| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2025:usercerts [2025/07/21 12:08] – [S/MIME] Reimer Karlsen-Masur | de:dfnpki:tcs:2025:usercerts [2025/07/29 11:49] (aktuell) – [S/MIME] Reimer Karlsen-Masur |
|---|
| |
| Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: | Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: |
| * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen- oder Funktionsmailadressen. | * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen-, Rollen- oder Funktions-E-Mail-Adressen. |
| * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. | * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. |
| * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. | * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. |
| * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. | * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. |
| * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. | * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. |
| | * Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** //von Rollen, Funktionen und Gruppen// sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher in "IV+OV"-Zertifikate aufgenommen werden. |
| |
| Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung **raten wir davon ab**, diesen Antragsweg aktiv zu verwenden. | Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung **raten wir davon ab**, diesen Antragsweg aktiv zu verwenden. |
| |
| * Vorname und Nachname wird von der AAI übernommen. | * Vorname und Nachname wird von der AAI übernommen. |
| | * Von der AAI an HARICA übertragene Vor- und Nachnamen der Personen dürfen keine Gruppennamen oder Pseudonyme sein! aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. |
| * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. | * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. |
| * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt. | * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt. |
| I, <name>, acting as the authorized representative of <enterprise> within HARICA's CertManager certificate lifecycle management portal, hereby request the activation of automated S/MIME certificate issuance for validated individuals associated with my Organization. This applies to SAML-authenticated users designated by the Organization through the release of the: | I, <name>, acting as the authorized representative of <enterprise> within HARICA's CertManager certificate lifecycle management portal, hereby request the activation of automated S/MIME certificate issuance for validated individuals associated with my Organization. This applies to SAML-authenticated users designated by the Organization through the release of the: |
| | |
| • ''urn:mace:terena.org:tcs:personal-user'' | • urn:mace:terena.org:tcs:personal-user |
| or | or |
| • ''urn:mace:terena.org:tcs:smime-sv-autoissue'' | • urn:mace:terena.org:tcs:smime-sv-autoissue |
| | |
| Furthermore, I confirm that my Organization collects and maintains appropriate evidence supporting the identity attributes of the individual Applicants specified above. These attributes, released by the Organization's Identity Provider (IdP), will be included in the certificates. My Organization is solely responsible for verifying the identity and accuracy of the information included in each certificate request and ensuring that all enrollment data is complete and correct. | Furthermore, I confirm that my Organization collects and maintains appropriate evidence supporting the identity attributes of the individual Applicants specified above. These attributes, released by the Organization's Identity Provider (IdP), will be included in the certificates. My Organization is solely responsible for verifying the identity and accuracy of the information included in each certificate request and ensuring that all enrollment data is complete and correct. |
| |
| Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen. | Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen. |
| |
| |
| === Bulk-Verfahren === | === Bulk-Verfahren === |
| |
| Eigenschaften: | Eigenschaften: |
| * Es können bis zu drei Mailadressen pro Zertifikat angegeben werden. | * Es können bis zu drei E-Mail-Adressen pro Zertifikat angegeben werden. |
| * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System | * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System. |
| * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein | * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein. |
| * Es können entweder Zertifikate des Typs email_only oder aber IV+OV (also mit Vorname/Nachname) ausgestellt werden | * Es können entweder Zertifikate des Typs ''email_only'' oder aber ''natural_legal_lcp'' (also IV+OV mit Vorname, Nachname und Organisationsname) ausgestellt werden. |
| * Es gibt eine Begrenzung auf 50 Zeilen | * Es gibt eine Begrenzung auf 50 Zeilen. |
| |
| Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt. | Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt. |
| |
| **Wichtig:** Stellen Sie bitte keine Zertifikate für Gruppennamen oder Pseudonyme aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. | **Wichtig:** Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** von Rollen, Funktionen und Gruppen sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher sowohl in "Email-only"- bzw. in deren Bulk-S/MIME-Pendant "email_only"-Zertifikate als auch in "IV+OV"- bzw. deren Bulk-S/MIME-Pendant "natural_legal_lcp"-Zertifikate aufgenommen werden. |
| |
| ==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ==== | ==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ==== |