| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2025:usercerts [2025/07/01 12:08] – [S/MIME] Reimer Karlsen-Masur | de:dfnpki:tcs:2025:usercerts [2025/07/29 11:49] (aktuell) – [S/MIME] Reimer Karlsen-Masur |
|---|
| |
| Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: | Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: |
| * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen- oder Funktionsmailadressen. | * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen-, Rollen- oder Funktions-E-Mail-Adressen. |
| * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. | * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. |
| * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. | * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. |
| Für den Zertifikattyp ''For enterprises or organizations (IV+OV)'' lassen sich zwei **verschiedene** Abläufe realisieren: | Für den Zertifikattyp ''For enterprises or organizations (IV+OV)'' lassen sich zwei **verschiedene** Abläufe realisieren: |
| |
| **1. Ohne Übernahme von AAI-Daten:** Ist der User mit Username/Passwort eingeloggt oder ist ein Login per AAI erfolgt, aber es wurden keine weitere Vorbereitungen getroffen: | **1. Ohne Übernahme von AAI-Daten (nicht empfehlenswert):** Ist der User mit Username/Passwort eingeloggt oder ist ein Login per AAI ("Academic Login") erfolgt, aber es wurden keine weitere Vorbereitungen getroffen: |
| |
| * Der User muss seine Daten wie Vorname und Nachname selbst eingeben. | * Der User muss seine Daten wie Vorname und Nachname selbst eingeben. |
| * Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt. | * Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt. |
| | * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. |
| * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. | * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. |
| | * Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** //von Rollen, Funktionen und Gruppen// sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher in "IV+OV"-Zertifikate aufgenommen werden. |
| |
| Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung raten wir davon ab, diesen Antragsweg aktiv zu verwenden. | Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung **raten wir davon ab**, diesen Antragsweg aktiv zu verwenden. |
| |
| **Wichtig:** HARICA prüft vereinzelt in nachgelagerten stichprobenartigen Audits die hochgeladenen Dokumente und verlangt gegebenenfalls eine Sperrung von Zertifikaten, wenn sich Inkonsistenzen ergeben. | **Wichtig:** HARICA prüft in nachgelagerten, stichprobenartigen Audits die hochgeladenen Dokumente und verlangt gegebenenfalls eine Sperrung von Zertifikaten, wenn sich Inkonsistenzen ergeben. |
| |
| |
| **2. Mit Übernahme von AAI-Daten (empfohlen):** Ist der Login über die AAI erfolgt, und sind die [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] getroffen worden: | **2. Mit Übernahme von AAI-Daten (empfohlen):** Ist der Login über die AAI ("Academic Login") erfolgt, und sind die [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] getroffen worden: |
| |
| * Vorname und Nachname wird von der AAI übernommen. | * Vorname und Nachname wird von der AAI übernommen. |
| * Es muss (in der offenen HARICA-Login-Session) eine E-Mail-Challenge beantwortet werden. | * Von der AAI an HARICA übertragene Vor- und Nachnamen der Personen dürfen keine Gruppennamen oder Pseudonyme sein! aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. |
| | * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. |
| * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt. | * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt. |
| |
| |
| 2. Für alle User, die mit diesem Ablauf Zertifikate beziehen sollen, müssen zusätzliche Attribute an HARICA übermittelt werden: | 2. Für alle User, die mit diesem Ablauf Zertifikate beziehen sollen, müssen zusätzliche Attribute an HARICA übermittelt werden: |
| * eduPersonPrincipalName | * ''eduPersonPrincipalName'' |
| * eduPersonEntitlement | * ''eduPersonEntitlement'' |
