Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:servercerts [2025/06/05 14:10] Antonio Liude:dfnpki:tcs:2025:servercerts [2025/06/24 15:05] (aktuell) – [Serverzertifikate] Juergen Brauckmann
Zeile 1: Zeile 1:
-===== Grundsätzliches =====+===== Serverzertifikate =====
  
-Zertifikate werden bis auf eine Ausnahme derzeit ausschließlich von Usern mit einem Account im System beantragt. Der Account kann durch Selbst-Registrierung erstellt werden (siehe [[de:dfnpki:harica2025#user-registrierung|User-Registrierung]]).+Serverzertifikate können von Usern mit einem Account im System beantragt werden (siehe [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#user-registrierung|User-Registrierung]]). Alternativ steht [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:acme|ACME]] zur Verfügung.
  
-Für Serverzertifikate wird es einen ACME-Zugang geben, allerdings sind die Details noch in Absprache. 
  
-=== Kostenpflichtige Zertifikate und Services ===+HARICA unterstützt wie jede PKI [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa|CAA Records]]. 
 +==== Vier-Augen-Prinzip ====
  
-User haben die Möglichkeitim Portal kostenpflichtige Zertifikate oder Services zu bestellen. Der Bestellung endet dabei stets so, dass der User selbst einen Zahlungsprozess mit Kreditkarte durchführen mussbevor irgendwelche weiteren Vorgänge gestartet werden.+Serverzertifikate, die über die Web-Oberfläche ausgestellt werdenerfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestelltund von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt.
  
-==== Vier-Augen-Prinzip ====+Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''.
  
-Serverzertifikate erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''. 
  
-===== Serverzertifikate ===== +==== Zertifikattypen und Antragsstellung ====
- +
-=== Zertifikattypen und Antragsstellung ===+
  
 Der Antragsstellende kann über den Menüpunkt "Server" links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung: Der Antragsstellende kann über den Menüpunkt "Server" links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung:
Zeile 32: Zeile 29:
 === Zertifikatablauf-Warn-E-Mails (Notifications) für Serverzertifikate === === Zertifikatablauf-Warn-E-Mails (Notifications) für Serverzertifikate ===
  
-Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account im Cert Manager in den Serverzertifikat-Details unter dem Tab "Notifications" weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten.+Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account in den Serverzertifikat-Details unter dem Tab "Notifications" weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten.
  
 === Limitierung SANs === === Limitierung SANs ===
Zeile 65: Zeile 62:
  
 Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen. Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen.
- 
-===== ACME ===== 
-HARICA unterstützt im Prinzip bereits ACME. Zur Zeit steht dieses Feature aber nicht in einer Form zur Verfügung, die für einen regulären Einsatz geeignet ist. Insbesondere fehlt eine Verwaltung von Accounts für das External Account Binding von prevalidierten Domains. 
- 
- 
-===== CAA-Records ===== 
- 
-=== harica.gr === 
-**Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. 
- 
-Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für GÉANT-TCS-Zertifikate von HARICA den ''issue''-Wert ''harica.gr'' 
- 
-Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. 
- 
-Beispiel: 
- 
-<code> 
-muster-uni.de.       IN    CAA    0 issue "harica.gr" 
-muster-uni.de.       IN    CAA    0 issue "pki.dfn.de" 
-</code> 
- 
-=== CNAMEs und CAA-Records === 
- 
-Ist für eine betrachtete Domain (Alias-Domain) ein CNAME im DNS definiert, so müssen die CAA-Records für den CNAME die Ausstellung von Zertifikaten durch TCS erlauben: 
- 
-<code> 
-muster-uni.edu.      IN    CNAME muster-uni.de. 
- 
-muster-uni.de.       IN    CAA    0 issue "harica.gr" 
-muster-uni.de.       IN    CAA    0 issue "pki.dfn.de" 
-</code> 
- 
  • Zuletzt geändert: vor 3 Monaten