| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2025:ersteschritte [2025/09/26 13:40] – Antonio Liu | de:dfnpki:tcs:2025:ersteschritte [2025/10/01 16:32] (aktuell) – Reimer Karlsen-Masur |
|---|
| ===== Erste Schritte für Handlungsberechtigte Personen (HP) und Enterprise-Admins ===== | ===== Erste Schritte für Handlungsberechtigte Personen (HP) und Enterprise-Admins ===== |
| |
| Neue Organisationen/Einrichtungen werden von der DFN-PCA im HARICA-System angelegt. Das initiale Setup erfolgt in direkter Absprache mit <dfnpca@dfn-cert.de>. Falls Sie die Rolle des Enterprise-Admins übernehmen, dann folgen Sie bitte der Anleitung unten, sobald Ihre Organisation/Einrichtung im System freigeschaltet wurde: | Neue Organisationen werden von der DFN-PCA als "Enterprise" im HARICA-System angelegt. Das initiale Setup erfolgt in direkter Absprache mit <dfnpca@dfn-cert.de>. Falls Sie die Rolle des Enterprise-Admins übernehmen, dann folgen Sie bitte der Anleitung unten, sobald Ihre Organisation im System angelegt wurde: |
| |
| === 1. User-Registrierung === | === 1. User-Registrierung === |
| * Sie müssen sich zunächst als "normaler" User auf https://cm.harica.gr registrieren. Die bei der Registrierung verwendete E-Mail-Adresse sorgt für die Zuordnung zu einer Organisation/Einrichtung. Es stehen die folgenden Arten der Registrierung zur Verfügung: | * Sie müssen sich zunächst als "normaler" User auf https://cm.harica.gr registrieren. Die bei der Registrierung verwendete E-Mail-Adresse sorgt für die Zuordnung zu einer Organisation. Es stehen die folgenden Arten der Registrierung zur Verfügung: |
| * Username/Passwort: Sie können sich über den Link im Text ''New to HARICA? Sign Up'' mit Username und Passwort neu registrieren. | * Username/Passwort: Sie können sich über den Link im Text ''New to HARICA? Sign Up'' mit Username und Passwort neu registrieren. |
| * AAI: Sie können sich mit dem Button ''Academic Login'' über AAI neu registrieren. | * AAI: Sie können sich mit dem Button ''Academic Login'' über die DFN-AAI neu registrieren. (Für den initialen Enterprise-Admin Account nicht empfohlen!) |
| * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#user-registrierung oder https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#voraussetzungen_fuer_die_aai-nutzung | * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#user-registrierung oder https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#voraussetzungen_fuer_die_aai-nutzung |
| |
| * Die Rolle Enterprise-Admin erfordert **Zwei-Faktor-Authentifizierung per TOTP (2FA)**. | * Die Rolle Enterprise-Admin erfordert **Zwei-Faktor-Authentifizierung per TOTP (2FA)**. |
| - Zum Aktivieren der 2FA klicken Sie angemeldet als normaler User im hochzustufenden Account rechts oben den eigenen Namen an, wählen ''Profile->Two Factor Authentication'' und folgen den weiteren Anweisungen. | - Zum Aktivieren der 2FA klicken Sie angemeldet als normaler User im hochzustufenden Account rechts oben den eigenen Namen an, wählen ''Profile->Two Factor Authentication'' und folgen den weiteren Anweisungen. |
| - Danach kann ein anderer bereits eingetragenener Enterprise-Admin oder die DFN-PCA Ihren normalen User Account zum Enterprise-Admin Account hochstufen. Dazu bitte eine kurze Emailanfrage an Ihren Enterprise-Admin oder die DFN-PCA <ti-services@dfn-cert.de> schicken. | - Danach kann ein anderer bereits eingetragener Enterprise-Admin Ihrer Organisation oder die DFN-PCA Ihren normalen User Account zum Enterprise-Admin Account hochstufen. Dazu bitte eine kurze E-Mail-Anfrage an Ihren lokalen Enterprise-Admin (sofern bereits eingerichtet) oder die DFN-PCA <ti-services@dfn-cert.de> schicken. |
| * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#rollen | * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#rollen |
| |
| |
| === 3. Weitere Enterprise-Admins registrieren === | === 3. Weitere Enterprise-Admins registrieren === |
| * Es können für Ihre Organisation weitere Enterprise-Admins eingetragen werden. | * Es können für Ihre Organisation selbständig weitere Enterprise-Admins eingerichtet werden. |
| * Dafür müssen die jeweiligen Kollegen einfach ebenfalls die obigen Schritte 1 und 2 durchführen. | * Dafür müssen die jeweiligen Personen einfach ebenfalls die obigen Schritte 1 und 2 durchführen. |
| * **Wichtig: "Vier-Augen-Prinzip" für die Ausstellung von Serverzertifikaten** | * **Wichtig: "Vier-Augen-Prinzip" für die Ausstellung von Serverzertifikaten** |
