Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:tipstricks [2025/06/13 12:36] Antonio Liude:dfnpki:tcs:2025:tipstricks [2025/06/26 16:12] (aktuell) Juergen Brauckmann
Zeile 3: Zeile 3:
 ==== Hängende Anträge ==== ==== Hängende Anträge ====
  
-Leider gibt es bei hängenden Anträgen oft keine oder keine hilfreichen Nachrichten/Fehlermeldungen vom HARICA System, und es kann diverse Ursachen für die 'Nicht Ausstellung' eines Zertifikates geben. Im folgenden einige mögliche Ursachen:+Leider gibt es bei hängenden Anträgen oft keine oder keine hilfreichen Meldungen/Fehlermeldungen vom HARICA System, und es kann diverse Ursachen für die 'Nicht Ausstellung' eines Zertifikates geben. Im folgenden einige mögliche Ursachen:
  
 === CAA Record ===   === CAA Record ===  
 Wenn Sie CAA Records verwenden, dann stellen Sie sicher, dass HARICA als erlaubter Aussteller eingetragen ist. Sie können das einfach nachprüfen mit folgendem Befehl in einer Konsole: Wenn Sie CAA Records verwenden, dann stellen Sie sicher, dass HARICA als erlaubter Aussteller eingetragen ist. Sie können das einfach nachprüfen mit folgendem Befehl in einer Konsole:
  
-''dig domainname.de CAA''+  dig domainname.de CAA
  
 Schauen Sie in der Antwort nach, ob es in der 'Answer Section' einen Eintrag für HARICA gibt: Schauen Sie in der Antwort nach, ob es in der 'Answer Section' einen Eintrag für HARICA gibt:
  
-'';; ANSWER SECTION: \\ +  ;; ANSWER SECTION:  
-domainname.de 10 IN CAA 0 issue "harica.gr" \\ +  domainname.de 10 IN CAA 0 issue "harica.gr"  
-domainname.de 10 IN CAA 0 issue "pki.dfn.de" \\ +  domainname.de 10 IN CAA 0 issue "pki.dfn.de"  
-domainname.de 10 IN CAA 0 issue "letsencrypt.org" \\ +  domainname.de 10 IN CAA 0 issue "letsencrypt.org"  
-domainname.de 10 IN CAA 0 issue "sectigo.com" '' \\ +  domainname.de 10 IN CAA 0 issue "sectigo.com" 
-  +
  
  
-==== Cross Certificate ====+=== CSR mit altem privaten Schlüssel ===
  
 +Wenn Sie ein Serverzertifikat mit einem selbsterstellten CSR beantragen wollen, dann müssen Sie sicherstellen, dass der zugehörige private Schlüssel neu ist und nicht bereits verwendet wurde, d.h., dem HARICA System bereits bekannt ist. Aus Sicherheitsaspekten erlaubt das HARICA System die Wiederverwendung eines privaten Schlüssels nicht. Damit soll sichergestellt werden, dass nicht zwei unterschiedliche HARICA-Accounts den gleichen privaten Schlüssel verwendet haben und somit das jeweils andere Zertifikat kompromittiert ist.
 +
 +
 +=== CSR Eingabefeld mit zusätzlichen Leerzeichen oder Leerzeilen ===
 +
 +Wenn Sie bei der Beantragung eines Serverzertifikates einen eigenen CSR per Copy&Paste in den Antrag aufnehmen, müssen Sie darauf achten, dass keine zusätzlichen Leerzeichen oder Leerzeilen etc mit in das Eingabefeld für den CSR kopiert oder eingetragen werden. Diese können zur Ablehnung von Anträgen mittels diverser Fehlermeldungen oder später zu hängenden Anträgen führen.
 +
 +==== Cross Certificate ====
  
 +In einigen älteren Versionen von Anwendungen sind nur die alten 'Legacy 2015' Wurzel-CA-Zertifikate von HARICA vorinstalliert. Eventuell müssen Sie in diesen Anwendungen ein sogenanntes Cross-Zertifikat von HARICA nachinstallieren, damit Zertifikate als vertrausenswürdig akzeptiert werden. Weitere Hinweise zum Cross Certificate finden Sie hier: [[de:dfnpki:tcs:2025:cacerts#wurzel-ca-zertifikate_2015_-_legacy_fuer_server-zertifikate|Wurzel-CA-Zertifikate (2015 - legacy)]]
  
-==== AAI Zugriff ==== 
  
  • Zuletzt geändert: vor 5 Monaten