| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2025:usercerts [2025/07/14 09:31] – [S/MIME] Juergen Brauckmann | de:dfnpki:tcs:2025:usercerts [2025/07/29 11:49] (aktuell) – [S/MIME] Reimer Karlsen-Masur |
|---|
| |
| Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: | Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: |
| * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen- oder Funktionsmailadressen. | * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen-, Rollen- oder Funktions-E-Mail-Adressen. |
| * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. | * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. |
| * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. | * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. |
| * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. | * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. |
| * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. | * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. |
| | * Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** //von Rollen, Funktionen und Gruppen// sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher in "IV+OV"-Zertifikate aufgenommen werden. |
| |
| Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung **raten wir davon ab**, diesen Antragsweg aktiv zu verwenden. | Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung **raten wir davon ab**, diesen Antragsweg aktiv zu verwenden. |
| |
| * Vorname und Nachname wird von der AAI übernommen. | * Vorname und Nachname wird von der AAI übernommen. |
| | * Von der AAI an HARICA übertragene Vor- und Nachnamen der Personen dürfen keine Gruppennamen oder Pseudonyme sein! aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. |
| * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. | * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. |
| * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt. | * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt. |
| |
| 2. Für alle User, die mit diesem Ablauf Zertifikate beziehen sollen, müssen zusätzliche Attribute an HARICA übermittelt werden: | 2. Für alle User, die mit diesem Ablauf Zertifikate beziehen sollen, müssen zusätzliche Attribute an HARICA übermittelt werden: |
| * eduPersonPrincipalName | * ''eduPersonPrincipalName'' |
| * eduPersonEntitlement | * ''eduPersonEntitlement'' |
| * urn:mace:terena.org:tcs:smime-sv-autoissue ermöglicht den Bezug von S/MIME-Zertifikaten | * ''urn:mace:terena.org:tcs:smime-sv-autoissue'' ermöglicht den Bezug von S/MIME-Zertifikaten |
| * urn:mace:terena.org:tcs:personal-user ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF Client Auth (siehe unten) | * ''urn:mace:terena.org:tcs:personal-user'' ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF Client Auth (siehe unten) |
| * **Wichtig:** Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein. Alle uns bekannten Details zu Anforderungen nach der Identifizierung sind von HARICA mit den unten genannten Bedingungen erläutert worden. | * **Wichtig:** Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein. Alle uns bekannten Details zu Anforderungen nach der Identifizierung sind von HARICA mit den unten genannten Bedingungen erläutert worden. |
| * **Wichtig:** Nur ein Entitlement übertragen! Bei Übertragung von beiden Entitlements läuft das HARICA-System in einen Fehler! | * **Wichtig:** Das an HARICA übertragene ''eduPersonEntitlement''-Attribut darf eine maximale Länge von 85 Zeichen nicht überschreiten. Es können also auch beide o.a. TCS-spezifischen Entitlements gleichzeitig an HARICA herausgegeben werden werden aber eben in der Regel keine anderen Entitlements, die für TCS nicht relevant sind. |
| |
| 3. Der Enterprise Administrator muss das Feature freischalten. Hierzu unter "Admin->Enterprises" das eigene Enterprise aufrufen und im großen Dialog oben rechts das kleine Postfach-Icon anklicken. | 3. Der Enterprise Administrator muss das Feature freischalten. Hierzu unter "Admin->Enterprises" das eigene Enterprise aufrufen und im großen Dialog oben rechts das kleine Postfach-Icon anklicken. |
| |
| Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen. | Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen. |
| |
| |
| === Bulk-Verfahren === | === Bulk-Verfahren === |
| |
| Eigenschaften: | Eigenschaften: |
| * Es können bis zu drei Mailadressen pro Zertifikat angegeben werden. | * Es können bis zu drei E-Mail-Adressen pro Zertifikat angegeben werden. |
| * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System | * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System. |
| * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein | * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein. |
| * Es können entweder Zertifikate des Typs email_only oder aber IV+OV (also mit Vorname/Nachname) ausgestellt werden | * Es können entweder Zertifikate des Typs ''email_only'' oder aber ''natural_legal_lcp'' (also IV+OV mit Vorname, Nachname und Organisationsname) ausgestellt werden. |
| * Es gibt eine Begrenzung auf 50 Zeilen | * Es gibt eine Begrenzung auf 50 Zeilen. |
| |
| Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt. | Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt. |
| |
| **Wichtig:** Stellen Sie bitte keine Zertifikate für Gruppennamen oder Pseudonyme aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. | **Wichtig:** Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** von Rollen, Funktionen und Gruppen sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher sowohl in "Email-only"- bzw. in deren Bulk-S/MIME-Pendant "email_only"-Zertifikate als auch in "IV+OV"- bzw. deren Bulk-S/MIME-Pendant "natural_legal_lcp"-Zertifikate aufgenommen werden. |
| |
| ==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ==== | ==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ==== |