Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:dfnpki:tcsfaq [2021/04/28 09:03] – [Welchen Zertifikattyp für welchen Zweck/Service?] Juergen Brauckmann | de:dfnpki:tcsfaq [2024/04/15 16:12] – [Wie erhalten Einrichtungen einen Zugang?] Reimer Karlsen-Masur | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | Auf dieser Seite stellen wir den Teilnehmern | + | **Diese FAQ richtet sich primär an die Teilnehmerservices an den an der DFN-PKI |
- | =====Was ist TCS?===== | + | =====Wie erhalten Einrichtungen einen Zugang?===== |
- | TCS (Trust Certificate Service) ist ein PKI-Angebot, | + | Ein Zugang zu TCS kann über den Kontakt [[pki@dfn.de|pki@dfn.de]] beauftragt |
- | Überblick über den Dienst bei GÉANT: https://www.geant.org/ | + | Das initiale Setup erfolgt dann in direkter Absprache mit [[dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]. |
- | Der DFN-Verein führt das Angebot zur Zeit in einer Pilotphase ein. | + | ====Gibt es eine Testumgebung für TCS REST API und die Webseiten? |
- | =====Was bedeutet Pilotphase? | + | Der TCS-Anbieter Sectigo stellt keine Testumgebung zur Verfügung. |
- | In der Pilotphase werden die Prozesse zum Ausrollen des Angebots an alle Teilnehmer der DFN-PKI mit einem eingeschränkten Nutzerkreis erprobt. Die Erprobung ist nicht nur in Bezug auf die internen Prozesse der DFN-PCA zur Versorgung der Teilnehmer notwendig, sondern auch zur Einschätzung der Abläufe und Vorgehensweisen des TCS-Anbieters insbesondere im Bereich der Organisationsvalidierung. | + | =====Erste Schritte===== |
- | Hierdurch kann leider noch nicht jeder Einrichtung, | + | Überblick über erste Schritte nach Erhalt eines Zugangs: [[de: |
- | Wenn genügend Erfahrungen vorliegen, wird das Angebot an alle Teilnehmer der DFN-PKI ausgerollt. Nach derzeitigem Stand wird dies im Sommer 2021 der Fall sein. | + | =====Dokumentation===== |
- | =====Wie erhalten Einrichtungen einen Zugang? | + | Bei GÉANT gibt es eine Zusammenstellung von FAQs: [[https:// |
- | + | ||
- | Nach Abschluss der Pilotphase (voraussichtlich Sommer 2021) wird der DFN-Verein auf alle Teilnehmer der DFN-PKI zukommen, um einen Zugang zu TCS zu geben. | + | |
- | + | ||
- | Voraussetzung ist der Abschluss einer Dienstvereinbarung. Das initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de. | + | |
- | + | ||
- | =====Dokumentation===== | + | |
- | Bei GÉANT gibt es eine Zusammenstellung | + | Die Dokumentation |
- | Die Dokumentation von Sectigo zur Administrations-Oberfläche und zu ACME ist zu finden | + | Die REST-API ist dokumentiert |
- | Die REST-API ist dokumentiert unter https://support.sectigo.com/Com_KnowledgeDetailPage? | + | Sectigo unterhält einen Youtube-Kanal mit vielen Tutorials: |
=====Datenschutz===== | =====Datenschutz===== | ||
- | Eine Bewertung von GÈANT zu Fragen zu Datenschutz und DSGVO liegt vor: https:// | + | Hinweise zum Datenschutz und der vertraglichen Konstruktion: |
+ | [[de:dfnpki:tcs: | ||
=====Funktionsüberblick===== | =====Funktionsüberblick===== | ||
- | Anwender haben Zugriff über die Administrations-Oberfläche unter https:// | + | Anwender haben Zugriff über die Administrations-Oberfläche, genannt " |
- | Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Nutzerzertifikaten | + | Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Client-Zertifikaten |
TCS bietet zusätzlich: | TCS bietet zusätzlich: | ||