| * Das HARICA System fordert bei der Ausstellung von Serverzertifikaten das sogenannte "Vier-Augen-Prinzip". Ein Serverzertifikatsantrag kann nicht vom Account des Antragstellers direkt genehmigt werden, sondern muss von einem anderen Enterprise-Admin Account oder anderen Enterprise-Approver Account bearbeitet werden. D.h., wenn Ihre Organisation z.B. nur einen für Zertifikatsverwaltung zuständigen Mitarbeiter hat, dann benötigt dieser einen zweiten Account zur Bearbeitung von Serverzertifikatsanträgen. | * Das HARICA-System fordert bei der Ausstellung von Serverzertifikaten das sogenannte "Vier-Augen-Prinzip". Ein Serverzertifikatsantrag kann nicht vom Account des Antragstellers direkt genehmigt werden, sondern muss von einem anderen Enterprise-Admin Account oder anderen Enterprise-Approver Account bearbeitet werden. D.h., wenn Ihre Organisation z.B. nur eine für Zertifikatsverwaltung zuständige Person hat, dann benötigt diese etwa einen zweiten normalen User Account (oder Enterprise-Admin Account) zur Antragstellung von Serverzertifikaten, so dass die gestellten Anträge vom anderen Enterprise-Admin Account genehmigt werden können. |
| * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#zuweisung_von_rollen und https://doku.tid.dfn.de/de:dfnpki:tcs:2025:servercerts#vier-augen-prinzip | * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#zuweisung_von_rollen und https://doku.tid.dfn.de/de:dfnpki:tcs:2025:servercerts#vier-augen-prinzip |
| |
| |
| === 4. Kontaktadresse prüfen === | === 4. Kontaktadresse prüfen === |
| * Für jede Organisation ist eine Kontakt-Emailadresse im HARICA System hinterlegt (sichtbar unter ''Enterprise->Admin'' in der Auflistung der Enterprises), an die automatische Benachrichtigungen geschickt werden. | * Für jede Organisation ist eine Kontakt-E-Mail-Adresse im HARICA-System hinterlegt (sichtbar unter ''Enterprise->Admin'' in der Auflistung der Enterprises), an die automatische Benachrichtigungen des HARICA-Systems geschickt werden. |
| * Bitte prüfen Sie, ob diese Emailadresse korrekt ist oder ggf. durch eine andere geeignete, z.B. eine Funktions-Emailadresse, ersetzt werden soll. | * Bitte prüfen Sie, ob diese E-Mail-Adresse korrekt ist oder ggf. durch eine andere geeignete, z.B. eine Funktions-/Rollen-E-Mail-Adresse, ersetzt werden soll. |
| * Zur Änderung der hinterlegten Adresse senden Sie bitte unter Angabe Ihres Einrichtungsnamens eine E-Mail an <support-tcs@harica.gr> . | * Zur Änderung der hinterlegten Adresse senden Sie bitte unter Angabe Ihres Organisationsnamens eine E-Mail an <support-tcs@harica.gr> . |
| |
| |
| === 5. Domainvalidierung === | === 5. Domain-Validierung (DV) und zusätzliche Domains === |
| * Sobald Sie als Enterprise-Admin freigeschaltet sind sollten Sie i.d.R. Ihre bereits eingetragene Haupt-Domain validieren lassen, oder | * Sobald Sie als Enterprise-Admin freigeschaltet sind, sollten Sie i.d.R. Ihre bereits eingetragene Haupt-Domain validieren lassen, oder weitere Domains eintragen und validieren. |
| weitere Domains eintragen und validieren: | * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:domains |
| * Siehe auch https://doku.tid.dfn.de/de:dfnpki:harica2025#domainvalidierung | |
| |
| | === 6. Anpassung von CAA-Records im DNS === |
| | * Sofern für die im HARICA-System eingetragenen Domains Ihrer Einrichtung CAA-Records im DNS gesetzt sind, kontrollieren Sie, ob die bestehenden CAA-Records die Zertifikatsausstellung durch HARICA zulassen. |
| | * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa |
| |
| === 6. Organisationsvalidierung === | === 7. Organisationsvalidierung (OV) === |
| * Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Sie können S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie als Enterprise-Admin eine Organisationsvalidierung anstoßen. Hierfür müssen Sie Dokumente über die Organisation an das HARICA Support Team übermittelt. Ablauf der Übermittlung: | * Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Sie können S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie als Enterprise-Admin eine Organisationsvalidierung anstoßen und abschließen. Hierfür müssen Sie Dokumente über die Organisation an das HARICA-Support-Team übermitteln. |
| - Im CertManager ''Enterprise->Admin'' wählen, dann Tab "Enterprises". | * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#organisationsvalidierung mit weiteren Informationen und einer detaillierteren Ablaufsbeschreibung. |
| - Eigene Einrichtung auswählen | |
| - In der aufklappenden Liste noch einmal die eigene Einrichtung auswählen | |
| - Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen. | |
| - Per Button "Upload" an HARICA übermitteln | |
| - Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit cc an ''ti-services@dfn-cert.de''. Z.B.: | |
| <code> | |
| To: support-tcs@harica.gr | |
| Cc: ti-services@dfn-cert.de | |
| Subject: Organisation validation for <Einrichtungsname> | |
| | |
| Hello, | |
| | |
| we have uploaded documents to start the organisation validation of <Einrichtungsname> | |
| | |
| thanks, | |
| </code> | |
| | |
| * Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#organisationsvalidierung | |
| * Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen. | * Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen. |
| | |
| |