Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:dfnpki:tcs:usercert [2024/01/24 16:39] – [Verfügbare Typen von User-Zertifikaten] Juergen Brauckmann | de:dfnpki:tcs:usercert [2024/08/02 15:20] (aktuell) – [Über die AAI] Reimer Karlsen-Masur | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | =====User-Zertifikate===== | + | =====Client-Zertifikate===== |
- | ====Verfügbare Typen von User-Zertifikaten===== | + | ====Verfügbare Typen von Client-Zertifikaten===== |
Es stehen verschiedene Typen von Zertifikaten mit unterschiedlichen Eigenschaften zur Verfügung. | Es stehen verschiedene Typen von Zertifikaten mit unterschiedlichen Eigenschaften zur Verfügung. | ||
- | **Achtung: | + | **Achtung: |
Zeile 52: | Zeile 52: | ||
^ Profilname | ^ Profilname | ||
- | | '' | + | | '' |
- | | '' | + | | '' |
| '' | | '' | ||
| '' | | '' | ||
Zeile 65: | Zeile 65: | ||
=====Identifizierung und Dokumentation===== | =====Identifizierung und Dokumentation===== | ||
- | Die Anforderungen an die Identifizierung und die Dokumentation für persönliche Zertifikate (client certificates, Nutzerzertifikate) sind im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates festgehalten: | + | Die Anforderungen an die Identifizierung und die Dokumentation für persönliche Zertifikate (Client-Zertifikate, Nutzerzertifikate) sind im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates festgehalten: |
Die dort für "TCS eScience Personal" | Die dort für "TCS eScience Personal" | ||
Zeile 73: | Zeile 73: | ||
* Vor der Ausstellung eines Zertifikats soll eine persönliche | * Vor der Ausstellung eines Zertifikats soll eine persönliche | ||
* Alternativ ist auch eine Video-Identifizierung oder eine Identifizierung über einen Notar möglich. | * Alternativ ist auch eine Video-Identifizierung oder eine Identifizierung über einen Notar möglich. | ||
- | * Alternativ genügt auch eine bestehende andauernde Beziehung zum Zertifikatnehmer, | + | * Alternativ genügt auch eine bestehende andauernde Beziehung zum Zertifikatnehmer, |
Im Unterschied zur DFN-PKI " | Im Unterschied zur DFN-PKI " | ||
Zeile 90: | Zeile 90: | ||
- | =====Wege zur Ausstellung von User-Zertifikaten===== | + | =====Wege zur Ausstellung von Client-Zertifikaten===== |
- | Es stehen verschiedene Wege zur Verfügung, um User-Zertifikate auszustellen. | + | Es stehen verschiedene Wege zur Verfügung, um Client-Zertifikate auszustellen. |
====E-Mail-Einladung==== | ====E-Mail-Einladung==== | ||
- | Die Erstellung von User-Zertifikaten mit E-Mail-Einladungen ist nach drei Vorbereitungsschritten möglich. | + | Die Erstellung von Client-Zertifikaten mit E-Mail-Einladungen ist nach drei Vorbereitungsschritten möglich. |
1. Zunächst muss ein '' | 1. Zunächst muss ein '' | ||
Zeile 148: | Zeile 148: | ||
* Die Person unterhalb von ☰-> | * Die Person unterhalb von ☰-> | ||
* Mit dem Button " | * Mit dem Button " | ||
- | * Dabei genau den " | + | * Dabei genau den " |
* Abschließend auf den " | * Abschließend auf den " | ||
* Mit der Einladungs-E-Mail kann die Person direkt mit einem Klick das Zertifikat beziehen. | * Mit der Einladungs-E-Mail kann die Person direkt mit einem Klick das Zertifikat beziehen. | ||
Zeile 167: | Zeile 167: | ||
====Über die AAI==== | ====Über die AAI==== | ||
- | Unter der URL https:// | + | Unter der URL https:// |
Zeile 177: | Zeile 177: | ||
