Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:acme [2025/07/29 09:17] Juergen Brauckmannde:dfnpki:tcs:2025:acme [2025/08/08 13:54] (aktuell) Juergen Brauckmann
Zeile 11: Zeile 11:
 ==== Enterprise Accounts ==== ==== Enterprise Accounts ====
  
-=== Eigenschaften === 
-  
   * Können nur vom Enterprise Admin angelegt werden   * Können nur vom Enterprise Admin angelegt werden
   * FQDN/Domains, für die Zertifikate ausgestellt werden können, können im Account sehr detailliert konfiguriert werden   * FQDN/Domains, für die Zertifikate ausgestellt werden können, können im Account sehr detailliert konfiguriert werden
Zeile 24: Zeile 22:
     * Für Domains, die in dem Enterprise gelistet sind     * Für Domains, die in dem Enterprise gelistet sind
     * ACME Challenge, wenn die Domain keine aktuelle Validierung hat     * ACME Challenge, wenn die Domain keine aktuelle Validierung hat
- 
-=== Anleitung === 
  
 Die Nutzung von Enterprise ACME Accounts ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise]] Die Nutzung von Enterprise ACME Accounts ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_enterprise]]
Zeile 31: Zeile 27:
  
 ==== Personal Accounts ==== ==== Personal Accounts ====
- 
- 
-=== Eigenschaften === 
  
   * In einem Enterprise nur verfügbar, wenn der Admin die Möglichkeit hierzu freigeschaltet hat   * In einem Enterprise nur verfügbar, wenn der Admin die Möglichkeit hierzu freigeschaltet hat
Zeile 42: Zeile 35:
   * ACME Challenge bei jeder Zertifikatausstellung erforderlich, um die Berechtigung nachzuweisen   * ACME Challenge bei jeder Zertifikatausstellung erforderlich, um die Berechtigung nachzuweisen
   * SSL DV Zertifikate (ohne Organisationsinformationen)   * SSL DV Zertifikate (ohne Organisationsinformationen)
- 
- 
-=== Freischaltung und Nutzung von Personal ACME Accounts === 
- 
-Die Funktionalität für Personal ACME Accounts ist erst nach einer Freischaltung durch den Enterprise Administrator verfügbar. 
  
 Die Freischaltung und Nutzung ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal]] Die Freischaltung und Nutzung ist dokumentiert unter: [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal|https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme_personal]]
Zeile 136: Zeile 124:
  
  
-==== Fehlermeldungen ====+==== Fallstricke und Fehlermeldungen ====
  
 +
 +=== Fehlermeldungen ===
 Der ACME-Server von HARICA gibt im Fehlerfall teilweise nur sehr generische Meldungen zurück, z.B. Der ACME-Server von HARICA gibt im Fehlerfall teilweise nur sehr generische Meldungen zurück, z.B.
     {     {
Zeile 146: Zeile 136:
     An unexpected error occurred:     An unexpected error occurred:
     AttributeError: can't set attribute     AttributeError: can't set attribute
 +
 +
 +=== Email-Adresse erforderlich ===
 +Bitte unbedingt bei der Account-Erzeugung eine Email-Adresse übergeben (z.B. ''certbot''-Parameter ''--email'' oder entsprechende Konfigurationsparameter bei caddy, Traefik, ...). Das HARICA-System lehnt die Account-Erzeugung sonst ab.
 +
 +
 +=== Prüfpunkte ===
  
 Beim Auftreten eines Fehlers sollten folgende Punkte zunächst geprüft werden: Beim Auftreten eines Fehlers sollten folgende Punkte zunächst geprüft werden:
Zeile 161: Zeile 158:
   - Ist es dem ACME Client möglich, eine HTTP- oder DNS-Challenge zu beantworten? Sind hierbei evtl. Fehler aufgetreten (prüfen im Log des ACME Clients)?   - Ist es dem ACME Client möglich, eine HTTP- oder DNS-Challenge zu beantworten? Sind hierbei evtl. Fehler aufgetreten (prüfen im Log des ACME Clients)?
  
 +=== Ansible ===
  
 +Bei den ''community.crypto''-Module von Ansible muss der Parameter  ''modify_account: false'' angegeben werden, damit die Zertifikaterstellung funktioniert.
  • Zuletzt geändert: vor 5 Wochen