domains stammen, sind immer möglich (Ansicht über die Java RA-Oberfläche, „Administration→Konfiguration E-Mail-Domains“).

2. Andere E-Mail-Adressen können, je nach Konfiguration, ebenfalls enthalten sein. An diese werden immer Bestätigungs-E-Mails mit je einem Link versandt, der aufgerufen werden muss, bevor der Teilnehmerservice den Antrag genehmigen kann. Ob das Verfahren der Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar.

Ja. Es kann für jede RA nach Absprache mit der DFN-PCA konfiguriert werden, dass ausschließlich die auf der Liste der E-Mail-Domains enthaltenen Adressen verwendet werden.

Generell muss geprüft werden, ob die E-Mail-Adresse dem Antragssteller zugeordnet ist. Ist die E-Mail-Adresse aus der Domain der Einrichtung, lässt sich dies in der Regel durch einrichtungsinterne Adresslisten o.ä. feststellen.

Bei E-Mail-Adressen, die durch eine Bestätigungs-E-Mail geprüft wurden (in der RA-Oberfläche erkennbar am Text „Bestätigt durch Nutzer“), ist nichts weiter zu prüfen.

Wenn das Zertifikat ohne die E-Mail-Adresse ausgestellt werden soll, können Sie diese in der RA-Oberfläche aus dem Antrag löschen. Danach müssen Sie den Antrag erneut ausdrucken und vom Antragsteller unterschreiben lassen, und können ihn anschließend genehmigen.

Wenn stattdessen eine andere E-Mail-Adresse in das Zertifikat aufgenommen werden soll, müssen Sie den Antrag entsprechend in der RA-Oberfläche bearbeiten. Bitte beachten Sie, dass Sie den Versand einer Bestätigungs-E-Mail manuell auslösen müssen.

Ja, sofern noch zu bearbeitende Zertifikatanträge vorhanden sind, die E-Mail-Adressen aus dieser Domain enthalten: Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert und wird ein Domain-Eintrag aus der Liste der zugelassenen E-Mail-Domains gelöscht, so werden noch zu bearbeitende Zertifikatanträge, die E-Mail-Adressen aus dieser Domain enthalten, nicht mehr genehmigt werden können. Soll eine betroffene E-Mail-Adresse aus so einem Zertifikatantrag trotzdem in das Zertifikat aufgenommen werden, so muss vom Teilnehmerservice der Versand einer Bestätigungs-E-Mail manuell ausgelöst werden.

Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert, so kann ein Domain-Eintrag nur dann in die Liste der zugelassenen E-Mail-Domains aufgenommen werden, wenn keine noch zu bearbeitenden Zertifikatanträge vorliegen, die mittels Bestätigungs-E-Mail explizit bestätigte oder abgelehnte E-Mail-Adressen aus dieser Domain enthalten.

Ist das Verfahren zum Versenden von Bestätigungs-E-Mails deaktiviert, so kann ein Domain-Eintrag aus der Liste der zugelassenen E-Mail-Domains nur dann aus dieser Liste gelöscht werden, wenn es keine noch zu bearbeitenden Zertifikatanträge mehr gibt, die E-Mail-Adressen aus dieser Domain enthalten. Die betroffenen Zertifikatanträge müssen vorher genehmigt oder gelöscht werden; oder die betroffenen darin enthaltenen E-Mail-Adressen müssen vorher im Zertifikatantrag geändert oder aus diesem gelöscht werden.

Ob das Verfahren zum Versenden von Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar.

Sofern für eine eingetragene E-Mail-Domain die Option „Beliebige Hostnamen in dieser Domain zulassen“ ausgewählt ist, werden automatisch auch E-Mail-Adressen von beliebigen Sub-Domains (in beliebiger Hierarchietiefe) dieser Domain für die Aufnahme in Zertifikate akzeptiert. Sofern für eine eingetragene E-Mail-Domain die Option „Nur diesen Hostnamen zulassen“ ausgewählt ist, werden nur E-Mail-Adressen für die Aufnahme in Zertifikate akzeptiert, deren Host/Domain-Teil nach dem @-Zeichen exakt diesem gesamten eingetragenen Domainnamen (inklusive ggf. explizit darin angegebener Sub-Domains) entspricht.

