Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:dfnpki:tcsfaq:ersteschritte [2021/09/01 15:50] – Reimer Karlsen-Masur | de:dfnpki:tcsfaq:ersteschritte [2021/10/01 15:51] – Juergen Brauckmann |
---|
| |
1. Domain hinzufügen: | 1. Domain hinzufügen: |
* Unter Settings->Domain->Delegations per Button Add die Hauptdomain (''example.org'') Ihrer Einrichtung hinzufügen und an Ihre Einrichtung "delegieren". Die DFN-PCA muss diese Delegierung manuell bestätigen. | * Unter Settings->Domain->Delegations per Button ''Add'' die Hauptdomain (''example.org'') Ihrer Einrichtung hinzufügen und an Ihre Einrichtung "delegieren". Die DFN-PCA muss diese Delegierung manuell bestätigen. |
* Nach erfolgter Delegierung unter Settings-Domain->DCV per Button "DCV" die Domainfreischaltung starten. | * Nach erfolgter Delegierung unter Settings-Domain->DCV per Button ''DCV'' die Domainfreischaltung starten. |
* Wenn Sie CAA-Records nutzen, so müssen diese bereits in diesem Schritt zum TCS-Anbieter passen: [[de:dfnpki:tcsfaq#caa-records|CAA-Records]] | * Wenn Sie CAA-Records nutzen, so müssen diese bereits in diesem Schritt zum TCS-Anbieter passen: [[de:dfnpki:tcsfaq#caa-records|CAA-Records]] |
| * Bitte **auf keinen Fall** die Validierungsmethode HTTP/HTTP verwenden. Sectigo stellt derzeit die Prozesse um, und mit dieser Methode validierte Domains werden nur eingeschränkt nutzbar sein. |
| * Bei der Validierungsmethode EMAIL stehen nur die Standard-Adressen ''hostmaster@, postmaster@, usw'' aus der zu validierenden Domain selbst zur Verfügung. Die Kontaktadresse aus dem SOA-Record im DNS kann bei Sectigo **nicht** verwendet werden. Sie müssen auf der zu validierenden Domain E-Mail empfangen können. Andernfalls müssen Sie die Validierungsmethode CNAME verwenden. |
* Erst wenn Ihre Hauptdomain den Zustand "Validated" zeigt: Fügen Sie auch ''*.<hauptdomain>'' (''*.example.org'') hinzu, damit auch FQDNs und Subdomains unterhalb der ''*.<hauptdomain>'' beantragt werden können. Diese ''*.<hauptdomain>'' erhält automatisch ohne weitere Interaktion den Zustand "Validated". | * Erst wenn Ihre Hauptdomain den Zustand "Validated" zeigt: Fügen Sie auch ''*.<hauptdomain>'' (''*.example.org'') hinzu, damit auch FQDNs und Subdomains unterhalb der ''*.<hauptdomain>'' beantragt werden können. Diese ''*.<hauptdomain>'' erhält automatisch ohne weitere Interaktion den Zustand "Validated". |
* Hinweis: Solange die Domain nicht den Zustand "Validated" zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben. | * Hinweis: Solange die Domain nicht den Zustand "Validated" zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben. |
* Die Domainfreischaltung per E-Mail-Challenge funktioniert bei TCS in einem wichtigen Detail anders: Während in der DFN-PKI die E-Mail-Adresse aus dem SOA-Record im DNS zusätzlich zu den Standardadressen ''hostmaster@<domain>'', ''webmaster@<domain>'', ''postmaster@<domain>'', ''admin@<domain>'' und ''administrator@<domain>'' zur Auswahl steht, um E-Mail-Challenges zu versenden, gibt es bei TCS nur die Standardadressen. Dies kann bei Domains, für die gar keine E-Mail-Adressen (und insbesondere keine dieser Standardadressen) aufgesetzt sind, problematisch sein. Hier helfen dann die weiteren Validierungsmethoden von TCS, die direkt auf DNS oder HTTPS aufsetzen. | |
* https://doku.tid.dfn.de/de:dfnpki:tcsfaq#domainvalidierung_domain_control_validation_dcv | * https://doku.tid.dfn.de/de:dfnpki:tcsfaq#domainvalidierung_domain_control_validation_dcv |
| |
3. Weitere Kolleg*innen einbinden: | 3. Weitere Kolleg*innen einbinden: |
* Unter Admins->Add weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen. | * Unter Admins->Add weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen. |
| * Passworte: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie ''#$%&'' usw. können verwendet werden, Umlaute oder "exotischere" Sonderzeichen wie ''§'' oder ''€'' aber nicht. |
* Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen, ändern oder löschen dürfen, bitte bei ''dfnpca@dfn-cert.de'' melden. | * Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen, ändern oder löschen dürfen, bitte bei ''dfnpca@dfn-cert.de'' melden. |
* Das Recht, eine Domainfreischaltung (Domain Control Validation, DCV) einzuleiten, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die Domainfreischaltungen starten dürfen, bitte bei ''dfnpca@dfn-cert.de'' melden. | * Das Recht, eine Domainfreischaltung (Domain Control Validation, DCV) einzuleiten, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die Domainfreischaltungen starten dürfen, bitte bei ''dfnpca@dfn-cert.de'' melden. |
4. Nutzerzertifikate beantragen: | 4. Nutzerzertifikate beantragen: |
* Beantragung über SAML/AAI: | * Beantragung über SAML/AAI: |
* Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#nutzerzertifikate1 | * Unter Mithilfe Ihrer AAI-Administration die Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#nutzerzertifikate1 |
* Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant | * Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant |
| |