Die folgenden Punkte sind zu beachten, wenn Sie bereits in GÉANT TCS User-Zertifikate ausstellen. Voraussetzung für die Anwendung dieser Anleitung ist, dass Ihre Organisation bereits nach den neuen Regeln revalidiert wurde. Ob dies bereits der Fall ist, können Sie nicht selbstständig im Sectigo System SCM sehen. Die DFN-PCA informiert Einrichtungen, wenn die Revalidierung abgeschlossen ist.
+
Die folgenden Punkte sind zu beachten, wenn Sie bereits in GÉANT TCS User-Zertifikate ausstellen. **Voraussetzung für die Anwendung dieser Anleitung ist, dass Ihre Organisation bereits nach den neuen Regeln revalidiert wurde.** Ob dies bereits der Fall ist, können Sie nicht selbstständig im Sectigo System SCM sehen. Die DFN-PCA informiert Einrichtungen, wenn die Revalidierung abgeschlossen ist.
-
Wenn Sie eine Anleitung für die erste Einrichtung von User-Zertifikaten suchen, schauen Sie bitte in die [[de:dfnpki:tcsfaq#nutzerzertifikate|FAQ zu Nutzerzertifikaten]]
+
Wenn Sie eine Anleitung für die erste Einrichtung von User-Zertifikaten suchen, schauen Sie bitte in die [[de:dfnpki:tcs:usercert|FAQ zu Nutzerzertifikaten]]
=====Zertifikate für sichere E-Mail - S/MIME=====
=====Zertifikate für sichere E-Mail - S/MIME=====
Zeile 17:
Zeile 17:
Diese Zertifikate sind geeignet für sichere E-Mail für User, die mit Vorname/Nachname im Zertifikat auftreten sollen, und die in der Organisation bereits identifiziert wurden.
Diese Zertifikate sind geeignet für sichere E-Mail für User, die mit Vorname/Nachname im Zertifikat auftreten sollen, und die in der Organisation bereits identifiziert wurden.
+
+
**Bitte stellen Sie auf keinen Fall "Testzertifikate" mit unsinnigen Namen aus. Dies verstößt gegen das TCS CPS, die Policies von Sectigo und die Regeln für S/MIME-Zertifikate , und gefährdet den Dienst. Sie dürfen nur Zertifikate zu identifizierten Personen ausstellen.**
Diese Zertifikate können über ''idp/clientgeant'', E-Mail-Einladung oder REST-API ausgestellt werden.
Diese Zertifikate können über ''idp/clientgeant'', E-Mail-Einladung oder REST-API ausgestellt werden.
Zeile 24:
Zeile 26:
Es gibt von Sectigo derzeit keine konkreten zusätzlichen Verfahrensanweisungen, um einen Validation Type 'HIGH' zu setzen.
Es gibt von Sectigo derzeit keine konkreten zusätzlichen Verfahrensanweisungen, um einen Validation Type 'HIGH' zu setzen.
-
Die Anforderungen, die im TCS CPS an die Identifizierung und die Dokumentation festgehalten sind, gelten weiterhin. Siehe hierzu [[de:dfnpki:tcsfaq#identifizierung_und_dokumentation|Identifizierung und Dokumentation]] in der FAQ.
+
Die Anforderungen, die im TCS CPS an die Identifizierung und die Dokumentation festgehalten sind, gelten weiterhin. Siehe hierzu [[de:dfnpki:tcs:usercert#identifizierung_und_dokumentation|Identifizierung und Dokumentation]] in der FAQ.
====GÉANT Organisation email signing====
====GÉANT Organisation email signing====
Zeile 53:
Zeile 55:
* Identity Provider müssen nun unbedingt die Attribute ''sn'' und ''givenName'' übertragen (siehe [[de:shibidp:config-attributes-tcs|Attribute für cert-manager]])
* Identity Provider müssen nun unbedingt die Attribute ''sn'' und ''givenName'' übertragen (siehe [[de:shibidp:config-attributes-tcs|Attribute für cert-manager]])
-
+
* Es können Zertifikate für sichere E-Mail (S/MIME) mit dem Profil ''GÉANT Personal email signing and encryption'' ausgestellt werden. Die Zertifikate beinhalten Vorname/Nachname.
-
* Es können Zertifikate für sichere E-Mail (S/MIME) mit dem Profil ''GÉANT Personal email signing and encryption'' ausgestellt werden. Die Zertifikate beinhalten Vorname/Nachname. **Defekt 04.09.:** Zur Zeit ist idp/clientgeant für dieses Zertifikatprofil defekt (Fehlermeldung ''Proxy Error'' nach scheinbar erfolgreicher Antragsstellung.)
