TCS (Trusted Certificate Service) ist ein PKI-Angebot, das der DFN-Verein über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo. Überblick über den Dienst bei GÉANT: https://security.geant.org/trusted-certificate-services/

Der DFN-Verein führt das Angebot zur Zeit für alle Teilnehmer der DFN-PKI ein. TCS wird die bisherige DFN-PKI „Global“ mittelfristig ablösen.

Zur Zeit geht der DFN-Verein auf alle bisherigen Teilnehmer der DFN-PKI zu, um ihnen einen Zugang zu TCS zu ermöglichen.

Das initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de.

Der TCS-Anbieter Sectigo stellt keine Testumgebung zur Verfügung.

Überblick über erste Schritte nach Erhalt eines Zugangs: Erste Schritte

Bei GÉANT gibt es eine Zusammenstellung von FAQs: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ

Die Dokumentation von Sectigo zur Administrations-Oberfläche und zu ACME ist zu finden unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-Administrator-s-Guide/kA01N000000bvJA

Die REST-API ist dokumentiert unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-REST-API/kA01N000000XDkE

Sectigo unterhält einen Youtube-Kanal mit vielen Tutorials: https://www.youtube.com/c/Sectigo/videos

Hinweise zum Datenschutz und der vertraglichen Konstruktion: Datenschutz

Anwender haben Zugriff über die Administrations-Oberfläche, genannt „Sectigo Certificate-Manager“ (SCM), unter https://cert-manager.com/customer/DFN

Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Nutzerzertifikaten möglich.

TCS bietet zusätzlich:

• Web-Formulare zum Beantragen von Zertifikaten für nicht in cert-manager.com eingeloggte Benutzer
• Eine Ausstellung von Zertifikaten über eine SAML-Integration
• Eine ACME-Schnittstelle
• Eine REST-API

Es gibt keine Testumgebung.

In SCM gibt es verschiedene Rollen und Möglichkeiten zur Anmeldung. Es können Abteilungen („Departments“) angelegt werden: Rollen, Anmeldung, Abteilungen

Tipps und Tricks für SCM

Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen Voraussetzungen erfüllt sein: Zugriff per AAI

Um Benachrichtigungen über Ereignisse wie den Ablauf von Zertifikaten oder der Gültigkeit von Domain-Valididierungen zu erhalten, können Benachrichtigungen konfiguriert werden: Benachrichtigungen in SCM

Um Zertifikate zu erhalten, müssen die entsprechenden Domains oder IPv4-Adressen vorab bei Sectigo im System eingetragen werden. Eine detaillierte Beschreibung ist verfügbar unter: Domains und IPv4-Adressen in Zertifikaten

Serverzertifikate

Serverzertifikate per ACME

User-Zertifikate

Document Signing

Code Signing

REST API

Die uns bekannten Root- und CA-Zertifikate in TCS sind dokumentiert unter: TCS CA-Zertifikate

Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken:

CAA

Zertifikate sollen üblicherweise von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden.

Die Sperrmechanismen von ACME (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung.

Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können: https://secure.sectigo.com/products/RevocationPortal

Hier sind allerdings weitere Authentifizierungsschritte erforderlich, wie beispielsweise die Beantwortung einer E-Mail-Challenge, die Bereitstellung des Private Key oder die Signierung eines vorgegebenen Datenobjektes.

Im Gegensatz zur DFN-PKI sind in GÉANT TCS keine regelmäßigen Audits der RA-Tätigkeit von Teilnehmern vorgesehen.

Im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates wird in Kapitel 9.6.2 vereinbart:

The Subscriber agrees to provide on request full documentation to the Member and/or the GÉANT Association about the procedures used to populate and maintain the identity related information in its IdP.

Statusmeldungen und Wartungsankündigungen der Sectigo-Services sind sichtbar über: https://sectigo.status.io

Die Meldungen können dort auch als E-Mail und RSS-Feed (https://status.io/pages/5938a0dbef3e6af26b001921/rss) abonniert werden.

Wir helfen auch bei technischen Schwierigkeiten mit den TCS-Systemen gerne weiter: dfnpca@dfn-cert.de

Ein direkter Kontakt mit dem englischsprachigen Sectigo Support ist auch möglich. Das Support-Portal von Sectigo ist erreichbar unter: https://sectigo.com/support-ticket

Bitte unbedingt den folgenden Hinweis einfügen: „We are a DFN member of the GEANT TCS service, using the SCM instance https://cert-manager.com/customer/DFN.“

Es ist zu empfehlen, vor einer direkten Kontaktaufnahme zum Sectigo Support mit uns zu sprechen.

Sofern Sie ein Ticket für den speziellen DCV-Vorgang zur Validierung von IP-Adressen erstellen wollen, wählen Sie bitte für das Ticket Case type: „Technical Support“ und Case reason: „Sectigo Certificate Manager (SCM)“ aus, damit das Ticket gleich in die korrekte Supportschlange eingestellt wird.

Auf https://listserv.dfn.de ist die E-Mail-Verteilerliste mailto:dfnpki-d@listserv.dfn.de eingerichtet. Diese unmoderierte Liste soll den Austausch unter den Teilnehmern an der DFN-PKI befördern und die Diskussion von Problemen und die Verbreitung von Lösungsvorschlägen ermöglichen.

Eine Anmeldung ist für DFN-PKI-Teilnehmer möglich unter https://www.listserv.dfn.de/sympa/info/dfnpki-d.