Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
de:dfnpki:tcs:usercert [2024/03/05 16:22] – [Identifizierung und Dokumentation] Reimer Karlsen-Masur | de:dfnpki:tcs:usercert [2024/08/02 15:20] (aktuell) – [Über die AAI] Reimer Karlsen-Masur |
---|
| |
^ Profilname ^ Vertrauen ^ Eigenschaften | ^ Profilname ^ Vertrauen ^ Eigenschaften |
| ''GÉANT Personal authentication - RSA'' | Private, nur IGTF / Grid | Für Einzelpersonen. Vor-/Nachname und E-Mail-Adresse im Zertifikat, 1 Jahr Laufzeit und versch. RSA-Schüssellängen | | | ''GÉANT Personal Authentication - RSA'' | Private, nur IGTF / Grid | Für Einzelpersonen. Vor-/Nachname und E-Mail-Adresse im Zertifikat, 1 Jahr Laufzeit und versch. RSA-Schüssellängen | |
| ''GÉANT Personal authentication - ECC'' | Private, nur IGTF / Grid | Für Einzelpersonen. Vor-/Nachname und E-Mail-Adresse im Zertifikat, 1 Jahr Laufzeit und versch. ECC-Schüssellängen | | | ''GÉANT Personal Authentication - ECC'' | Private, nur IGTF / Grid | Für Einzelpersonen. Vor-/Nachname und E-Mail-Adresse im Zertifikat, 1 Jahr Laufzeit und versch. ECC-Schüssellängen | |
| ''GÉANT Personal Automated Authentication - RSA'' | Private, nur IGTF / Grid | Für automatische Agenten unter der Kontrolle von Einzelpersonen. Vor-/Nachname und E-Mail-Adresse im Zertifikat, 1 Jahr Laufzeit und versch. RSA-Schüssellängen | | | ''GÉANT Personal Automated Authentication - RSA'' | Private, nur IGTF / Grid | Für automatische Agenten unter der Kontrolle von Einzelpersonen. Vor-/Nachname und E-Mail-Adresse im Zertifikat, 1 Jahr Laufzeit und versch. RSA-Schüssellängen | |
| ''GÉANT Personal Automated Authentication - ECC'' | Private, nur IGTF / Grid | Für automatische Agenten unter der Kontrolle von Einzelpersonen. Vor-/Nachname und E-Mail-Adresse im Zertifikat, 1 Jahr Laufzeit und versch. ECC-Schüssellängen | | | ''GÉANT Personal Automated Authentication - ECC'' | Private, nur IGTF / Grid | Für automatische Agenten unter der Kontrolle von Einzelpersonen. Vor-/Nachname und E-Mail-Adresse im Zertifikat, 1 Jahr Laufzeit und versch. ECC-Schüssellängen | |
* Ein Konfigurationsbeispiel für Ihren Identity-Provider finden Sie unter: [[de:shibidp:config-attributes-tcs?s[]=cert&s[]=manager]] | * Ein Konfigurationsbeispiel für Ihren Identity-Provider finden Sie unter: [[de:shibidp:config-attributes-tcs?s[]=cert&s[]=manager]] |
* Insbesondere muss ein eduPersonEntitlement ''urn:mace:terena.org:tcs:personal-user'' gesetzt werden. Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie das Entitlement setzen: [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. | * Insbesondere muss ein eduPersonEntitlement ''urn:mace:terena.org:tcs:personal-user'' gesetzt werden. Bitte beachten Sie die Identifizierungsvoraussetzungen, bevor Sie das Entitlement setzen: [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]]. |
* Die Fehlermeldung ''You are not allowed to self enroll.'' ist ein Symptom für ein nicht übertragenes eduPersonEntitlement ''urn:mace:terena.org:tcs:personal-user''. Der [[de:dfnpki:tcsfaq#tests|SSOcheck]] gibt Auskunft, welche Attribute tatsächlich an TCS übertragen werden. | * Die Fehlermeldung ''You are not allowed to self enroll.'' ist ein Symptom für ein nicht übertragenes eduPersonEntitlement ''urn:mace:terena.org:tcs:personal-user''. Der [[de:dfnpki:tcs:zugriffperaai#tests|SSOCheck]] gibt Auskunft, welche Attribute tatsächlich an TCS übertragen werden. |
| |
| |
Für die Schlüsselerzeugung im AAI-Workflow gibt es in dem angebotenen Formular eine Wahlmöglichkeit: | Für die Schlüsselerzeugung im AAI-Workflow gibt es in dem angebotenen Formular eine Wahlmöglichkeit: |
Der korrekte Weg zu Client Certificates mit der AAI ist über https://cert-manager.com/customer/DFN/idp/clientgeant | Der korrekte Weg zu Client Certificates mit der AAI ist über https://cert-manager.com/customer/DFN/idp/clientgeant |
| |
Hinweise zur [[de:dfnpki:tcsfaq#auswahl_des_verschluesselungsalgorithmus_fuer_p12-dateien_pkcs_12|Auswahl und Problematik des Verschlüsselungsalgorithmus]] durch die beantragende Person für ggf. über das Zertifikatantragsformular erzeugte .p12-Dateien (PKCS#12). | Hinweise zur [[de:dfnpki:tcs:usercert#auswahl_des_key_protection_algorithms_in_formularen_fuer_p12-dateien|Auswahl und Problematik des Verschlüsselungsalgorithmus]] durch die beantragende Person für ggf. über das Zertifikatantragsformular erzeugte .p12-Dateien (PKCS#12). |
| |
==Erneuerung== | ==Erneuerung== |
* Im neuen Dialog Reiter "Enrollment Invitations" anwählen | * Im neuen Dialog Reiter "Enrollment Invitations" anwählen |
