Erste Schritte in TCS

Die ersten notwendigen Schritte in TCS nach Erhalt eines RAO-Zugangs sind:

1. Domain hinzufügen:

• Unter Settings→Domain→Delegations per Button Add die Hauptdomain (example.org) Ihrer Einrichtung hinzufügen und an Ihre Einrichtung „delegieren“. Die DFN-PCA muss diese Delegierung manuell bestätigen.
• Nach erfolgter Delegierung unter Settings-Domain→DCV per Button „DCV“ die Domainfreischaltung starten.
  • Wenn Sie CAA-Records nutzen, so müssen diese bereits in diesem Schritt zum TCS-Anbieter passen: CAA-Records
• Erst wenn Ihre Hauptdomain den Zustand „Validated“ zeigt: Fügen Sie auch *.<hauptdomain> (*.example.org) hinzu, damit auch FQDNs und Subdomains unterhalb der *.<hauptdomain> beantragt werden können. Diese *.<hauptdomain> erhält automatisch ohne weitere Interaktion den Zustand „Validated“.
• Hinweis: Solange die Domain nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben.
• https://doku.tid.dfn.de/de:dfnpki:tcsfaq#domainvalidierung_domain_control_validation_dcv

2. Organisationsvalidierung überprüfen:

• Unter Settings→Organizations überprüfen, dass die Einrichtung den Zustand „Validated“ zeigt
  • Hinweis: Solange die Organisation nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen ist normal.
• Für die Beantragung von Zertifikaten per SAML: Unter Settings→Organizations→Edit Tab General das Feld Academic code (SCHAC Home Organization) auf das von Ihrem Identity Provider gelieferte Attribut schacHomeOrganization setzen. Siehe SAML

3. Weitere Kolleg*innen einbinden:

• Unter Admins→Add weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen.
• Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen, ändern oder löschen können, bitte bei dfnpca@dfn-cert.de melden.
• Eine Beschreibung der Rechte findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation

4. Nutzerzertifikate beantragen:

• Beantragung über SAML/AAI:
  • Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#nutzerzertifikate1
  • Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant

5. Serverzertifikate beantragen:

• Über SAML siehe: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#serverzertifikate1
• Alternative: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#beantragen_von_zertifikaten_ohne_login_im_cert-managerweb-formulare_mit_access-code

6. Link zur FAQ: https://doku.tid.dfn.de/de:dfnpki:tcsfaq