Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:servercerts [2025/06/24 15:00] Juergen Brauckmannde:dfnpki:tcs:2025:servercerts [2025/06/24 15:05] (aktuell) – [Serverzertifikate] Juergen Brauckmann
Zeile 4: Zeile 4:
  
  
 +HARICA unterstützt wie jede PKI [[https://doku.tid.dfn.de/de:dfnpki:tcs:2025:caa|CAA Records]].
 ==== Vier-Augen-Prinzip ==== ==== Vier-Augen-Prinzip ====
  
-Serverzertifikate erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''.+Serverzertifikate, die über die Web-Oberfläche ausgestellt werden, erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle ''User'' gestellt, und von einem anderen Account mit Rolle ''Enterprise Approver'' genehmigt. 
 + 
 +Auch ein ''Enterprise Admin'' oder ''Enterprise Approver'' kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten ''Enterprise Approver''.
  
  
Zeile 59: Zeile 62:
  
 Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen. Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente **nicht** mit dem Schlüsselwort "harica" durchzuführen.
- 
-===== CAA-Records ===== 
- 
-=== harica.gr === 
-**Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. 
- 
-Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für GÉANT-TCS-Zertifikate von HARICA den ''issue''-Wert ''harica.gr'' 
- 
-Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. 
- 
-Beispiel: 
- 
-<code> 
-muster-uni.de.       IN    CAA    0 issue "harica.gr" 
-muster-uni.de.       IN    CAA    0 issue "pki.dfn.de" 
-</code> 
- 
-=== CNAMEs und CAA-Records === 
- 
-Ist für eine betrachtete Domain (Alias-Domain) ein CNAME im DNS definiert, so müssen die CAA-Records für den CNAME die Ausstellung von Zertifikaten durch TCS erlauben: 
- 
-<code> 
-muster-uni.edu.      IN    CNAME muster-uni.de. 
- 
-muster-uni.de.       IN    CAA    0 issue "harica.gr" 
-muster-uni.de.       IN    CAA    0 issue "pki.dfn.de" 
-</code> 
- 
  • Zuletzt geändert: vor 2 Monaten