Domains und IPv4-Adressen in Zertifikaten
Um Zertifikate zu erhalten, müssen die entsprechenden Domains oder IPv4-Adressen im SCM unter ☰→Domains eingetragen und delegiert werden. Jeder Eintrag muss über „Domain Control Validation“ (DCV) validiert werden (Status muss auf „Validated“ gesetzt sein).
Für Domains gilt: Es muss zunächst die Hauptdomain eingetragen, delegiert (Delegate) und validiert (DCV) werden, z.B. example.org
. Nach erfolgreicher Validierung (DCV) kann dann ein Sternchen-Eintrag *.example.org
eingetragen werden. Nur mit dem Sternchen-Eintrag können später Zertifikate zu beliebigen FQDNs unterhalb der Hauptdomain erzeugt werden.
Wenn Sie CAA-Records im DNS verwenden, um die Zertifikatausstellung zu kontrollieren, so müssen die CAA-Records bereits zum Zeitpunkt der Domainvalidierung passen, und nicht erst zum Zeitpunkt der Ausstellung von Zertifikaten, siehe CAA-Records.
Die Validierung von IPv4-Adressen erfordert in einem etwas aufwändigeren Verfahren einen manuellen Kontakt mit dem Support. IPv6-Adressen in Zertifikaten werden im Rahmen von GÉANT TCS leider nicht unterstützt.
Domain/IPv4-Adress-Delegation
Domains/IPv4-Adressen im SCM eintragen
Im SCM können Domains und IPv4-Adressen unter ☰→Domains über das grüne „+“-Symbol auf Organisations- und/oder Department-Ebene für eine beliebige Kombination von Zertifikattypen (SSL
-Serverzertifikate, Client Certificates
und Code Signing
-Zertifikate) hinzugefügt werden. Wird eine Domain bzw. IP-Adresse hinzugefügt löst dieses automatisch eine Delegationsanfrage bei der DFN-PCA aus. Sobald diese Anfrage genehmigt ist, können Sie mit der Domain Control Validation (DCV) weiter machen, falls die DCV nicht bereits vorher im System durchgeführt wurde und an den neuen Eintrag „vererbt“ wird.
Delegationen verwalten
Solange für einen Domains/IP-Address-Eintrag mindestens eine Delegation an die eigene Einrichtung bzw. das eigene Department bestehen bleibt, können diese von (D)RAOs unter ☰→Domains–><Domain-Auswahl>–>[Delegate]-Button über eine Checkbox-Matrix innerhalb der Einrichtung bzw. des Departments verwaltet werden.
Domains/IP-Addressen aus SCM entfernen
(D)RAOs können selbständig keine Domains bzw. IP-Adressen aus dem SCM entfernen/löschen.
Die Entfernung einer Domain bzw. IP-Adressen impliziert die Entfernung aller dazugehörigen Delegationen.
Um eine bereits eingetragene Domain bzw. IP-Adresse wieder aus dem SCM zu entfernen, senden Sie bitte eine E-Mail an dfnpca@dfn-cert.de.
Domainvalidierung, Domain Control Validation (DCV)
Um Zertifikate zu erhalten, müssen die entsprechenden Domains im SCM unter ☰→Domains eingetragen werden. Nach der Eintragung muss jede Domain über „Domain Control Validation“ (DCV) validiert werden (Status muss auf „Validated“ gesetzt sein).
Ausnahme: Wenn die eingetragene Domain ein FQDN ist und ausschließlich über das ACME-Protokoll mit einem Zertifikat versorgt werden soll, kann auf die Validierung (DCV) im SCM verzichtet werden. Der FQDN wird dann automatisch im Rahmen des ACME-Protokolls validiert.
Die Domainvalidierung muss bei Sectigo alle 365 Tage wiederholt werden. Das Ablaufdatum ist im cert-manager sichtbar.
Sofern die delegierte Domain eine Wildcard-Domain ist, z.B. *.example.org
, muss die Domainvalidierung mit einer der beiden DCV-Methoden E-Mail
oder CNAME
verwendet werden, damit die Wildcard-Domain voll validiert wird.
Validierungsmethoden
Domains können wie in der DFN-PKI über die Standardadressen hostmaster@
, webmaster@
, postmaster@
, admin@
und administrator@
validiert werden. Diese Standardadressen müssen in der zu validierenden Domain liegen; die zu validierende Domain muss für den E-Mail-Empfang auf diesen Adressen eingerichtet sein.
Die E-Mail-Adresse aus dem SOA-Record im DNS steht nicht zur Verfügung. Wenn in der zu validierenden Domain kein Mail-Empfang möglich ist, muss eine der anderen Validierungsmethoden verwendet werden.
DNS bzw. CNAME
Bei der CNAME-Methode muss im DNS ein von Sectigo vorgegebener CNAME für die Domain hinterlegt werden. Beispiel:
_230283408052380233432bdcad080132.example.org. CNAME 232187932234324bcadd98.9802843242dfa23098.sectigo.com.