+
* Existiert die Person bereits im System, wird der Validation Type automatisch auf 'HIGH' gesetzt
+
* Hat die Person bereits Zertifikate, und ist der Personeneintrag in Details anders, werden bisherige Zertifikate gesperrt.
* Zertifikatprofile für IGTF/Grid-Computing stellen wir **nur auf Anfrage** für Ihre Organisation zur Verfügung. Hintergrund: Es besteht die Gefahr, dass User die für sichere E-Mail ungeeigneten ''GÉANT * Authentication''-Profile wählen. Wenn für Ihre Organisation Grid-Computing-Zertifikate ausgestellt werden sollen, melden Sie sich bitte bei dfnpca@dfn-cert.de, und informieren Sie vorab Ihre User über die Wahl der passenden Zertifikatprofile.
* Zertifikatprofile für IGTF/Grid-Computing stellen wir **nur auf Anfrage** für Ihre Organisation zur Verfügung. Hintergrund: Es besteht die Gefahr, dass User die für sichere E-Mail ungeeigneten ''GÉANT * Authentication''-Profile wählen. Wenn für Ihre Organisation Grid-Computing-Zertifikate ausgestellt werden sollen, melden Sie sich bitte bei dfnpca@dfn-cert.de, und informieren Sie vorab Ihre User über die Wahl der passenden Zertifikatprofile.
-
-
* **Wichtig:** Bei der Beantragung von Zertifikaten für sichere E-Mail über das Profil ''GÉANT Personal email signing and encryption'' gilt:
-
* Ist die beantragende Person noch nicht im System (beantragt sie zum ersten Mal ein Zertifikat), funktioniert alles. Es wird automatisch ein Eintrag in SCM unter "Persons" mit Validation Type 'HIGH' angelegt.
-
* Existiert die Person bereits im System, so muss **vorab der Validation Type auf 'HIGH' gesetzt werden**. Dies kann entweder manuell in SCM oder per REST-API (also per Skript) geschehen. Grund hierfür ist eine technische Unzulänglichkeit der Software, für die Sectigo noch nach einer Lösung sucht.
Zeile 95:
Zeile 93:
* Unter Profiles die bestehenden alten Profile löschen
* Unter Profiles die bestehenden alten Profile löschen
* Über das kleine "+"-Zeichen aus der Drop-Down-Liste das gewünschte Zertifikatprofil für den E-Mail-Einladungsprozess auswählen.
* Über das kleine "+"-Zeichen aus der Drop-Down-Liste das gewünschte Zertifikatprofil für den E-Mail-Einladungsprozess auswählen.
-
* Sie müssen sich entscheiden, ob Sie Zertifikate mit oder ohne Vorname/Nachname ausstellen wollen.
+
* Sie müssen sich bei der Wahl des Profils entscheiden, ob Sie Zertifikate mit oder ohne Vorname/Nachname ausstellen wollen.
-
* Ohne Vorname/Nachname:
+
* Ohne Vorname/Nachname (u.a. auch für Gruppenzertifikate):
-
* Wählen Sie das Profil ''GÉANT Organisation email signing''
+
* Wählen Sie das Profil ''GÉANT Organisation email signing''
-
* Mit Vorname/Nachname:
+
* Mit Vorname/Nachname:
-
* Wählen Sie das Profil ''GÉANT Personal email signing and encryption''
+
* Wählen Sie das Profil ''GÉANT Personal email signing and encryption''
-
* Hierfür muss jeder Eintrag unter ☰->Persons, der ein Zertifikat erhalten soll, bearbeitet werden. Sie müssen jede Person aufrufen, und dort den Validation Type von 'STANDARD' auf 'HIGH' umsetzen.
+
* Hierfür muss jeder Eintrag unter ☰->Persons, der ein Zertifikat erhalten soll, bearbeitet werden. Sie müssen jede Person aufrufen, und dort den Validation Type von 'STANDARD' auf 'HIGH' umsetzen.
* Die Ausstellung von User-Zertifikaten dauert nun deutlich länger. Es wurden Zeiten von > 3 Minuten beobachtet. Es ist damit zu rechnen, dass User ungeduldig sind und den Vorgang vorzeitig abbrechen.
* Die Ausstellung von User-Zertifikaten dauert nun deutlich länger. Es wurden Zeiten von > 3 Minuten beobachtet. Es ist damit zu rechnen, dass User ungeduldig sind und den Vorgang vorzeitig abbrechen.