* Ein Konfigurationsbeispiel für Ihren Identity-Provider finden Sie unter: [[de: | * Ein Konfigurationsbeispiel für Ihren Identity-Provider finden Sie unter: [[de: | ||
* Insbesondere muss ein eduPersonEntitlement '' | * Insbesondere muss ein eduPersonEntitlement '' | ||
- | * Die Fehlermeldung '' | + | * Die Fehlermeldung '' |
- | + | ||
Für die Schlüsselerzeugung im AAI-Workflow gibt es in dem angebotenen Formular eine Wahlmöglichkeit: | Für die Schlüsselerzeugung im AAI-Workflow gibt es in dem angebotenen Formular eine Wahlmöglichkeit: | ||
Zeile 191: | Zeile 189: | ||
Der korrekte Weg zu Client Certificates mit der AAI ist über https:// | Der korrekte Weg zu Client Certificates mit der AAI ist über https:// | ||
- | Hinweise zur [[de: | + | Hinweise zur [[de: |
==Erneuerung== | ==Erneuerung== | ||
Zeile 206: | Zeile 204: | ||
- | ====REST-API für User-Zertifikate==== | + | ====REST-API für Client-Zertifikate==== |
- | Über das REST API können mit selbst erstellter Software oder Skripten | + | Über das REST API können mit selbst erstellter Software oder Skripten |
Die Schlüsselerzeugung findet stets auf Seiten des Clients und nicht bei Sectigo statt. | Die Schlüsselerzeugung findet stets auf Seiten des Clients und nicht bei Sectigo statt. | ||
Zeile 227: | Zeile 225: | ||
* Im neuen Dialog Reiter " | * Im neuen Dialog Reiter " | ||
* Dort hinter " | * Dort hinter " | ||
- | * Das gewünschte '' | + | * Das gewünschte '' |
* Dann den im ersten Schritt vorbereiteten '' | * Dann den im ersten Schritt vorbereiteten '' | ||
* An die eingetragene E-Mail-Adresse wird nun eine Einladungs-Mail geschickt, und das Zertifikat kann von der für die Gruppe verantwortlichen Person erstellt werden. | * An die eingetragene E-Mail-Adresse wird nun eine Einladungs-Mail geschickt, und das Zertifikat kann von der für die Gruppe verantwortlichen Person erstellt werden. | ||
Zeile 242: | Zeile 240: | ||
- | =====Automatische Sperrung von User-Zertifikaten===== | + | =====Automatische Sperrung von Client-Zertifikaten===== |
===Sperrung bei Datenänderung=== | ===Sperrung bei Datenänderung=== | ||
Sectigo führt eine Liste aller Personen, die ein Zertifikat erhalten haben. Personen werden anhand ihrer primären E-Mail-Adresse identifiziert. Dieselbe natürliche Person kann also verschiedene primäre E-Mail-Adressen verwenden und gilt dann für Sectigo als verschiedene Personen. | Sectigo führt eine Liste aller Personen, die ein Zertifikat erhalten haben. Personen werden anhand ihrer primären E-Mail-Adresse identifiziert. Dieselbe natürliche Person kann also verschiedene primäre E-Mail-Adressen verwenden und gilt dann für Sectigo als verschiedene Personen. | ||
Zeile 259: | Zeile 257: | ||
===Beschränkung der Anzahl der Zertifikate pro Nutzendem=== | ===Beschränkung der Anzahl der Zertifikate pro Nutzendem=== | ||
- | Zusätzlich kennt das System eine Beschränkung der Anzahl der gleichzeitig gültigen | + | Zusätzlich kennt das System eine Beschränkung der Anzahl der gleichzeitig gültigen |
- | Pro Person können maximal fünf User-Zertifikate je Zertifikatprofil erstellt werden. | + | Pro Person können maximal fünf Client-Zertifikate je Zertifikatprofil erstellt werden. |