- | * Web-Formulare zum Beantragen von Zertifikaten für nicht in cert-manager.com eingeloggte Benutzer | + | * Web-Formulare zum Beantragen von Zertifikaten für nicht in cert-manager.com eingeloggte Benutzer |
* Eine Ausstellung von Zertifikaten über eine SAML-Integration | * Eine Ausstellung von Zertifikaten über eine SAML-Integration | ||
- | * Eine ACME-Schnittstele | + | * Eine ACME-Schnittstelle |
- | * Eine REST-API. | + | * Eine REST-API |
+ | |||
+ | Es gibt **keine** Testumgebung. | ||
- | =====Organisationsvalidierung===== | ||
- | Der Anbieter muss die Existenz | + | =====Rollen, |
- | Die Stammdaten der Organisation | + | In SCM gibt es verschiedene Rollen und Möglichkeiten zur Anmeldung. Es können |
+ | [[de: | ||
- | =====Rollen===== | + | ===== Tipps und Tricks in SCM ===== |
- | Es wird zwischen verschiedenen Rollen unterschieden, | + | [[de: |
- | * RAO und DRAO sind Registration Authority Officer auf Organisations- oder Department-(Abteilungs)-Ebene. Je nach den diesen Accounts bei der Einrichtung zugewiesenen Rechten können RAO/DRAO weitere RAOs/DRAOs anlegen oder modifizieren, | ||
- | Der erste RAO einer Einrichtung wird von der DFN-PCA angelegt. Weitere RAOs oder DRAOs können dann eigenständig angelegt und verwaltet werden. Es ist keine weitere Kommunikation mit der DFN-PCA erforderlich. | + | =====Zugriff per AAI===== |
- | * Privilegien ermöglichen u.a. das Anlegen oder modifizieren von weiteren RAOs/DRAOs. Die meisten Privilegien | + | Viele Funktionen im cert-manager |
- | * API-Only-User: Ein RAO/DRAO kann auf API-Only eingeschränkt werden (Privileg " | + | |
- | =====Departments===== | + | =====Benachrichtigungen===== |
- | Zur weiteren Strukturierung | + | Um Benachrichtigungen über Ereignisse wie den Ablauf von Zertifikaten oder der Gültigkeit von Domain-Valididierungen zu erhalten, können Benachrichtigungen konfiguriert werden: [[de: |
- | Es können dann DRAOs angelegt werden, die nur innerhalb der zugewiesenen Abteilung Zertifikate verwalten können. | + | =====Domains und IPv4-Adressen in Zertifikaten===== |
- | =====Domainvalidierung, Domain Control Validation (DCV)===== | + | Um Zertifikate zu erhalten, müssen die entsprechenden Domains oder IPv4-Adressen **vorab** bei Sectigo im System eingetragen werden. |
+ | Eine detaillierte Beschreibung ist verfügbar unter: [[de: | ||
- | Um Zertifikate zu erhalten, müssen die entspr. Domains unter Settings-> | ||
- | Wichtig: Nach dem Eintragen und der Validierung müssen die Domains an eine Organization " | + | =====Zertifikate erstellen===== |
- | Domainvalidierungen können über Settings-> | + | [[de: |
- | Nach derzeitigem Kenntnisstand muss zunächst die Hauptdomain eingetragen und validiert werden, z.B. example.org. Nach erfolgreicher Validierung kann dann ein Sternchen-Eintrag *.example.org erzeugt werden. Nur mit dem Sternchen-Eintrag scheinen Zertifikate zu beliebigen FQDN erzeugt werden können. | + | [[de: |
- | =====Zertifikattypen===== | + | [[de: |
- | ====Welchen Zertifikattyp für welchen Zweck/ | + | |
- | * Die Serverzertifikate ("OV SSL", "OV Multi-Domain" | + | [[de:dfnpki:tcs:documentsigning|Document Signing]] |
- | * Die Nutzerzertifikate (" | + | |
- | * Die Code-Signing Zertifikate sind für die Signatur von Java JARs & MS Office Macros verwendbar. Für höherwertigen Trust müssen EV Code-Signing-Zertifikate separat bestellt werden. https:// | + | |
- | ====Extended Validation Zertifikate (EV)==== | + | [[de: |