| * Entitlement urn:mace:terena.org:tcs:smime-sv-autoissue ermöglicht den Bezug von S/MIME-Zertifikaten | * ''urn:mace:terena.org:tcs:smime-sv-autoissue'' ermöglicht den Bezug von S/MIME-Zertifikaten |
| * Entitlement urn:mace:terena.org:tcs:personal-user ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF Client Auth (siehe unten) | * ''urn:mace:terena.org:tcs:personal-user'' ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF Client Auth (siehe unten) |
| * **Wichtig:** Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein. Alle uns bekannten Details zu Anforderungen nach der Identifizierung sind von HARICA mit den unten genannten Bedingungen erläutert worden. | * **Wichtig:** Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein. Alle uns bekannten Details zu Anforderungen nach der Identifizierung sind von HARICA mit den unten genannten Bedingungen erläutert worden. |
| | * **Wichtig:** Das an HARICA übertragene ''eduPersonEntitlement''-Attribut darf eine maximale Länge von 85 Zeichen nicht überschreiten. Es können also auch beide o.a. TCS-spezifischen Entitlements gleichzeitig an HARICA herausgegeben werden werden aber eben in der Regel keine anderen Entitlements, die für TCS nicht relevant sind. |
| |
| 3. Der Enterprise Administrator muss das Feature freischalten. Hierzu unter "Admin->Enterprises" das eigene Enterprise aufrufen und im großen Dialog oben rechts das kleine Postfach-Icon anklicken. | 3. Der Enterprise Administrator muss das Feature freischalten. Hierzu unter "Admin->Enterprises" das eigene Enterprise aufrufen und im großen Dialog oben rechts das kleine Postfach-Icon anklicken. |
| |
| Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen. | Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen. |
| |
| |
| === Bulk-Verfahren === | === Bulk-Verfahren === |
| Ein Enterprise Approver hat die Möglichkeit, über den Upload einer CSV-Datei mit Mail-Adressen, Personennamen und weiteren Parametern größere Mengen an S/MIME-Zertifikaten in einem Schritt ohne User-Interaktion zu erstellen. | Ein Enterprise Approver hat die Möglichkeit, über den Upload einer CSV-Datei mit Mail-Adressen, Personennamen und weiteren Parametern größere Mengen an S/MIME-Zertifikaten in einem Schritt ohne User-Interaktion zu erstellen. |
| |
| Der Prozess ist verfügbar unter "Admin->Enterprises->Bulk Certificates->S/MIME", Button "Start here". Beispiel-CSV-Dateien für mehrere Varianten stehen direkt in dem Dialog zur Verfügung. | Der Prozess ist verfügbar unter "Enterprises->Admin->Bulk Certificates->S/MIME", Button "Start here". Beispiel-CSV-Dateien für mehrere Varianten stehen direkt in dem Dialog zur Verfügung. |
| |
| Eigenschaften: | Eigenschaften: |
| * Es können bis zu drei Mailadressen pro Zertifikat angegeben werden. | * Es können bis zu drei E-Mail-Adressen pro Zertifikat angegeben werden. |
| * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System | * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System. |
| * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein | * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein. |
| * Es können entweder Zertifkate des Typs email_only oder aber IV+OV (also mit Vorname/Nachname) ausgestellt werden | * Es können entweder Zertifikate des Typs ''email_only'' oder aber ''natural_legal_lcp'' (also IV+OV mit Vorname, Nachname und Organisationsname) ausgestellt werden. |
| | * Es gibt eine Begrenzung auf 50 Zeilen. |
| | |
| | Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt. |
| |
| Für die Ausstellung von Zertifikaten des Typs IV+OV empfehlen wir, sich an die Bedingungen zur Identifizierung zu halten, wie sie in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt sind. | **Wichtig:** Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** von Rollen, Funktionen und Gruppen sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher sowohl in "Email-only"- bzw. in deren Bulk-S/MIME-Pendant "email_only"-Zertifikate als auch in "IV+OV"- bzw. deren Bulk-S/MIME-Pendant "natural_legal_lcp"-Zertifikate aufgenommen werden. |
| |
| ==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ==== | ==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ==== |