Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:servercerts [2025/06/05 13:24] – ↷ Seitename wurde von de:dfnpki:tcs:2025:servercert auf de:dfnpki:tcs:2025:servercerts geändert Antonio Liude:dfnpki:tcs:2025:servercerts [2025/06/24 15:05] (aktuell) – [Serverzertifikate] Juergen Brauckmann
Zeile 1: Zeile 1:
 ===== Serverzertifikate ===== ===== Serverzertifikate =====
  
-=== Vier-Augen-Prinzip ===+Serverzertifikate können von Usern mit einem Account im System beantragt werden (siehe [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#user-registrierung|User-Registrierung]]). Alternativ steht [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme|ACME]] zur Verfügung.
  
-Serverzertifikate erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''. 
  
-=== Zertifikattypen und Antragsstellung ===+HARICA unterstützt wie jede PKI [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa|CAA Records]]. 
 +==== Vier-Augen-Prinzip ==== 
 + 
 +Serverzertifikate, die über die Web-Oberfläche ausgestellt werden, erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. 
 + 
 +Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''
 + 
 + 
 +==== Zertifikattypen und Antragsstellung ====
  
 Der Antragsstellende kann über den Menüpunkt "Server" links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung: Der Antragsstellende kann über den Menüpunkt "Server" links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung:
Zeile 22: Zeile 29:
 === Zertifikatablauf-Warn-E-Mails (Notifications) für Serverzertifikate === === Zertifikatablauf-Warn-E-Mails (Notifications) für Serverzertifikate ===
  
-Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account im Cert Manager in den Serverzertifikat-Details unter dem Tab "Notifications" weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten.+Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account in den Serverzertifikat-Details unter dem Tab "Notifications" weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten.
  
 === Limitierung SANs === === Limitierung SANs ===
Zeile 55: Zeile 62:
  
 Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen. Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen.
- 
-===== ACME ===== 
-HARICA unterstützt im Prinzip bereits ACME. Zur Zeit steht dieses Feature aber nicht in einer Form zur Verfügung, die für einen regulären Einsatz geeignet ist. Insbesondere fehlt eine Verwaltung von Accounts für das External Account Binding von prevalidierten Domains. 
- 
- 
-===== CAA-Records ===== 
- 
-=== harica.gr === 
-**Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. 
- 
-Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für GÉANT-TCS-Zertifikate von HARICA den ''issue''-Wert ''harica.gr'' 
- 
-Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. 
- 
-Beispiel: 
- 
-<code> 
-muster-uni.de.       IN    CAA    0 issue "harica.gr" 
-muster-uni.de.       IN    CAA    0 issue "pki.dfn.de" 
-</code> 
- 
-=== CNAMEs und CAA-Records === 
- 
-Ist für eine betrachtete Domain (Alias-Domain) ein CNAME im DNS definiert, so müssen die CAA-Records für den CNAME die Ausstellung von Zertifikaten durch TCS erlauben: 
- 
-<code> 
-muster-uni.edu.      IN    CNAME muster-uni.de. 
- 
-muster-uni.de.       IN    CAA    0 issue "harica.gr" 
-muster-uni.de.       IN    CAA    0 issue "pki.dfn.de" 
-</code> 
- 
  • Zuletzt geändert: vor 3 Monaten