Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:dfnpki:tcs_smimebr_changes [2023/09/05 08:46] – [Umstellung idp/clientgeant] Juergen Brauckmann
+++ de:dfnpki:tcs_smimebr_changes [2023/11/17 15:33] (aktuell) – [Umstellung Enrollment Forms - E-Mail-Einladung] Reimer Karlsen-Masur
@@ Zeile 1: / Zeile 1: @@
 =====Änderungen an GÉANT TCS zum 01.09.2023=====
-Die folgenden Punkte sind zu beachten, wenn Sie bereits in GÉANT TCS User-Zertifikate ausstellen. Voraussetzung für die Anwendung dieser Anleitung ist, dass Ihre Organisation bereits nach den neuen Regeln revalidiert wurde. Ob dies bereits der Fall ist, können Sie nicht selbstständig im Sectigo System SCM sehen. Die DFN-PCA informiert Einrichtungen, wenn die Revalidierung abgeschlossen ist.
+Die folgenden Punkte sind zu beachten, wenn Sie bereits in GÉANT TCS User-Zertifikate ausstellen. **Voraussetzung für die Anwendung dieser Anleitung ist, dass Ihre Organisation bereits nach den neuen Regeln revalidiert wurde.** Ob dies bereits der Fall ist, können Sie nicht selbstständig im Sectigo System SCM sehen. Die DFN-PCA informiert Einrichtungen, wenn die Revalidierung abgeschlossen ist.
-Wenn Sie eine Anleitung für die erste Einrichtung von User-Zertifikaten suchen, schauen Sie bitte in die [[de:dfnpki:tcsfaq#nutzerzertifikate|FAQ zu Nutzerzertifikaten]]
+Wenn Sie eine Anleitung für die erste Einrichtung von User-Zertifikaten suchen, schauen Sie bitte in die [[de:dfnpki:tcs:usercert|FAQ zu Nutzerzertifikaten]]
 =====Zertifikate für sichere E-Mail - S/MIME=====
@@ Zeile 17: / Zeile 17: @@
 Diese Zertifikate sind geeignet für sichere E-Mail für User, die mit Vorname/Nachname im Zertifikat auftreten sollen, und die in der Organisation bereits identifiziert wurden.
+**Bitte stellen Sie auf keinen Fall "Testzertifikate" mit unsinnigen Namen aus. Dies verstößt gegen das TCS CPS, die Policies von Sectigo und die Regeln für S/MIME-Zertifikate , und gefährdet den Dienst. Sie dürfen nur Zertifikate zu identifizierten Personen ausstellen.**
 Diese Zertifikate können über ''idp/clientgeant'', E-Mail-Einladung oder REST-API ausgestellt werden.
@@ Zeile 24: / Zeile 26: @@
 Es gibt von Sectigo derzeit keine konkreten zusätzlichen Verfahrensanweisungen, um einen Validation Type 'HIGH' zu setzen.
-Die Anforderungen, die im TCS CPS an die Identifizierung und die Dokumentation festgehalten sind, gelten weiterhin. Siehe hierzu [[de:dfnpki:tcsfaq#identifizierung_und_dokumentation|Identifizierung und Dokumentation]] in der FAQ.
+Die Anforderungen, die im TCS CPS an die Identifizierung und die Dokumentation festgehalten sind, gelten weiterhin. Siehe hierzu [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]] in der FAQ.
 ====GÉANT Organisation email signing====
-Dieser Zertifikattyp enthält nur die E-Mail-Adresse und Organisations-Informationen und keine Namen von Personen. Der Validation Type des Personeneintrags kann auch 'STANDARD' sein.
+Dieser Zertifikattyp enthält nur die E-Mail-Adresse und Organisations-Informationen und keine Namen von Personen. Im cert-manager existiert trotzdem ein Personeneintrag, in dem die Felder ''firstName'' und ''lastName'' befüllt sein müssen. Der Validation Type des Personeneintrags kann auch 'STANDARD' sein.
 Diese Zertifikate sind geeignet für Gruppen oder für Personen, die in der Einrichtung noch nicht persönlich identifiziert wurden.
