de:dfnpki:tcs:2025:usercerts [Dokumentation DFN-AAI, DFN-PKI und eduroam]

Diese Seite ist nicht editierbar. Sie können den Quelltext sehen, jedoch nicht verändern. Kontaktieren Sie den Administrator, wenn Sie glauben, dass hier ein Fehler vorliegt.
===== Userzertifikate =====

Es gibt die folgenden Varianten von Userzertifikaten und Workflows:

  * S/MIME
     * Self-Service, durch den User initiiert. Auch Übernahme von Daten aus der AAI möglich.
     * Bulk-Verfahren, durch den Enterprise Approver initiiert
  * Client-Auth-Zertifikate für Authentifizierung, im Self-Service oder im Bulk-Verfahren
  * IGTF-Client-Zertifikate im Self-Service




===== S/MIME =====
=== Self-Service ===

Im [[https://cm.harica.gr|HARICA Certificate-Manager]] angemeldete User können mit dem Menüpunkt "Email" (im linken Vertikal-Menü) einen Beantragungsprozess starten.

Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung:
  * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen-, Rollen- oder Funktions-E-Mail-Adressen.
  * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen.
  * ''For enterprises or organizations (OV)'':  **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. 
  * ''For enterprises or organizations (IV+OV)'': Zertifikate für Personen mit validiertem Vor- und Nachnamen und Organisationsinformationen, mit zwei Varianten des Antragsprozesses

=== Varianten des Typs IV+OV im Self-Service ===

Für den Zertifikattyp ''For enterprises or organizations (IV+OV)'' lassen sich zwei **verschiedene** Abläufe realisieren:

**1. Ohne Übernahme von AAI-Daten (nicht empfehlenswert):** Ist der User mit Username/Passwort eingeloggt oder ist ein Login per AAI ("Academic Login") erfolgt, aber es wurden keine weitere Vorbereitungen getroffen:

  * Der User muss seine Daten wie Vorname und Nachname selbst eingeben.
  * Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt.
  * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden.
  * Es ist eine Genehmigung durch einen Enterprise Approver erforderlich.
    * Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** //von Rollen, Funktionen und Gruppen// sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher in "IV+OV"-Zertifikate aufgenommen werden.

Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung **raten wir davon ab**, diesen Antragsweg aktiv zu verwenden.

**Wichtig:** HARICA prüft in nachgelagerten, stichprobenartigen Audits die hochgeladenen Dokumente und verlangt gegebenenfalls eine Sperrung von Zertifikaten, wenn sich Inkonsistenzen ergeben.


**2. Mit Übernahme von AAI-Daten (empfohlen):** Ist der Login über die AAI ("Academic Login") erfolgt, und sind die [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] getroffen worden:

  * Vorname und Nachname wird von der AAI übernommen.
    * Von der AAI an HARICA übertragene Vor- und Nachnamen der Personen dürfen keine Gruppennamen oder Pseudonyme sein! aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate.
  * Es muss (in der [[https://cm.harica.gr|offenen HARICA-Login-Session]]) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden.
  * Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt.

=== Vorbereitung für die Übernahme von AAI-Daten ===

Zur Übernahme von Daten aus der AAI zur Ausstellung von IV+OV-S/MIME-Zertifikaten sind folgende Vorbereitungen zu treffen:

1. Es müssen die allgemeinen [[de:dfnpki:tcs:2025:enrollment#voraussetzungen_fuer_die_aai-nutzung|Voraussetzungen für die AAI-Nutzung]] erfüllt werden, insbesondere dürfen in der DFN-AAI vom Identity-Provider in den Namensattributen für die Ausstellung von Zertifikaten ausschließlich echte Personennamen übertragen werden, das gilt auch für Tests.

2. Für alle User, die mit diesem Ablauf Zertifikate beziehen sollen, müssen zusätzliche Attribute an HARICA übermittelt werden:
    * ''eduPersonPrincipalName''
    * ''eduPersonEntitlement''
      *  ''urn:mace:terena.org:tcs:smime-sv-autoissue'' ermöglicht den Bezug von S/MIME-Zertifikaten
      *  ''urn:mace:terena.org:tcs:personal-user'' ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF Client Auth (siehe unten)
      * **Wichtig:** Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein. Alle uns bekannten Details zu Anforderungen nach der Identifizierung sind von HARICA mit den unten genannten Bedingungen erläutert worden.
      * **Wichtig:** Das an HARICA übertragene ''eduPersonEntitlement''-Attribut darf eine maximale Länge von 85 Zeichen nicht überschreiten. Es können also auch beide o.a. TCS-spezifischen Entitlements gleichzeitig an HARICA herausgegeben werden werden aber eben in der Regel keine anderen Entitlements, die für TCS nicht relevant sind.

3. Der Enterprise Administrator muss das Feature freischalten. Hierzu unter "Admin->Enterprises" das eigene Enterprise aufrufen und im großen Dialog oben rechts das kleine Postfach-Icon anklicken.

{{:de:dfnpki:harica:enterprise-details-smimeaai.png?800|Bild des Dialogs Enterprises-Details}}

4. Es öffnet sich ein Fenster mit zusätzlichen Bedingungen, denen durch Anklicken der Checkbox zugestimmt werden muss. Diese Bedingungen betreffen insbesondere die Identifizierung, die die Einrichtung für alle User durchgeführt haben muss, die an diesem Verfahren teilnehmen sollen.