- | EV-Zertifikate können nur erstellt werden, nachdem in cert-manager ein sog. EV Anchor angelegt wurde. Dies ist ein spezielles administratives Zertifikat, dessen Ausstellung von allen Prozeduren zur besonderen Prüfung nach EV-Standard begleitet wurde. | + | [[de: |
- | * Bitte versuchen Sie auf keinen Fall, ein normales EV-Zertifikat vor der Erstellung eines EV Anchors zu beantragen. | ||
- | * Vor der Erstellung eines EV-Anchors müssen die EV-Informationen unter Settings-> | + | ====CA- und Root-Zertifikate in TCS==== |
- | Die Anleitung im GÈANT FAQ ist zu finden | + | Die uns bekannten Root- und CA-Zertifikate in TCS sind dokumentiert |
- | Versuchen Sie auf keinen Fall mehrere EV Anchor zu erstellen. | + | |
- | ====Document Signing==== | ||
- | Für spezielle Document Signing Zertifikate, | ||
- | https:// | + | =====CAA-Records===== |
- | =====Identifizierung und Dokumentation===== | + | Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken: |
- | ====Welche Anforderungen bestehen an die Identifizierung und Dokumentation für persönliche Zertifikate (client certificates, Nutzerzertifikate)? | + | |
- | Die Anforderungen an die Identifizierung und die Dokumentation für Nutzerzertifikate sind im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates festgehalten: | + | [[de:dfnpki: |
- | https:// | + | =====Zertifikate sperren (Revoke, Revocation)===== |
- | Die höchsten Anforderungen bestehen bei "TCS eScience Personal" | + | Zertifikate sollen üblicherweise von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden. |
- | ====Welche Anforderung bestehen bei Serverzertifikaten | + | Die [[de: |
- | Die Anforderungen an die Identifizierung und die Dokumentation für Serverzertifikate sind im TCS Certification Practice Statement - Server, eScience Server and Code Signing Certificates festgehalten: | + | Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können: |
+ | https:// | ||
- | https:// | + | Hier sind allerdings weitere Authentifizierungsschritte erforderlich, |
- | =====Beantragen von Zertifikaten ohne Login im cert-manager: | ||
- | Mit Web-Formularen können Nutzer ohne eigenen Login in cert-manager Zertifikate beantragen. Zur Einrichtung eines Web-Formulars wird von einem RAO unter Settings-> | ||
- | Mit " | + | ======Audits====== |
- | **Bitte richten Sie keine Web-Formulare für Nutzerzertifikate ein**. Die Nutzer können bei diesem Antragsweg beliebige Vor- und Nachnamen angeben, und Sie haben keine Möglichkeit, | + | Im Gegensatz zur DFN-PKI sind in GÉANT |
- | **Für SSL Web Forms setzen Sie bitte auf keinen Fall die Checkbox " | + | Im [[https:// |
- | Die URL ist für alle Web-Formulare aller Einrichtungen im DFN-Mandanten von TCS identisch: https:// | + | < |
+ | </code> | ||
- | Erst der Access Code sorgt für die Zuordnung eines Antrags zu Ihrer Einrichtung. | + | =====Statusmeldungen und Wartungsankündigungen===== |
- | =====Wie können Zertifikate mit mehreren Servernamen erstellt werden? | + | Statusmeldungen und Wartungsankündigungen der Sectigo-Services sind sichtbar über: https:// |
- | Zertifikate mit mehreren Servernamen (FQDN) | + | Die Meldungen |
- | =====Was ist ein " | + | =====Support===== |
- | Ein External Requester wird optional | + | Wir helfen auch bei technischen Schwierigkeiten mit den TCS-Systemen gerne weiter: [[dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]] |