+Entgegen dem Profilnamen ist auch E-Mail Verschlüsselung möglich.
 Diese Zertifikate können ausschließlich über E-Mail-Einladung oder REST-API ausgestellt werden. In ''idp/clientgeant'' steht dieser Typ nicht zur Verfügung.
@@ Zeile 51: / Zeile 55: @@
   * Identity Provider müssen nun unbedingt die Attribute ''sn'' und ''givenName'' übertragen (siehe [[de:shibidp:config-attributes-tcs|Attribute für cert-manager]])
+  * Es können Zertifikate für sichere E-Mail (S/MIME) mit dem Profil ''GÉANT Personal email signing and encryption'' ausgestellt werden. Die Zertifikate beinhalten Vorname/Nachname.
-  * Es können Zertifikate für sichere E-Mail (S/MIME) mit dem Profil ''GÉANT Personal email signing and encryption'' ausgestellt werden. Die Zertifikate beinhalten Vorname/Nachname. **Defekt 04.09.:** Zur Zeit ist idp/clientgeant für dieses Zertifikatprofil defekt (Fehlermeldung ''Proxy Error'' nach scheinbar erfolgreicher Antragsstellung.)
+    * Existiert die Person bereits im System, wird der Validation Type automatisch auf 'HIGH' gesetzt
+    * Hat die Person bereits Zertifikate, und ist der Personeneintrag in Details anders, werden bisherige Zertifikate gesperrt.
   * Zertifikatprofile für IGTF/Grid-Computing stellen wir **nur auf Anfrage** für Ihre Organisation zur Verfügung. Hintergrund: Es besteht die Gefahr, dass User die für sichere E-Mail ungeeigneten ''GÉANT * Authentication''-Profile wählen. Wenn für Ihre Organisation Grid-Computing-Zertifikate ausgestellt werden sollen, melden Sie sich bitte bei dfnpca@dfn-cert.de, und informieren Sie vorab Ihre User über die Wahl der passenden Zertifikatprofile.
-  * **Wichtig:** Bei der Beantragung von Zertifikaten für sichere E-Mail über das Profil ''GÉANT Personal email signing and encryption'' gilt:
-    * Ist die beantragende Person noch nicht im System (beantragt sie zum ersten Mal ein Zertifikat), funktioniert alles. Es wird automatisch ein Eintrag in SCM unter "Persons" mit Validation Type 'HIGH' angelegt.
-    * Existiert die Person bereits im System, so muss **vorab der Validation Type auf 'HIGH' gesetzt werden**. Dies kann entweder manuell in SCM oder per REST-API (also per Skript) geschehen. Grund hierfür ist eine technische Unzulänglichkeit der Software, für die Sectigo noch nach einer Lösung sucht.
 =====Umstellung REST-API=====
-Wenn Software zur Ausstellung von User-Zertifikaten exisitert, die über REST-API an das Sectigo-System angebunden ist, ist folgendes zu beachten:
+Wenn Software zur Ausstellung von User-Zertifikaten verwendet wird, die über das REST-API an das Sectigo-System angebunden ist, ist folgendes zu beachten:
   * Sie müssen sich als erstes entscheiden, ob Sie Zertifikate mit oder ohne Vorname/Nachname ausstellen wollen.
@@ Zeile 69: / Zeile 69: @@
   * Für Zertifikate ohne Vorname/Nachname:
      * Ändern Sie den ''certType'' auf die ID des Profils ''GÉANT Organisation email signing''
-     * Beachten Sie, dass nur noch die Laufzeiten 365 oder 730 Tage zur Verfügung stehen. Ändern Sie ggf den Parameter ''term'' entsprechend ab.
+     * Entgegen dem Profilnamen ist auch E-Mail Verschlüsselung möglich
+     * Beachten Sie, dass nur noch die Laufzeiten 365 oder 730 Tage zur Verfügung stehen. Ändern Sie ggf. den Parameter ''term'' entsprechend ab.
+     * Im Request muss weiterhin ''firstName'' angegeben werden, und es wird ein ''Person''-Objekt mit diesen Daten angelegt.
