Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Erste Schritte in TCS Die ersten notwendigen Schritte in TCS nach Erhalt eines RAO-Zugangs sind: 1. Domain hinzufügen: Im linken Seiten-Menü unter ☰→Domains per grünem +-Button die Hauptdomain (example.org) Ihrer Einrichtung hinzufügen und an Ihre Einrichtung „delegieren“. Die DFN-PCA muss diese Delegierung manuell bestätigen. Nach erfolgter Delegierung unter ☰→Domains die Domain auswählen und rechts unter „Domain Control Validation“ die Domainfreischaltung starten. Wenn Sie CAA-Records nutzen, so müssen diese bereits in diesem Schritt zum TCS-Anbieter passen: CAA-Records Bitte die Validierungsmethode HTTP/HTTPS nur in Einzelfällen verwenden. Mit dieser Methode können nur Zertifikate für die exakte Domain ohne weitere Subdomains oder Hostnamen ausgestellt werden. Bei der Validierungsmethode EMAIL stehen nur die Standard-Adressen hostmaster@, postmaster@, usw aus der zu validierenden Domain selbst zur Verfügung. Die Kontaktadresse aus dem SOA-Record im DNS kann bei Sectigo nicht verwendet werden. Sie müssen auf der zu validierenden Domain E-Mail empfangen können. Andernfalls müssen Sie die Validierungsmethode CNAME verwenden. Erst wenn Ihre Hauptdomain den Zustand „Validated“ zeigt: Fügen Sie auch *.<hauptdomain> (*.example.org) hinzu, damit auch FQDNs und Subdomains unterhalb der *.<hauptdomain> beantragt werden können. Diese *.<hauptdomain> erhält automatisch ohne weitere Interaktion den Zustand „Validated“. Hinweis: Solange die Domain nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben. Domains und IPv4-Adressen in Zertifikaten 2. Organisationsvalidierung überprüfen: Unter ☰→Organizations überprüfen, dass die Einrichtung den Zustand „Validated“ zeigt Hinweis: Solange die Organisation nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen ist normal. Für die Beantragung von Zertifikaten per SAML: Unter ☰→Organizations→Auswahl der Organisation→Button Edit→Stift-Symbol das Feld Academic code (SCHAC Home Organization) auf das von Ihrem Identity Provider gelieferte Attribut schacHomeOrganization setzen. Siehe Zugriff per AAI 3. Automatische Benachrichtigungen (Notifications) durch den SCM einrichten: Zertifikatsablauf-Warn-E-Mails und Domain-Validation-Ablauf-Warn-E-Mails einrichten 4. Weitere Kolleg*innen einbinden: Unter ☰→Settings→Admins→+-Button weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen. Mail-Adressen bitte klein schreiben. cert-manager quittiert groß geschriebene Mail-Adressen mit einer Fehlermeldung „Please enter a valid email“. Passworte: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie #$%& usw. können verwendet werden, Umlaute oder „exotischere“ Sonderzeichen wie § oder € aber nicht. Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen, ändern oder löschen dürfen, bitte bei dfnpca@dfn-cert.de melden. Das Recht, eine Domainfreischaltung (Domain Control Validation, DCV) einzuleiten, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die Domainfreischaltungen starten dürfen, bitte bei dfnpca@dfn-cert.de melden. Eine Beschreibung der Rechte findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation 5. Nutzerzertifikate beantragen: Per E-Mail-Einladung aus dem cert-manager heraus: https://doku.tid.dfn.de/de:dfnpki:tcs:usercert#e-mail-einladung Beantragung über SAML/AAI: Unter Mithilfe Ihrer AAI-Administration die Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcs:usercert#ueber_die_aai Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant 6. Serverzertifikate beantragen: Aus dem cert-manager heraus: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert#direkt_im_cert-manager Über SAML/AAI: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert#ueber_die_aai ACME: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert_acme 7. Link zur FAQ: https://doku.tid.dfn.de/de:dfnpki:tcsfaq Zuletzt geändert: vor 3 Monaten Anmelden