- | =====Wie können Wildcard-Zertifikate erzeugt werden? | + | Ein direkter Kontakt mit dem englischsprachigen Sectigo Support ist auch möglich. Das Support-Portal von Sectigo ist erreichbar unter: https:// |
- | Im Profil | + | Bitte unbedingt den folgenden Hinweis einfügen: |
- | =====SAML===== | + | Es ist zu empfehlen, vor einer direkten Kontaktaufnahme zum Sectigo Support mit uns zu sprechen. |
- | Ein Einrichtungs-eigener IdP aus der DFN-AAI kann für drei verschiedene Zwecke an das TCS-System angebunden werden. | + | ===Support-Tickets für die Validierung (DCV) von IP-Adressen=== |
+ | Sofern Sie ein Ticket | ||
- | Unter https://cert-manager.com/customer/DFN/ssocheck/ steht ein Test-SP bereit, mit dem die übergebenen Attribute eingesehen werden können. | + | ===Support-Tickets für Anträge von Code-Signing-Zertifikate=== |
+ | Sofern Sie ein Ticket für die Bearbeitung von [[de:dfnpki: | ||
- | ====SAML für Login in cert-manager.com==== | + | Die Order Number ist zwingend anzugeben. Sie ist im SCM unter ☰→Certificates→Code Signing einsehbar. |
- | Mit diesem Weg können sich RAOs oder DRAOs in cert-manager.com einloggen. Eine Beschreibung der Voraussetzungen ist zu finden unter: https:// | + | =====E-Mail-Verteilerliste dfnpki-d===== |
- | Hierbei gibt es zwei verschiedene Wege: | + | Auf [[https://listserv.dfn.de]] ist die E-Mail-Verteilerliste mailto: |
- | - Bei einem per Admins, Button " | + | |
- | | + | |
- | ====SAML für die Beantragung von Serverzertifikaten==== | + | Eine Anmeldung |
- | + | ||
- | Über diesen Weg können direkt per AAI-Login Serverzertifikate beantragt werden. | + | |
- | + | ||
- | Der IdP muss in eduGain eingebunden sein. Über Settings-> | + | |
- | + | ||
- | Mit der Checkbox " | + | |
- | + | ||
- | Ist diese Checkbox nicht aktiviert, müssen die Anträge von einem RAO oder DRAO über Certificates-> | + | |
- | + | ||
- | ====SAML | + | |
- | + | ||
- | Über diesen Weg können Nutzer direkt per AAI-Login Nutzerzertifikate beziehen. Die Zertifikate werden automatisch ohne weiteren Genehmigungsschritt ausgestellt. | + | |
- | + | ||
- | In der Verwaltungsoberfläche müssen unter Settings-> | + | |
- | + | ||
- | Der IdP muss in eduGain eingebunden sein und alle Attribute wie in folgender Beschreibung von GÈANT freigeben: https:// | + | |
- | + | ||
- | + | ||
- | Insbesondere muss ein eduPersonEntitlement urn: | + | |
- | + | ||
- | Bitte beachten Sie die Identifizierungsvoraussetzungen, | + | |
- | + | ||
- | + | ||
- | Wenn diese Voraussetzungen gegeben sind, können über https:// | + | |
- | + | ||
- | Die Zertifikate werden automatisiert, | + | |
- | + | ||
- | Achtung: Unter Settings-> | + | |
- | + | ||
- | =====ACME===== | + | |
- | ====ACME-Accounts==== | + | |
- | + | ||
- | Zur Nutzung von ACME müssen im cert-manager.com spezielle ACME-Accounts angelegt werden. Hierzu muss unter Settings-> | + | |
- | + | ||
- | Achtung: Zustände von ACME-Accounts sind anscheinend nicht notwendigerweise komplett synchron zu Hintergrundsystemen bei Sectigo. Im Test konnte bspw. ein ACME-Account nicht direkt, sondern erst nach einer Wartezeit über Nacht gelöscht werden. | + | |
- | + | ||
- | ====Ausstellen==== | + | |
- | + | ||
- | Vorausgesetzt, | + | |
- | + | ||
- | < | + | |
- | + | ||
- | Der ACME-Account ist anschließend auf dem System, auf dem die o.g. Zeile aufgerufen wurde, mit einem dort abgelegten Account-Key verknüpft und kann nicht ohne weiteres auf anderen Systemen durch einfache erneute Eingabe von eab-kid und eab-hmac-key verwendet werden. | + | |
