Dies ist eine alte Version des Dokuments!
Erste Schritte in TCS
Die ersten notwendigen Schritte in TCS nach Erhalt eines RAO-Zugangs sind:
1. Domain hinzufügen:
- Im linken Seiten-Menü unter
Domains
per ButtonAdd
die Hauptdomain (example.org
) Ihrer Einrichtung hinzufügen und an Ihre Einrichtung „delegieren“. Die DFN-PCA muss diese Delegierung manuell bestätigen. - Nach erfolgter Delegierung unter
Domains
die Domain auswählen und rechts unter „Domain Control Validation“ die Domainfreischaltung starten.- Wenn Sie CAA-Records nutzen, so müssen diese bereits in diesem Schritt zum TCS-Anbieter passen: CAA-Records
- Bitte die Validierungsmethode HTTP/HTTPS nur in Einzelfällen verwenden. Sectigo stellt derzeit die Prozesse um, und mit dieser Methode validierte Domains werden nur eingeschränkt nutzbar sein.
- Bei der Validierungsmethode EMAIL stehen nur die Standard-Adressen
hostmaster@, postmaster@, usw
aus der zu validierenden Domain selbst zur Verfügung. Die Kontaktadresse aus dem SOA-Record im DNS kann bei Sectigo nicht verwendet werden. Sie müssen auf der zu validierenden Domain E-Mail empfangen können. Andernfalls müssen Sie die Validierungsmethode CNAME verwenden.
- Erst wenn Ihre Hauptdomain den Zustand „Validated“ zeigt: Fügen Sie auch
*.<hauptdomain>
(*.example.org
) hinzu, damit auch FQDNs und Subdomains unterhalb der*.<hauptdomain>
beantragt werden können. Diese*.<hauptdomain>
erhält automatisch ohne weitere Interaktion den Zustand „Validated“. - Hinweis: Solange die Domain nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Der TCS-Anbieter Sectigo führt die Freischaltung automatisch durch, sobald Sie alle Schritte der Domainfreischaltung korrekt durchgeführt haben.
2. Organisationsvalidierung überprüfen:
- Unter
Organizations
überprüfen, dass die Einrichtung den Zustand „Validated“ zeigt- Hinweis: Solange die Organisation nicht den Zustand „Validated“ zeigt, ist keine Zertifikatbeantragung möglich. Die Organisation wird vom TCS-Anbieter Sectigo validiert; bei Problemen muss ggf. mit dem Support kommuniziert werden. Eine Wartezeit von 1 bis 2 Tagen ist normal.
- Für die Beantragung von Zertifikaten per SAML: Unter Organizations→Edit Tab General das Feld
Academic code (SCHAC Home Organization)
auf das von Ihrem Identity Provider gelieferte AttributschacHomeOrganization
setzen. Siehe SAML
3. Weitere Kolleg*innen einbinden:
- Unter Admins→Add weitere Personen hinzufügen, dabei die gewünschte Rolle auswählen.
- Passworte: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie
#$%&
usw. können verwendet werden, Umlaute oder „exotischere“ Sonderzeichen wie§
oder€
aber nicht. - Das Recht, weitere Admins anzulegen, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die neue Admins anlegen, ändern oder löschen dürfen, bitte bei
dfnpca@dfn-cert.de
melden. - Das Recht, eine Domainfreischaltung (Domain Control Validation, DCV) einzuleiten, wird leider nicht transitiv vererbt. Zur Einbindung weiterer Personen, die Domainfreischaltungen starten dürfen, bitte bei
dfnpca@dfn-cert.de
melden. - Eine Beschreibung der Rechte findet sich in der Dokumentation von Sectigo zu Administrations-Oberfläche, siehe https://doku.tid.dfn.de/de:dfnpki:tcsfaq#dokumentation
4. Nutzerzertifikate beantragen:
- Beantragung über SAML/AAI:
- Unter Mithilfe Ihrer AAI-Administration die Voraussetzungen nach FAQ schaffen: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#nutzerzertifikate1
- Beantragung dann per https://cert-manager.com/customer/DFN/idp/clientgeant
5. Serverzertifikate beantragen:
- Über SAML siehe: https://doku.tid.dfn.de/de:dfnpki:tcsfaq#serverzertifikate1
6. Link zur FAQ: https://doku.tid.dfn.de/de:dfnpki:tcsfaq