   * Für Zertifikate **mit** Vorname/Nachname:
+     * Ändern Sie den ''certType'' auf die ID des Profils ''GÉANT Personal email signing and encryption''
+     * Beachten Sie, dass nur noch die Laufzeiten 365 oder 730 Tage zur Verfügung stehen. Ändern Sie ggf den Parameter ''term'' entsprechend ab.
      * Anders als bisher benötigt die Zertifikatausstellung nun ein Personenobjekt mit Validationtype 'HIGH'
      * Legen Sie zunächst mit dem API ''api/person/v1'' eine Person an (mit Parameter 'validationType': 'HIGH')
      * Beantragen Sie anschließend das Zertifikat per ''api/smime/v1/enroll''
-     * Ändern Sie den ''certType'' auf die ID des Profils ''GÉANT Personal email signing and encryption''
-     * Beachten Sie, dass nur noch die Laufzeiten 365 oder 730 Tage zur Verfügung stehen. Ändern Sie ggf den Parameter ''term'' entsprechend ab.
      * Für die Erneuerung von Zertifikaten von bereits im System existierenden Personen muss der Validation Type auf ''HIGH'' aktualisiert werden. Entweder per Hand im cert-manager, oder per API ''api/person/v1/<Person-ID>''
+  * Die Ausstellung von User-Zertifikaten dauert nun deutlich länger. Es wurden Zeiten von > 3 Minuten beobachtet. Passen Sie ggf. Timeouts an.
 =====Umstellung Enrollment Forms - E-Mail-Einladung=====
@@ Zeile 89: / Zeile 93: @@
   * Unter Profiles die bestehenden alten Profile löschen
   * Über das kleine "+"-Zeichen aus der Drop-Down-Liste das gewünschte Zertifikatprofil für den E-Mail-Einladungsprozess auswählen.
-  * Sie müssen sich entscheiden, ob Sie Zertifikate mit oder ohne Vorname/Nachname ausstellen wollen.
+     * Sie müssen sich bei der Wahl des Profils entscheiden, ob Sie Zertifikate mit oder ohne Vorname/Nachname ausstellen wollen.
-  * Ohne Vorname/Nachname:
+     * Ohne Vorname/Nachname (u.a. auch für Gruppenzertifikate):
-     * Wählen Sie das Profil ''GÉANT Organisation email signing''
+        * Wählen Sie das Profil ''GÉANT Organisation email signing''
-  * Mit Vorname/Nachname:
+     * Mit Vorname/Nachname:
-     * Wählen Sie das Profil ''GÉANT Personal email signing and encryption''
+        * Wählen Sie das Profil ''GÉANT Personal email signing and encryption''
-     * Hierfür muss jeder Eintrag unter ☰->Persons, der ein Zertifikat erhalten soll, bearbeitet werden. Sie müssen jede Person aufrufen, und dort den Validation Type von 'STANDARD' auf 'HIGH' umsetzen.
+        * Hierfür muss jeder Eintrag unter ☰->Persons, der ein Zertifikat erhalten soll, bearbeitet werden. Sie müssen jede Person aufrufen, und dort den Validation Type von 'STANDARD' auf 'HIGH' umsetzen.
+  * Die Ausstellung von User-Zertifikaten dauert nun deutlich länger. Es wurden Zeiten von > 3 Minuten beobachtet. Es ist damit zu rechnen, dass User ungeduldig sind und den Vorgang vorzeitig abbrechen.
 ====CSV-Datei====
@@ Zeile 104: / Zeile 111: @@
 Als Beispiel:
 <code>
-Jürgen;;Brauckmann;brauckmann@dfn-cert.de;;High;DFN-CERT Services GmbH;;AL07rQCsofFQfrJqqmAn ;;DE;;brauckmann@dfn-cert.de;Jürgen Brauckmann
+Erika;;Musterfrau;musterfrau@example.org;;High;Example GmbH;;AL07rQCsofFQfrJqqmAn;;DE;;musterfrau@example.org;Erika Musterfrau
 </code>