- | + | ||
- | Um einen ACME-Account auf mehreren Systemen zu verwenden, muss die Account-Information des ACME-Clients kopiert werden. Für certbot liegen die Account-Informationen in / | + | |
- | + | ||
- | Ein Ansible-Gerüst zum zentralen Erstellen eines ACME-Accounts per REST-API und zum Bezug von Zertifikaten per ACME findet sich unter https://github.com/ | + | |
- | + | ||
- | Achtung: Per ACME ausgestellte Zertifikate sind nicht in cert-manager.com sichtbar! | + | |
- | + | ||
- | ====ACME-Zertifikate sperren==== | + | |
- | + | ||
- | Per ACME ausgestellte Zertifikate können nur per ACME-Client wie certbot gesperrt werden. certbot benötigt Zugriff auf die Account-Informationen von der initialen Ausstellung des Zertifikats. Wenn diese Voraussetzung gegeben ist, kann folgendermaßen gesperrt werden: | + | |
- | + | ||
- | < | + | |
- | + | ||
- | =====REST-API===== | + | |
- | + | ||
- | Die Systeme von Sectigo können per REST-API angesprochen werden. Eine Dokumentation hierzu finden Sie unter: https://support.sectigo.com/ | + | |
- | + | ||
- | Die REST-API kann nur dann zum Enrollment verwendet werden, wenn unter Settings-> | + | |
- | + | ||
- | Es ist stets Nutzername/ | + | |
- | + | ||
- | Tipp: Man kann einen Nutzer in seiner Rolle so einschränken, | + | |
- | + | ||
- | Beispiel für die Beantragung von Serverzertifikaten: | + | |
- | + | ||
- | < | + | |
- | -H " | + | |
- | -H " | + | |
- | -H " | + | |
- | -H " | + | |
- | | + | |
- | + | ||
- | Die < | + | |
- | + | ||
- | Die <Nummer des Zertifikatprofils> | + | |
- | + | ||
- | < | + | |
- | -H " | + | |
- | -H " | + | |
- | -H " | + | |
- | -H " | + | |
- | + | ||
- | Ausgestellte Zertifikate können mit folgendem Aufruf abgeholt werden: | + | |
- | + | ||
- | < | + | |
- | -H " | + | |
- | -H " | + | |
- | -H " | + | |
- | -H " | + | |
- | + | ||
- | < | + | |
- | + | ||
- | < | + | |
- | + | ||
- | Für Nutzerzertifikate ist die Beantragung ähnlich aufgebaut. Die Aufrufe müssen an https:// | + | |
- | + | ||
- | =====Schlüsselerzeugung bei Nutzerzertifikaten===== | + | |
- | + | ||
- | Die Schüsselerzeugung bei Nutzerzertifikaten (" | + | |
- | + | ||
- | Bei der Einrichtung einer Organisation oder eines Departments kann ausgewählt werden, ob für die auf Serverseite erzeugten Schlüssel eine Schlüsselhinterlegung stattfinden soll. Wenn ja, wird vor dem Ausstellen von Nutzerzertifikaten von der Organisation oder dem Department durch die Rollen RAO oder DRAO ein Master Encryption Key erzeugt. Dieser Master Encryption Key liegt anschließend ausschließlich innerhalb der Organisation oder des Departments vor. | + | |
- | + | ||
- | Die geheimen Schlüssel der Nutzer werden dann an diesen Master Encryption Key verschlüsselt. | + | |
- | + | ||
- | Ein RAO oder DAO kann geheime Schlüssel von Nutzern wiederherstellen, | + | |
- | + | ||
- | Zertifikate, | + | |
- | + | ||
- | =====CAA-Records===== | + | |
- | + | ||
- | Wenn Sie CAA-Records setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, | + | |
- | + | ||
- | < | + | |
- | + | ||
- | =====Support===== | + | |
- | Wir helfen gerne per dfnpca@dfn-cert.de | ||
- | Ein direkter Kontakt mit dem Sectigo Support ist auch möglich, es ist aber zu empfehlen zunächst mit uns zu sprechen. Das Support-Portal von Sectigo ist erreichbar unter: https:// |