Achtung: Die zeitliche Abfolge der Schritte im DCV-Ablauf mittels CNAME ist entscheidend: Zuerst muss der vom SCM vorgegebene Alias-Name und dessen CNAME-Record von außen im DNS sichtbar sein, erst danach darf im SCM-DCV-Dialog auf „Submit“ geklickt werden. (Analoges gilt für DCV mittels CNAME per REST-API.)
Nach dem „Submitten“ werden die DNS-Resolver von TCS automatisch innerhalb der nächsten Stunde drei Mal versuchen, den Alias-Namen aufzulösen. Falls das fehlschlägt, werden keine weiteren automatischen Versuche unternommen. In so einem Fall sollte dann der DCV-Vorgang zurückgesetzt (Mülltonnen-Symbol neben „DCV Order Status“ im SCM oder entsprechender REST-API-Aufruf) und neu eingeleitet werden, wobei dann vom SCM ein anderes Alias-Name/CNAME-Paar vorgegeben werden wird.
Nach erfolgter Validierung kann der CNAME wieder entfernt werden. Es ist davon auszugehen, dass bei einer Revalidierung (alle 365 Tage) ein anderer CNAME gesetzt werden muss.
HTTP/HTTPS
Bei der HTTP- bzw. HTTPS-Methode muss auf dem Webserver eine von Sectigo vorgegebene Datei unter einer vorgegebenen URL abgelegt werden.
Achtung: Mit dieser Methode wird nur der FQDN selbst validiert; es können keine Zertifikate für Subdomains oder Wildcards zu dem validierten Namen ausgestellt werden.
HTTP/HTTPS sind die einzigen zugelassenen Methoden für die Validierung von IPv4-Adressen.
TCS' DNS-Resolver (DCV)
Für DCV nutzt TCS DNS-Resolver, die von den Quelladressen 91.199.212.132
, 91.199.212.133
, 91.199.212.151
, 91.199.212.176
, 91.199.212.148
oder 2a0e:ac00:0231:8080:d00c:12ff:fe51:5511
aus ankommen. (Stand 01/2023)
Domains und Departments
Department-Administratoren (DRAOs) unterliegen keiner besonderen Beschränkung in der Domain-Verwaltung. Sie können neue Domains eintragen und abhängig vom Recht DCV
auch validieren lassen.
Ist eine von einem DRAO eingetragene Domain bereits Ihrer Organisation zugewiesen und gibt es eine gültige Domain Control Validation, steht die Domain quasi sofort im Department zur Ausstellung von Zertifikaten zur Verfügung. Das gleiche gilt für im Department eingetragen Sub-Domains von bereits der Organisation zugewiesenen Parent-Domains.
Wenn Sie Domains in eingerichteten Departments kontrollieren wollen, müssen Sie sich z.B. E-Mail Benachrichtigungen über Domain-Delegationen konfigurieren (☰→Settings→Email Notifications, Typ Domain Approved)
Umlaut-Domains, internationalisierte Domain-Namen (IDN), Punycode
Umlaut-Domains können in deren jeweiliger Punycode-Schreibweise in die Domain-Verwaltung vom SCM aufgenommen werden und dann ganz normal wie Domains ohne Umlaute behandelt werden.
IP-Adressen in Zertifikaten
TCS erlaubt es aktuell, ausschließlich IPv4-Adressen in Zertifikate aufzunehmen.
Um eine IP-Adresse in Zertifikate in den CommonName
oder in den subjectAlternativeName
(Typ ip
) aufnehmen zu können, ist wie folgt vorzugehen:
- IPv4-Adresse wie eine Domain im SCM unter ☰→Domains hinzufügen. Dieses löst automatisch eine Domain-Delegationsanfrage bei der DFN-PCA aus.
- Bestätigung der Domain-Delegation abwarten.
- Den DCV-Prozess für die IP-Adresse mit der Methode
HTTP
oderHTTPS
einleiten, - die dabei von Sectigo angegebene Datei mit dem angegeben Inhalt auf einen Web-Server über HTTP oder HTTPS (je nach ausgewählter DCV-Methode) unter der eingetragenen IP-Adresse und der angegeben URL zur Verfügung stellen.
- Den begonnenen DCV-Vorgang wieder aufrufen und
submitten
. - Den Sectigo-Support mit einem Ticket (Case type: „Technical Support“; Case reason: „Sectigo Certificate Manager (SCM)“) darüber informieren, dass es einen offenen DCV-Vorgang mit der Methode HTTP/HTTPS für die IP-Adresse gibt, und darum bitten, diesen zu prüfen.
Der Weg über den Support ist auch bei jeder turnusmäßigen, jährlichen Erneuerung der Validierung zu wiederholen.
Es können nur einzelne IPv4-Adressen eingetragen werden, keine Adressbereiche.
IPv6-Adressen in Zertifikaten werden von TCS nicht unterstützt.