Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:dfnpki:tcsfaq:ersteschritte [2021/05/18 17:43] Juergen Brauckmannde:dfnpki:tcsfaq:ersteschritte [2024/01/26 16:31] (aktuell) Juergen Brauckmann
Zeile 4: Zeile 4:
  
 1. Domain hinzufügen: 1. Domain hinzufügen:
-   Unter Settings->Domain->Delegations per Button Add die Hauptdomain Ihrer Einrichtung hinzufügen und an Ihre Einrichtung "delegieren"+   Im linken Seiten-Menü unter ''☰→Domains'' per grünem ''+''-Button die Hauptdomain (''example.org''Ihrer Einrichtung hinzufügen und an Ihre Einrichtung "delegieren". Die DFN-PCA muss diese Delegierung manuell bestätigen
-   Unter Settings-Domain->DCV per Button DCV die Domainfreischaltung starten.+   Nach erfolgter Delegierung unter ''☰→Domains'' die Domain auswählen und rechts unter "Domain Control Validation" die Domainfreischaltung starten
 +     * Wenn Sie CAA-Records nutzen, so müssen diese bereits in diesem Schritt zum TCS-Anbieter passen: [[de:dfnpki:tcs:caa|CAA-Records]] 
 +     * Bitte die Validierungsmethode HTTP/HTTPS nur in Einzelfällen verwenden. Mit dieser Methode können nur Zertifikate für die exakte Domain ohne weitere Subdomains oder Hostnamen ausgestellt werden. 
 +     * Bei der Validierungsmethode EMAIL stehen nur die Standard-Adressen ''hostmaster@, postmaster@, usw'' aus der zu validierenden Domain selbst zur Verfügung. Die Kontaktadresse aus dem SOA-Record im DNS kann bei Sectigo **nicht** verwendet werden. Sie müssen auf der zu validierenden Domain E-Mail empfangen können. Andernfalls müssen Sie die Validierungsmethode CNAME verwenden. 
 +   * Erst wenn Ihre Hauptdomain den Zustand "Validated" zeigt: Fügen Sie auch ''*.<hauptdomain>'' (''*.example.org'') hinzu, damit auch FQDNs und Subdomains unterhalb der ''*.<hauptdomain>'' beantragt werden können. Diese ''*.<hauptdomain>'' erhält automatisch ohne weitere Interaktion den Zustand "Validated".
    * Hinweis: Solange die Domain nicht den Zustand "Validated" zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben.    * Hinweis: Solange die Domain nicht den Zustand "Validated" zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben.
-   Unbedingt nach erfolgreicher Domainvalidierung auch *.<hauptdomain> hinzufügen, damit auch FQDN und Subdomains beantragt werden können. +   [[de:dfnpki:tcs:domains]]
-   * https://doku.tid.dfn.de/de:dfnpki:tcsfaq#domainvalidierung_domain_control_validation_dcv+
  
 2. Organisationsvalidierung überprüfen: 2. Organisationsvalidierung überprüfen:
-  * Unter Settings->Organizations überprüfen, dass die Einrichtung den Zustand "Validated" zeigt +  * Unter ''☰→Organizations'' überprüfen, dass die Einrichtung den Zustand "Validated" zeigt 
-  * Hinweis: Solange die Organisation nicht den Zustand "Validated" zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen i#domainvalidierung_domain_control_validation_dcvst normal.+    * Hinweis: Solange die Organisation nicht den Zustand "Validated" zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen ist normal. 
 +  * Für die Beantragung von Zertifikaten per SAML: Unter ''☰→Organizations->Auswahl der Organisation→Button Edit→Stift-Symbol'' das Feld ''Academic code (SCHAC Home Organization)'' auf das von Ihrem Identity Provider gelieferte Attribut ''schacHomeOrganization'' setzen. Siehe [[de:dfnpki:tcs:zugriff_per_aai|Zugriff per AAI]]
  
-3. Weitere Kolleg*innen einbinden: +3. Automatische Benachrichtigungen (Notifications) durch den SCM einrichten: 
-  * Unter Admins->Add weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen. +  * [[de:dfnpki:tcs:scm_notifications|Zertifikatsablauf-Warn-E-Mails und Domain-Validation-Ablauf-Warn-E-Mails einrichten]] 
-  * Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen können, bitte bei dfnpca@dfn-cert.de melden.+ 
 +4. Weitere Kolleg*innen einbinden: 
 +  * Unter ''☰→Settings→Admins->+-Button'' weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen
 +  * Mail-Adressen bitte klein schreiben. ''cert-manager'' quittiert groß geschriebene Mail-Adressen mit einer Fehlermeldung "Please enter a valid email"
 +  * Passworte: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie ''#$%&'' usw. können verwendet werden, Umlaute oder "exotischere" Sonderzeichen wie ''§'' oder ''€'' aber nicht
 +  * Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen, ändern oder löschen dürfen, bitte bei ''dfnpca@dfn-cert.de'' melden. 
 +  * Das Recht, eine Domainfreischaltung (Domain Control Validation, DCV) einzuleiten, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die Domainfreischaltungen starten dürfen, bitte bei ''dfnpca@dfn-cert.de'' melden.
   * Eine Beschreibung der Rechte findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation   * Eine Beschreibung der Rechte findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation
  
-4Nutzerzertifikate beantragen:+5Client-Zertifikate beantragen: 
 +  * Prüfen, für welche Anwendungsfälle Client-Zertifikate aus TCS sinnvoll sind. **Achtung:** Der Subject-DN in neu ausgestellten TCS-Zertifikaten kann sich unvermittelt ändern, wenn Sectigo Organisationen neu validiert. Client-Authentifizierung mit Prüfung des Subject-DN ist  nicht für TCS empfohlen. Wählen Sie hierfür bitte eine andere PKI, z.B. die [[de:dfnpki:dfnvereincommunitypki|DFN-Verein Community PKI]] 
 +  * Per E-Mail-Einladung aus dem cert-manager heraus: https://doku.tid.dfn.de/de:dfnpki:tcs:usercert#e-mail-einladung
   * Beantragung über SAML/AAI:   * Beantragung über SAML/AAI:
-      * Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#saml_fuer_die_beantragung_von_nutzerzertifikaten+      * Unter Mithilfe Ihrer AAI-Administration die Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcs:usercert#ueber_die_aai
       * Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant       * Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant
  
-5. Serverzertifikate beantragen: +6. Serverzertifikate beantragen: 
-  * Über SAML siehe: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#saml_fuer_die_beantragung_von_serverzertifikaten +  * Aus dem cert-manager heraus: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert#direkt_im_cert-manager 
-  * Alternative: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#beantragen_von_zertifikaten_ohne_login_im_cert-managerweb-formulare_mit_access-code+  * Über SAML/AAI: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert#ueber_die_aai 
 +  * ACME: https://doku.tid.dfn.de/de:dfnpki:tcs:servercert_acme 
  
-6. Link zur FAQ: https://doku.tid.dfn.de/de:dfnpki:tcsfaq+7. Link zur FAQ: https://doku.tid.dfn.de/de:dfnpki:tcsfaq
  • Zuletzt geändert: vor 3 Jahren