Dies ist eine alte Version des Dokuments!
Erste Schritte in TCS
Die ersten notwendigen Schritte in TCS nach Erhalt eines RAO-Zugangs sind:
1. Domain hinzufügen:
- Unter Settings→Domain→Delegations per Button Add die Hauptdomain (
example.org) Ihrer Einrichtung hinzufügen und an Ihre Einrichtung „delegieren“. Die DFN-PCA muss diese Delegierung manuell bestätigen. - Nach erfolgter Delegierung unter Settings-Domain→DCV per Button „DCV“ die Domainfreischaltung starten.
- Wenn Sie CAA-Records nutzen, so müssen diese bereits in diesem Schritt zum TCS-Anbieter passen: CAA-Records
- Erst wenn Ihre Hauptdomain den Zustand „Validated“ zeigt: Fügen Sie auch
*.<hauptdomain>(*.example.org) hinzu, damit auch FQDNs und Subdomains unterhalb der*.<hauptdomain>beantragt werden können. Diese*.<hauptdomain>erhält automatisch ohne weitere Interaktion den Zustand „Validated“. - Hinweis: Solange die Domain nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben.
- Die Domainfreischaltung per E-Mail-Challenge funktioniert bei TCS in einem wichtigen Detail anders: Während in der DFN-PKI die E-Mail-Adresse aus dem SOA-Record im DNS zusätzlich zu den Standardadressen
hostmaster@<domain>,webmaster@<domain>,postmaster@<domain>,admin@<domain>undadministrator@<domain>zur Auswahl steht, um E-Mail-Challenges zu versenden, gibt es bei TCS nur die Standardadressen. Dies kann bei Domains, für die gar keine E-Mail-Adressen (und insbesondere keine dieser Standardadressen) aufgesetzt sind, problematisch sein. Hier helfen dann die weiteren Validierungsmethoden von TCS, die direkt auf DNS oder HTTPS aufsetzen.
2. Organisationsvalidierung überprüfen:
- Unter Settings→Organizations überprüfen, dass die Einrichtung den Zustand „Validated“ zeigt
- Hinweis: Solange die Organisation nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen ist normal.
- Für die Beantragung von Zertifikaten per SAML: Unter Settings→Organizations→Edit Tab General das Feld
Academic code (SCHAC Home Organization)auf das von Ihrem Identity Provider gelieferte AttributschacHomeOrganizationsetzen. Siehe SAML
3. Weitere Kolleg*innen einbinden:
- Unter Admins→Add weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen.
- Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen, ändern oder löschen dürfen, bitte bei
dfnpca@dfn-cert.demelden. - Das Recht, eine Domainfreischaltung (Domain Control Validation, DCV) einzuleiten, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die Domainfreischaltungen starten dürfen, bitte bei
dfnpca@dfn-cert.demelden. - Eine Beschreibung der Rechte findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation
4. Nutzerzertifikate beantragen:
- Beantragung über SAML/AAI:
- Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#nutzerzertifikate1
- Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant
5. Serverzertifikate beantragen:
- Über SAML siehe: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#serverzertifikate1
6. Link zur FAQ: https://doku.tid.dfn.de/de:dfnpki:tcsfaq