* Dort hinter "Invitations" das "+"-Symbol betätigen | * Dort hinter "Invitations" das "+"-Symbol betätigen |
* Das gewünschte ''Enrollment Form auswählen'', das im ersten Schritt angelegt wurde ([[de:dfnpki:tcsfaq#e-mail-einladung|User-Zertifikatbeantragung mittels E-Mail-Einladung]]). | * Das gewünschte ''Enrollment Form auswählen'', das im ersten Schritt angelegt wurde ([[de:dfnpki:tcs:usercert#e-mail-einladung|User-Zertifikatbeantragung mittels E-Mail-Einladung]]). |
* Dann den im ersten Schritt vorbereiteten ''Account'' auswählen. | * Dann den im ersten Schritt vorbereiteten ''Account'' auswählen. |
* An die eingetragene E-Mail-Adresse wird nun eine Einladungs-Mail geschickt, und das Zertifikat kann von der für die Gruppe verantwortlichen Person erstellt werden. | * An die eingetragene E-Mail-Adresse wird nun eine Einladungs-Mail geschickt, und das Zertifikat kann von der für die Gruppe verantwortlichen Person erstellt werden. |
Vorausgewählt ist dabei die modernere und sicherere Methode ''Secure AES256-SHA256'', alternativ steht auch die zu älteren Systemen kompatible Methode ''Compatible TripleDES-SHA1'' zur Auswahl. | Vorausgewählt ist dabei die modernere und sicherere Methode ''Secure AES256-SHA256'', alternativ steht auch die zu älteren Systemen kompatible Methode ''Compatible TripleDES-SHA1'' zur Auswahl. |
| |
Bei ''Secure AES256-SHA256'' kann es dann auf einigen Systemen (z.B. Windows, iOS) beim Import zu Fehlern kommen. Beispiele: | Bei ''Secure AES256-SHA256'' kann es dann auf einigen Systemen (z.B. Windows, iOS, macOS) beim Import zu Fehlern kommen. Beispiele: |
* "//Das eingegebene Kennwort ist falsch.//" | * "//Das eingegebene Kennwort ist falsch.//" |
* "//Fehler im zugrunde liegenden Sicherheitssystem. Ungültigen Anbietertyp angegeben//" | * "//Fehler im zugrunde liegenden Sicherheitssystem. Ungültigen Anbietertyp angegeben//" |
* Die Zertifikate können im Adobe Acrobat zwar ausgewählt werden, der Vorgang der Unterschrift lässt sich aber nicht abschließen. | * Die Zertifikate können im Adobe Acrobat zwar ausgewählt werden, der Vorgang der Unterschrift lässt sich aber nicht abschließen. |
| |
In so einem Fehlerfall hilft es, die betroffene .p12-Datei zunächst in den Zertifikat-Manager vom Firefox-Browser zu importieren und dann von dort direkt wieder in eine //neue// .p12-Datei zu exportieren. Sofern das User-Zertifikat nicht ebenfalls im Firefox zur SSL-Client-Authentisierung genutzt werden soll, sollte dieses dann aus Firefox wieder gelöscht werden. Eine [[https://www.ca.kit.edu/p/faq/de/fix-tcs-p12|bebilderte Anleitung dafür gibt es vom KIT]]. | In so einem Fehlerfall hilft es, die betroffene .p12-Datei zunächst in den Zertifikat-Manager vom Firefox-Browser zu importieren und dann von dort direkt wieder in eine //neue// .p12-Datei zu exportieren. Sofern das User-Zertifikat nicht ebenfalls im Firefox zur SSL-Client-Authentisierung genutzt werden soll, sollte dieses dann aus Firefox wieder gelöscht werden. Eine [[https://www.ca.kit.edu/p/faq/de/fix-tcs-p12|ausführlichst bebilderte detaillierte Anleitung dafür gibt es vom KIT]]. macOS-Besonderheit: Das Zertifikat aus dem .p12-Import in den Firefox-Browser landet unter macOS als defekter störender Eintrag im Schlüsselbund und verhindert später einen neuen Import der mit dem Firefox konvertierten .p12-Datei. |
| |
Die neue .p12-Datei ist dann nach unserer Erfahrung problemlos in die betroffenen Systeme zu importieren. Alternativ zu dieser Konvertierung der .p12-Datei kann auch ein neues Zertifikat beantragt werden, wobei dann bereits bei der Beantragung auf den Antrags-Web-Seiten die Methode ''Compatible TripleDES-SHA1'' ausgewählt werden muss. | Die neue .p12-Datei ist dann nach unserer Erfahrung problemlos in die betroffenen Systeme zu importieren. Alternativ zu dieser Konvertierung der .p12-Datei kann auch ein neues Zertifikat beantragt werden, wobei dann bereits bei der Beantragung auf den Antrags-Web-Seiten die Methode ''Compatible TripleDES-SHA1'' ausgewählt werden muss. |
| |
| Unter macOS kann auf der Kommandozeile mittels ''security import new-cert.p12'' ein Importversuch unternommen werden. Dabei muss der Dateiname ''new-cert.p12'' der Zertifikatsdatei entsprechend angepasst werden. |
| |
Die organisations-spezifische Dokumentation und Anleitung zur Beantragung von Client-Zertifikaten sollte ggf. einen Hinweis auf diese möglichen Inkompatibilitäten enthalten. | Die organisations-spezifische Dokumentation und Anleitung zur Beantragung von Client-Zertifikaten sollte ggf. einen Hinweis auf diese möglichen Inkompatibilitäten enthalten. |
| |
| |
| |