| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcsfaq:ersteschritte [2024/01/23 09:11] – Juergen Brauckmann | de:dfnpki:tcsfaq:ersteschritte [2024/07/02 18:31] (aktuell) – Reimer Karlsen-Masur |
|---|
| * Unter ''☰→Organizations'' überprüfen, dass die Einrichtung den Zustand "Validated" zeigt | * Unter ''☰→Organizations'' überprüfen, dass die Einrichtung den Zustand "Validated" zeigt |
| * Hinweis: Solange die Organisation nicht den Zustand "Validated" zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen ist normal. | * Hinweis: Solange die Organisation nicht den Zustand "Validated" zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen ist normal. |
| * Für die Beantragung von Zertifikaten per SAML: Unter ''☰→Organizations->Auswahl der Organisation→Button Edit→Stift-Symbol'' das Feld ''Academic code (SCHAC Home Organization)'' auf das von Ihrem Identity Provider gelieferte Attribut ''schacHomeOrganization'' setzen. Siehe [[de:dfnpki:tcs:zugriff_per_aai|Zugriff per AAI]] | * Für die Beantragung von Zertifikaten per SAML: Unter ''☰→Organizations->Auswahl der Organisation→Button Edit→Stift-Symbol'' das Feld ''Organization Alias'' auf das von Ihrem Identity Provider gelieferte Attribut ''schacHomeOrganization'' setzen. Siehe [[de:dfnpki:tcs:zugriff_per_aai|Zugriff per AAI]] |
| |
| 3. Automatische Benachrichtigungen (Notifications) durch den SCM einrichten: | 3. Automatische Benachrichtigungen (Notifications) durch den SCM einrichten: |
| * Mail-Adressen bitte klein schreiben. ''cert-manager'' quittiert groß geschriebene Mail-Adressen mit einer Fehlermeldung "Please enter a valid email". | * Mail-Adressen bitte klein schreiben. ''cert-manager'' quittiert groß geschriebene Mail-Adressen mit einer Fehlermeldung "Please enter a valid email". |
| * Passworte: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie ''#$%&'' usw. können verwendet werden, Umlaute oder "exotischere" Sonderzeichen wie ''§'' oder ''€'' aber nicht. | * Passworte: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie ''#$%&'' usw. können verwendet werden, Umlaute oder "exotischere" Sonderzeichen wie ''§'' oder ''€'' aber nicht. |
| * Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen, ändern oder löschen dürfen, bitte bei ''dfnpca@dfn-cert.de'' melden. | * Die Privilegien, weitere Peer-Admins (RAO zu RAO bzw. DRAO zu DRAO) anzulegen, zu bearbeiten und zu löschen, werden automatisch beim Anlegen dieser Peer-Accounts (RAO zu RAO bzw. DRAO zu DRAO) weitervererbt, sofern der eigene Admin-Account die entsprechenden Berechtigungen hat. |
| * Das Recht, eine Domainfreischaltung (Domain Control Validation, DCV) einzuleiten, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die Domainfreischaltungen starten dürfen, bitte bei ''dfnpca@dfn-cert.de'' melden. | * RAOs können immer neue DRAOs anlegen, bearbeiten und löschen. |
| * Eine Beschreibung der Rechte findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation | * Durch RAOs neuangelegte DRAOs erhalten automatisch die Privilegien, weitere DRAOs anzulegen, zu bearbeiten und zu löschen. |
| | * Eine Beschreibung der Privilegien findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation |
| |
| 5. User-Zertifikate beantragen: | Für andere/neue RAO-Accounts können die meisten Privilegien nur dann durch einen RAO-Account selbst verwaltet werden, wenn dieser RAO-Account das Privileg ''Allow editing of peer admin users''/''Allow creation of peer admin users'' besitzt und das zu vergebene Privileg selbst bereits besitzt. |
| * Prüfen, für welche Anwendungsfälle User-Zertifikate aus TCS sinnvoll sind. **Achtung:** Der Subject-DN der TCS-Zertifikate kann sich unvermittelt ändern, wenn Sectigo Organisationen neu validiert. Client-Authentifizierung mit Prüfung des Subject-DN ist nicht für TCS empfohlen. Wählen Sie hierfür bitte eine andere PKI, z.B. die [[de:dfnpki:dfnvereincommunitypki|DFN-Verein Community PKI]] | |
| | Die meisten Privilegien können für DRAO-Accounts mit einem RAO-Account selbst verwaltet werden. Um einen DRAO-Account anzulegen, muss allerdings vorher bereits ein Department eingerichtet worden sein. |
| | |
| | Für andere/neue DRAO-Accounts können die meisten Privilegien nur dann durch einen DRAO-Account selbst verwaltet werden, wenn dieser DRAO-Account das Privileg ''Allow editing of peer admin users''/''Allow creation of peer admin users'' besitzt und das zu vergebene Privileg selbst bereits besitzt. |
| | |
| | DRAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen RAOs oder bei einem "Peer"-DRAO mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben. |
| | |
| | RAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen "Peer"-RAOs mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben. |
| | |
| | Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM. |
| | |
| | |
| | |
| | 5. Client-Zertifikate beantragen: |
| | * Prüfen, für welche Anwendungsfälle Client-Zertifikate aus TCS sinnvoll sind. **Achtung:** Der Subject-DN in neu ausgestellten TCS-Zertifikaten kann sich unvermittelt ändern, wenn Sectigo Organisationen neu validiert. Client-Authentifizierung mit Prüfung des Subject-DN ist nicht für TCS empfohlen. Wählen Sie hierfür bitte eine andere PKI, z.B. die [[de:dfnpki:dfnvereincommunitypki|DFN-Verein Community PKI]] |
| * Per E-Mail-Einladung aus dem cert-manager heraus: https://doku.tid.dfn.de/de:dfnpki:tcs:usercert#e-mail-einladung | * Per E-Mail-Einladung aus dem cert-manager heraus: https://doku.tid.dfn.de/de:dfnpki:tcs:usercert#e-mail-einladung |
| * Beantragung über SAML/AAI: | * Beantragung über SAML/AAI: |