Ist das Verfahren zum Versenden von Bestätigungs-E-Mails aktiviert, so wird bei einer leeren Liste an jede in ein Zertifikat aufzunehmende E-Mail-Adresse eine Bestätigungs-E-Mail geschickt.

Ist das Verfahren zum Versenden von Bestätigungs-E-Mails deaktiviert, so werden bei einer leeren Liste gar keine E-Mail-Adressen zur Aufnahme in Zertifikate akzeptiert.

Ob das Verfahren zum Versenden von Bestätigungs-E-Mails für Ihre RA aktiviert ist, hängt von der Konfiguration ab und ist durch die DFN-PCA nach Absprache einstellbar.

Zur Nutzung der Java RA-Oberfläche müssen Sie eine Java-Laufzeitumgebung der Version 11 oder höher installiert haben. Bezugsquellen für Java zum Betrieb der RA-Oberfläche finden Sie unter https://blog.pki.dfn.de/2019/05/bezugsquellen-fuer-java-zum-betrieb-der-ra-oberflaeche/

Die aktuelle Version der Java RA-Oberfläche können Sie als ZIP-Datei von https://blog.pki.dfn.de/tag/guira-releases/ herunterladen. In den darin enthaltenen Dateien README.txt bzw. Anleitung_Windows.pdf finden Sie weitere Hinweise zur Installation und Inbetriebnahme.

Nach dem Start der Anwendung werden Sie in einem Dialog dazu aufgefordert, ein TS-Mitarbeiterzertifikat als PKCS#12-Datei (.p12 oder .pfx) anzugeben.

Sofern Sie den Antragsstellungsprozess für Ihr TS-Mitarbeiterzertifikat mit dem Speichern der Zertifikatsdatei abgeschlossen haben, liegt Ihnen die benötigte PKCS#12-Datei damit vor.

Weitere Informationen zur Bedienung der JAVA RA-Oberfläche finden Sie in der Anleitung für Teilnehmerservice-Mitarbeiter.

Die Java RA-Oberfläche versucht bei ihrem Start, ein Verzeichnis .dfn-pki in Ihrem Home-Verzeichnis zur Speicherung von Konfigurationsdateien anzulegen. Wenn Sie auf einem System arbeiten, in dem Sie keine Schreibrechte auf Ihr Home-Verzeichnis haben, kann die Java RA-Oberfläche deshalb nicht starten. Zur Abhilfe können Sie dem Java-Aufruf in der entsprechenden Skript- bzw. Batch-Datei (also in guira-linux.sh, guira-macosx.command bzw. guira-windows.bat) mit einer zusätzlichen Option ein beschreibbares Home-Verzeichnis bekannt geben, z.B.

Windows:

%JAVA_HOME%\bin\java.exe -Duser.home=„X:\schreibbbares_Verzeichnis“ %HTTP_PROXY% %HTTPS_PROXY% […]

Linux/MacOS:

$J -Duser.home=/schreibbbares_Verzeichnis -cp guira-complete.jar:${ADDITIONALJARS} […]

Die Java RA-Oberfläche legt dann in diesem beschreibbaren Verzeichnis das Unterverzeichnis .dfn-pki an und speichert darin ihre Konfigurationsdateien.

Die folgenden PDF-Betrachter werden von der Java RA-Oberfläche unter Linux in der angegebenen Reihenfolge gesucht: acroread, evince, kpdf, xpdf, okular

Wenn Sie unter Linux einen anderen PDF-Betrachter verwenden wollen, so können sie ihn konfigurieren, indem Sie in der Datei ~/.dfn-pki/configuration.xml die folgende Zeile innerhalb des <configuration>-Blockes einfügen:

<property name="PDFviewer">[Vollständiger Pfad zum gewünschten PDF Betrachter]</property>