Derzeit (24.06.2025) von HARICA dort dargestellte Bedingungen:
  I, <name>, acting as the authorized representative of <enterprise> within HARICA's CertManager certificate lifecycle management portal, hereby request the activation of automated S/MIME certificate issuance for validated individuals associated with my Organization. This applies to SAML-authenticated users designated by the Organization through the release of the:
  
    • urn:mace:terena.org:tcs:personal-user
    or
    • urn:mace:terena.org:tcs:smime-sv-autoissue
  
  Furthermore, I confirm that my Organization collects and maintains appropriate evidence supporting the identity attributes of the individual Applicants specified above. These attributes, released by the Organization's Identity Provider (IdP), will be included in the certificates. My Organization is solely responsible for verifying the identity and accuracy of the information included in each certificate request and ensuring that all enrollment data is complete and correct.
  Finally, by submitting this request, I declare that I have read and agree to HARICA's Terms of Use and Certificate Policy/Certification Practice Statement.


Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt "Email" im Zertifikattyp ''For enterprises or organizations (IV+OV)'' die Daten aus der AAI übernommen.

=== Bulk-Verfahren ===

Ein Enterprise Approver hat die Möglichkeit, über den Upload einer CSV-Datei mit Mail-Adressen, Personennamen und weiteren Parametern größere Mengen an S/MIME-Zertifikaten in einem Schritt ohne User-Interaktion zu erstellen.

Der Prozess ist verfügbar unter "Enterprises->Admin->Bulk Certificates->S/MIME", Button "Start here". Beispiel-CSV-Dateien für mehrere Varianten stehen direkt in dem Dialog zur Verfügung.

Eigenschaften:
  * Es können bis zu drei E-Mail-Adressen pro Zertifikat angegeben werden.
  * Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System.
  * Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein.
  * Es können entweder Zertifikate des Typs ''email_only'' oder aber ''natural_legal_lcp'' (also IV+OV mit Vorname, Nachname und Organisationsname) ausgestellt werden.
  * Es gibt eine Begrenzung auf 50 Zeilen.

Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in [[de:dfnpki:tcs:2025:usercerts#vorbereitung_fuer_die_uebernahme_von_aai-daten|Vorbeitungen für die Übernahme von AAI-Daten]] dargestellt.

**Wichtig:** Stellen Sie bitte keine Zertifikate für **Gruppennamen** oder **Pseudonyme** aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. **E-Mail-Adressen** von Rollen, Funktionen und Gruppen sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher sowohl in "Email-only"- bzw. in deren Bulk-S/MIME-Pendant "email_only"-Zertifikate als auch in "IV+OV"- bzw. deren Bulk-S/MIME-Pendant "natural_legal_lcp"-Zertifikate aufgenommen werden.

==== Zertifikatablauf-Warnungen für S/MIME-Zertifikate ====

Zertifikatablauf-Warnungen für S/MIME-Zertifikate aus einem der Self-Service Antragswegen werden automatisch jeweils 30, 15, 5 und 1 Tag(e) vor Ablauf des jeweiligen Zertifikats an die im Zertifikat enthaltene(n) E-Mail-Adresse(n) geschickt. Zeiträume etc sind nicht individuell konfigurierbar.

Zertifikatablauf-Warnungen für S/MIME-Zertifikate aus dem Bulk-Antragsweg werden derzeit automatisch 30 Tage vor Ablauf des jeweiligen Zertifikats an die im Zertifikat enthaltene(n) E-Mail-Adresse(n) geschickt. Eine Anpassung an die Zeiträume der Self-Service-Antragswege ist angekündigt.

===== Client-Auth-Zertifikate =====

Angemeldeten User steht im linken Menü stets ein Punkt "Client Auth" zur Verfügung.

Enterprise Approver können diese Zertifikate über "Admin->Enterprises->Bulk Certificates->Client Authentication" ausstellen.

Eigenschaften:
  * Kostenpflichtig
  * Zertifikate ausschließlich zur Client-Authentifizierung an geeigneten, darauf vorbereiteten Systemen
  * Aus einer privaten PKI

Dieser Zertifikattyp wird nur in sehr spezialisierten Fällen Anwendung finden. Die [[de:dfnpki:dfnvereincommunitypki|DFN-Verein Community-PKI]] wird üblicherweise passender und günstiger sein.


===== IGTF-Client-Zertifikate (Grid-Computing und HPC) =====

IGTF-Client-Zertifikate sind spezielle Authentifizierungszertifikate für das Grid-Computing aus einer "privaten" PKI-Hierarchie. Außerhalb der Grid- und HPC-Community haben sie keinen Anwendungsfall.



Enterprise Administratoren können die Ausstellung von IGTF-Client-Zertifikaten freischalten. Hierzu muss der Punkt "Admin->Enterprises" aufgerufen werden. Dort das eigene Enterprise auswählen, und im großen Detail-Dialog das "tag"-Icon anklicken. Dort kann dann #IGTF-Organization aktiviert werden.

{{:de:dfnpki:harica:enterprise-details-tags.png?800|Bild des Dialogs Enterprises-Details}}


Ist dieser Punkt aktiviert, haben User, die sich per AAI eingelogged haben und ein Entitlement ''urn:mace:terena.org:tcs:personal-user'' gesetzt haben, einen Menüpunkt IGTF-Client Auth zur Verfügung.