Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:dfnpki:tcsfaq [2021/06/03 18:11] – [Was ist TCS?] Juergen Brauckmann | de:dfnpki:tcsfaq [2021/06/08 14:39] – [REST-API] Juergen Brauckmann |
---|
====Grid-Zertifikate (IGTF)==== | ====Grid-Zertifikate (IGTF)==== |
| |
Für Nutzerzertifikate, die um Grid-Umfeld verwendet werden sollen, verwenden Sie bitte eines der IGTF-Profile. | * Für Nutzerzertifikate, die um Grid-Umfeld verwendet werden sollen, verwenden Sie bitte eines der IGTF-Profile. |
| * **Wichtig:** Nur bei dem Antragsweg über SAML (s.u.) wird der DN korrekt gebildet und enthält DC = org, DC = terena, DC = tcs, C = DE, O = <Einrichtung>. Bei anderen Antragswegen (z.B. E-Mail Invitation) entspricht der DN nicht den im Grid-Computing verwendeten Konventionen; eventuell ist das Zertifikat in dem Umfeld nur eingeschränkt nutzbar. |
| |
Die Serverzertifikate aus den Standard-Profilen (z.B. "OV Multi Domain") sind direkt im Grid-Umfeld verwendbar. | * Die Serverzertifikate aus den Standard-Profilen (z.B. "OV Multi Domain") sind direkt im Grid-Umfeld verwendbar. |
| |
=====Identifizierung und Dokumentation===== | =====Identifizierung und Dokumentation===== |
Die REST-API kann nur dann zum Enrollment verwendet werden, wenn unter Settings->Organizations per Button Edit in den Tabs "SSL Certificate" bzw. "Client Certificate" die Checkbox "Web-API" angekreuzt ist und ein Secret-Key eingetragen ist. Der Secret-Key wird zwar nur für eine veraltete SOAP-API aktiv verwendet, muss aber trotzdem vergeben werden. | Die REST-API kann nur dann zum Enrollment verwendet werden, wenn unter Settings->Organizations per Button Edit in den Tabs "SSL Certificate" bzw. "Client Certificate" die Checkbox "Web-API" angekreuzt ist und ein Secret-Key eingetragen ist. Der Secret-Key wird zwar nur für eine veraltete SOAP-API aktiv verwendet, muss aber trotzdem vergeben werden. |
| |
Es ist entweder Nutzername/Passwort eines im Cert-Manager angelegten Nutzers zu übergeben, oder aber eine Client-Authentifizierung per Zertifikat. | Es ist entweder Login/Passwort eines im Cert-Manager angelegten Account zu übergeben, oder aber eine Client-Authentifizierung per Zertifikat. |
| |
Tipp: Man kann einen Nutzer in seiner Rolle so einschränken, dass ausschließlich der REST-API-Zugang verwendet werden kann. Hierzu unter Admins-><Auswahl>->Edit die Checkbox "WS API Only" ankreuzen. (Wichtig: Erst nachträglich nach der Vergabe des endgültigen Passworts setzen!) | Tipp: Man kann einen Account in seiner Rolle so einschränken, dass ausschließlich der REST-API-Zugang verwendet werden kann. Hierzu unter Admins-><Auswahl>->Edit die Checkbox "WS API Only" ankreuzen. (Wichtig: Erst nachträglich nach der Vergabe des endgültigen Passworts setzen!) |
| |
Beispiel für die Beantragung von Serverzertifikaten: | Beispiel für die Beantragung von Serverzertifikaten: |
Die <Nummer des Zertifikatprofils> muss einmalig mit folgendem Aufruf ermittelt werden: | Die <Nummer des Zertifikatprofils> muss einmalig mit folgendem Aufruf ermittelt werden: |
| |
<code>curl 'https://cert-manager.com/api/ssl/v1/types' -H "password: $PASS" -i -X GET \ | <code>curl 'https://cert-manager.com/api/ssl/v1/types' -i -X GET \ |
-H "Content-Type: application/json;charset=utf-8" \ | -H "Content-Type: application/json;charset=utf-8" \ |
-H "login: <account>" \ | -H "login: <account>" \ |
Ausgestellte Zertifikate können mit folgendem Aufruf abgeholt werden: | Ausgestellte Zertifikate können mit folgendem Aufruf abgeholt werden: |
| |
<code>curl 'https://cert-manager.com/api/ssl/v1/collect/<Antragsnummer>/<Format>' -H "password: $PASS" -i -X GET \ | <code>curl 'https://cert-manager.com/api/ssl/v1/collect/<Antragsnummer>/<Format>' -i -X GET \ |
-H "Content-Type: application/json;charset=utf-8" \ | -H "Content-Type: application/json;charset=utf-8" \ |
-H "login: <account>" \ | -H "login: <account>" \ |