| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs:2025:usercerts [2025/07/29 11:14] – [S/MIME] Reimer Karlsen-Masur | de:dfnpki:tcs:2025:usercerts [2025/07/29 11:49] (aktuell) – [S/MIME] Reimer Karlsen-Masur |
|---|
| |
| Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: | Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: |
| * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen- oder Funktionsmailadressen. | * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen-, Rollen- oder Funktions-E-Mail-Adressen. |
| * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. | * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. |
| * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. | * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. |
| * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. | * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. |
| * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. | * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. |
| | * Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** //von Rollen, Funktionen und Gruppen// sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher in "IV+OV"-Zertifikate aufgenommen werden. |
| |
| Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung **raten wir davon ab**, diesen Antragsweg aktiv zu verwenden. | Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung **raten wir davon ab**, diesen Antragsweg aktiv zu verwenden. |
| |
| * Vorname und Nachname wird von der AAI übernommen. | * Vorname und Nachname wird von der AAI übernommen. |
| | * Von der AAI an HARICA übertragene Vor- und Nachnamen der Personen dürfen keine Gruppennamen oder Pseudonyme sein! aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. |
| * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. | * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden. |
| * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt. | * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt. |
| |
| Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen. | Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen. |
| |
| |
| === Bulk-Verfahren === | === Bulk-Verfahren === |
| |
| Eigenschaften: | Eigenschaften: |
| * Es können bis zu drei Mailadressen pro Zertifikat angegeben werden. | * Es können bis zu drei E-Mail-Adressen pro Zertifikat angegeben werden. |
| * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System | * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System. |
| * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein | * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein. |
| * Es können entweder Zertifikate des Typs email_only oder aber IV+OV (also mit Vorname/Nachname) ausgestellt werden | * Es können entweder Zertifikate des Typs ''email_only'' oder aber ''natural_legal_lcp'' (also IV+OV mit Vorname, Nachname und Organisationsname) ausgestellt werden. |
| * Es gibt eine Begrenzung auf 50 Zeilen | * Es gibt eine Begrenzung auf 50 Zeilen. |
| |
| Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt. | Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt. |
| |
| **Wichtig:** Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** sind in diesem Sinne keine Gruppennamen oder Pseudonyme und können daher sowohl in "Email-only"- bzw. in deren Bulk-S/MIME-Pendant "email_only"-Zertifikate als auch in "IV+OV"- bzw. deren Bulk-S/MIME-Pendant "natural_legal_lcp"-Zertifikate aufgenommen werden. | **Wichtig:** Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** von Rollen, Funktionen und Gruppen sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher sowohl in "Email-only"- bzw. in deren Bulk-S/MIME-Pendant "email_only"-Zertifikate als auch in "IV+OV"- bzw. deren Bulk-S/MIME-Pendant "natural_legal_lcp"-Zertifikate aufgenommen werden. |
| |
| ==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ==== | ==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ==== |