Wenn für ein Zertifikatprofil weitere Zertifikate beantragt werden, werden die jeweils ältesten Zertifikate mit diesem Zertifikatprofil automatisch **gesperrt**. Auch hier erfolgt keine Rückfrage und es gibt keinen Hinweis an den Zertifikatinhaber! | Wenn für ein Zertifikatprofil weitere Zertifikate beantragt werden, werden die jeweils ältesten Zertifikate mit diesem Zertifikatprofil automatisch **gesperrt**. Auch hier erfolgt keine Rückfrage und es gibt keinen Hinweis an den Zertifikatinhaber! | ||
Zeile 267: | Zeile 265: | ||
=====Auswahl des "Key protection Algorithms" | =====Auswahl des "Key protection Algorithms" | ||
- | Sofern bei der Beantragung von User-Zertifikaten die Schlüsselerzeugung durch TCS (entweder direkt im Browser der Antrags-Web-Seiten oder auf dem Server des TCS-Dienstleisters) ausgeführt wird, kann aus einer Drop-Down-Liste das kryptografische Verfahren zur Sicherung des privaten Schlüssels ('' | + | Sofern bei der Beantragung von Client-Zertifikaten die Schlüsselerzeugung durch TCS (entweder direkt im Browser der Antrags-Web-Seiten oder auf dem Server des TCS-Dienstleisters) ausgeführt wird, kann aus einer Drop-Down-Liste das kryptografische Verfahren zur Sicherung des privaten Schlüssels ('' |
Vorausgewählt ist dabei die modernere und sicherere Methode '' | Vorausgewählt ist dabei die modernere und sicherere Methode '' | ||
- | Bei '' | + | Bei '' |
* "//Das eingegebene Kennwort ist falsch.//" | * "//Das eingegebene Kennwort ist falsch.//" | ||
* "// | * "// | ||
Zeile 279: | Zeile 277: | ||
* Die Zertifikate können im Adobe Acrobat zwar ausgewählt werden, der Vorgang der Unterschrift lässt sich aber nicht abschließen. | * Die Zertifikate können im Adobe Acrobat zwar ausgewählt werden, der Vorgang der Unterschrift lässt sich aber nicht abschließen. | ||
- | In so einem Fehlerfall hilft es, die betroffene .p12-Datei zunächst in den Zertifikat-Manager vom Firefox-Browser zu importieren und dann von dort direkt wieder in eine //neue// .p12-Datei zu exportieren. Sofern das User-Zertifikat nicht ebenfalls im Firefox zur SSL-Client-Authentisierung genutzt werden soll, sollte dieses dann aus Firefox wieder gelöscht werden. Eine [[https:// | + | In so einem Fehlerfall hilft es, die betroffene .p12-Datei zunächst in den Zertifikat-Manager vom Firefox-Browser zu importieren und dann von dort direkt wieder in eine //neue// .p12-Datei zu exportieren. Sofern das User-Zertifikat nicht ebenfalls im Firefox zur SSL-Client-Authentisierung genutzt werden soll, sollte dieses dann aus Firefox wieder gelöscht werden. Eine [[https:// |
Die neue .p12-Datei ist dann nach unserer Erfahrung problemlos in die betroffenen Systeme zu importieren. Alternativ zu dieser Konvertierung der .p12-Datei kann auch ein neues Zertifikat beantragt werden, wobei dann bereits bei der Beantragung auf den Antrags-Web-Seiten die Methode '' | Die neue .p12-Datei ist dann nach unserer Erfahrung problemlos in die betroffenen Systeme zu importieren. Alternativ zu dieser Konvertierung der .p12-Datei kann auch ein neues Zertifikat beantragt werden, wobei dann bereits bei der Beantragung auf den Antrags-Web-Seiten die Methode '' | ||
- | Die organisations-spezifische Dokumentation und Anleitung zur Nutzerzertifikatbeantragung sollte ggf. einen Hinweis auf diese möglichen Inkompatibilitäten enthalten. | + | Unter macOS kann auf der Kommandozeile mittels '' |
+ | Die organisations-spezifische Dokumentation und Anleitung zur Beantragung von Client-Zertifikaten sollte ggf. einen Hinweis auf diese möglichen Inkompatibilitäten enthalten. | ||