Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis Was ist TCS? Wie erhalten Einrichtungen einen Zugang? Gibt es eine Testumgebung für TCS REST API und die Webseiten? Erste Schritte Dokumentation Datenschutz Funktionsüberblick Rollen, Anmeldung und Abteilungen (Departments) Tipps und Tricks in SCM Zugriff per AAI Benachrichtigungen Domains und IPv4-Adressen in Zertifikaten Zertifikate erstellen CA- und Root-Zertifikate in TCS CAA-Records Zertifikate sperren (Revoke, Revocation) Audits Statusmeldungen und Wartungsankündigungen Support Support-Tickets für die Validierung (DCV) von IP-Adressen E-Mail-Verteilerliste dfnpki-d Diese FAQ richtet sich primär an die Teilnehmerservices an den an der DFN-PKI teilnehmenden Einrichtungen. Nicht alle hier beschriebenen Funktionen werden von allen Einrichtungen gleichermaßen umgesetzt. Falls Sie sich für den Bezug eines Zertifikats interessieren, wenden Sie sich bitte an Ihren lokalen Teilnehmerservice an Ihrer Heimateinrichtung. Was ist TCS? TCS (Trusted Certificate Service) ist ein PKI-Angebot, das der DFN-Verein über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo. Überblick über den Dienst bei GÉANT: https://security.geant.org/trusted-certificate-services/ Der DFN-Verein führt das Angebot zur Zeit für alle Teilnehmer der DFN-PKI ein. TCS wird die bisherige DFN-PKI „Global“ mittelfristig ablösen. Wie erhalten Einrichtungen einen Zugang? Zur Zeit geht der DFN-Verein auf alle bisherigen Teilnehmer der DFN-PKI zu, um ihnen einen Zugang zu TCS zu ermöglichen. Das initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de. Gibt es eine Testumgebung für TCS REST API und die Webseiten? Der TCS-Anbieter Sectigo stellt keine Testumgebung zur Verfügung. Erste Schritte Überblick über erste Schritte nach Erhalt eines Zugangs: Erste Schritte Dokumentation Bei GÉANT gibt es eine Zusammenstellung von FAQs: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ Die Dokumentation von Sectigo zur Administrations-Oberfläche und zu ACME ist zu finden unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-Administrator-s-Guide/kA01N000000bvJA Die REST-API ist dokumentiert unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-REST-API/kA01N000000XDkE Sectigo unterhält einen Youtube-Kanal mit vielen Tutorials: https://www.youtube.com/c/Sectigo/videos Datenschutz Hinweise zum Datenschutz und der vertraglichen Konstruktion: Datenschutz Funktionsüberblick Anwender haben Zugriff über die Administrations-Oberfläche, genannt „Sectigo Certificate-Manager“ (SCM), unter https://cert-manager.com/customer/DFN Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Nutzerzertifikaten möglich. TCS bietet zusätzlich: Web-Formulare zum Beantragen von Zertifikaten für nicht in cert-manager.com eingeloggte Benutzer Eine Ausstellung von Zertifikaten über eine SAML-Integration Eine ACME-Schnittstelle Eine REST-API Es gibt keine Testumgebung. Rollen, Anmeldung und Abteilungen (Departments) In SCM gibt es verschiedene Rollen und Möglichkeiten zur Anmeldung. Es können Abteilungen („Departments“) angelegt werden: Rollen, Anmeldung, Abteilungen Tipps und Tricks in SCM Tipps und Tricks für SCM Zugriff per AAI Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen Voraussetzungen erfüllt sein: Zugriff per AAI Benachrichtigungen Um Benachrichtigungen über Ereignisse wie den Ablauf von Zertifikaten oder der Gültigkeit von Domain-Valididierungen zu erhalten, können Benachrichtigungen konfiguriert werden: Benachrichtigungen in SCM Domains und IPv4-Adressen in Zertifikaten Um Zertifikate zu erhalten, müssen die entsprechenden Domains oder IPv4-Adressen vorab bei Sectigo im System eingetragen werden. Eine detaillierte Beschreibung ist verfügbar unter: Domains und IPv4-Adressen in Zertifikaten Zertifikate erstellen Serverzertifikate Serverzertifikate per ACME User-Zertifikate Document Signing Code Signing REST API CA- und Root-Zertifikate in TCS Die uns bekannten Root- und CA-Zertifikate in TCS sind dokumentiert unter: TCS CA-Zertifikate CAA-Records Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken: CAA Zertifikate sperren (Revoke, Revocation) Zertifikate sollen üblicherweise von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden. Die Sperrmechanismen von ACME (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung. Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können: https://secure.sectigo.com/products/RevocationPortal Hier sind allerdings weitere Authentifizierungsschritte erforderlich, wie beispielsweise die Beantwortung einer E-Mail-Challenge, die Bereitstellung des Private Key oder die Signierung eines vorgegebenen Datenobjektes. Audits Im Gegensatz zur DFN-PKI sind in GÉANT TCS keine regelmäßigen Audits der RA-Tätigkeit von Teilnehmern vorgesehen. Im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates wird in Kapitel 9.6.2 vereinbart: The Subscriber agrees to provide on request full documentation to the Member and/or the GÉANT Association about the procedures used to populate and maintain the identity related information in its IdP. Statusmeldungen und Wartungsankündigungen Statusmeldungen und Wartungsankündigungen der Sectigo-Services sind sichtbar über: https://sectigo.status.io Die Meldungen können dort auch als E-Mail und RSS-Feed (https://status.io/pages/5938a0dbef3e6af26b001921/rss) abonniert werden. Support Wir helfen auch bei technischen Schwierigkeiten mit den TCS-Systemen gerne weiter: dfnpca@dfn-cert.de Ein direkter Kontakt mit dem englischsprachigen Sectigo Support ist auch möglich. Das Support-Portal von Sectigo ist erreichbar unter: https://sectigo.com/support-ticket Bitte unbedingt den folgenden Hinweis einfügen: „We are a DFN member of the GEANT TCS service, using the SCM instance https://cert-manager.com/customer/DFN.“ Es ist zu empfehlen, vor einer direkten Kontaktaufnahme zum Sectigo Support mit uns zu sprechen. Support-Tickets für die Validierung (DCV) von IP-Adressen Sofern Sie ein Ticket für den speziellen DCV-Vorgang zur Validierung von IP-Adressen erstellen wollen, wählen Sie bitte für das Ticket Case type: „Technical Support“ und Case reason: „Sectigo Certificate Manager (SCM)“ aus, damit das Ticket gleich in die korrekte Supportschlange eingestellt wird. E-Mail-Verteilerliste dfnpki-d Auf https://listserv.dfn.de ist die E-Mail-Verteilerliste mailto:dfnpki-d@listserv.dfn.de eingerichtet. Diese unmoderierte Liste soll den Austausch unter den Teilnehmern an der DFN-PKI befördern und die Diskussion von Problemen und die Verbreitung von Lösungsvorschlägen ermöglichen. Eine Anmeldung ist für DFN-PKI-Teilnehmer möglich unter https://www.listserv.dfn.de/sympa/info/dfnpki-d. Zuletzt geändert: vor 7 Tagen Anmelden