| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:dfnpki:tcsfaq [2021/06/03 18:11] – [Was ist TCS?] Juergen Brauckmann | de:dfnpki:tcsfaq [2021/06/10 14:55] – Sperrinterface Juergen Brauckmann |
|---|
| ====Grid-Zertifikate (IGTF)==== | ====Grid-Zertifikate (IGTF)==== |
| |
| Für Nutzerzertifikate, die um Grid-Umfeld verwendet werden sollen, verwenden Sie bitte eines der IGTF-Profile. | * Für Nutzerzertifikate, die um Grid-Umfeld verwendet werden sollen, verwenden Sie bitte eines der IGTF-Profile. |
| | * **Wichtig:** Nur bei dem Antragsweg über SAML (s.u.) wird der DN korrekt gebildet und enthält DC = org, DC = terena, DC = tcs, C = DE, O = <Einrichtung>. Bei anderen Antragswegen (z.B. E-Mail Invitation) entspricht der DN nicht den im Grid-Computing verwendeten Konventionen; eventuell ist das Zertifikat in dem Umfeld nur eingeschränkt nutzbar. |
| |
| Die Serverzertifikate aus den Standard-Profilen (z.B. "OV Multi Domain") sind direkt im Grid-Umfeld verwendbar. | * Die Serverzertifikate aus den Standard-Profilen (z.B. "OV Multi Domain") sind direkt im Grid-Umfeld verwendbar. |
| |
| =====Identifizierung und Dokumentation===== | =====Identifizierung und Dokumentation===== |
| Die REST-API kann nur dann zum Enrollment verwendet werden, wenn unter Settings->Organizations per Button Edit in den Tabs "SSL Certificate" bzw. "Client Certificate" die Checkbox "Web-API" angekreuzt ist und ein Secret-Key eingetragen ist. Der Secret-Key wird zwar nur für eine veraltete SOAP-API aktiv verwendet, muss aber trotzdem vergeben werden. | Die REST-API kann nur dann zum Enrollment verwendet werden, wenn unter Settings->Organizations per Button Edit in den Tabs "SSL Certificate" bzw. "Client Certificate" die Checkbox "Web-API" angekreuzt ist und ein Secret-Key eingetragen ist. Der Secret-Key wird zwar nur für eine veraltete SOAP-API aktiv verwendet, muss aber trotzdem vergeben werden. |
| |
| Es ist entweder Nutzername/Passwort eines im Cert-Manager angelegten Nutzers zu übergeben, oder aber eine Client-Authentifizierung per Zertifikat. | Es ist entweder Login/Passwort eines im Cert-Manager angelegten Account zu übergeben, oder aber eine Client-Authentifizierung per Zertifikat. |
| |
| Tipp: Man kann einen Nutzer in seiner Rolle so einschränken, dass ausschließlich der REST-API-Zugang verwendet werden kann. Hierzu unter Admins-><Auswahl>->Edit die Checkbox "WS API Only" ankreuzen. (Wichtig: Erst nachträglich nach der Vergabe des endgültigen Passworts setzen!) | Tipp: Man kann einen Account in seiner Rolle so einschränken, dass ausschließlich der REST-API-Zugang verwendet werden kann. Hierzu unter Admins-><Auswahl>->Edit die Checkbox "WS API Only" ankreuzen. (Wichtig: Erst nachträglich nach der Vergabe des endgültigen Passworts setzen!) |
| |
| Beispiel für die Beantragung von Serverzertifikaten: | Beispiel für die Beantragung von Serverzertifikaten: |
| Die <Nummer des Zertifikatprofils> muss einmalig mit folgendem Aufruf ermittelt werden: | Die <Nummer des Zertifikatprofils> muss einmalig mit folgendem Aufruf ermittelt werden: |
| |
| <code>curl 'https://cert-manager.com/api/ssl/v1/types' -H "password: $PASS" -i -X GET \ | <code>curl 'https://cert-manager.com/api/ssl/v1/types' -i -X GET \ |
| -H "Content-Type: application/json;charset=utf-8" \ | -H "Content-Type: application/json;charset=utf-8" \ |
| -H "login: <account>" \ | -H "login: <account>" \ |
| Ausgestellte Zertifikate können mit folgendem Aufruf abgeholt werden: | Ausgestellte Zertifikate können mit folgendem Aufruf abgeholt werden: |
| |
| <code>curl 'https://cert-manager.com/api/ssl/v1/collect/<Antragsnummer>/<Format>' -H "password: $PASS" -i -X GET \ | <code>curl 'https://cert-manager.com/api/ssl/v1/collect/<Antragsnummer>/<Format>' -i -X GET \ |
| -H "Content-Type: application/json;charset=utf-8" \ | -H "Content-Type: application/json;charset=utf-8" \ |
| -H "login: <account>" \ | -H "login: <account>" \ |
| |
| Der CAA-Record muss bereits zum Zeitpunkt der Domain-Freischaltung passen, nicht erst zum Zeitpunkt der konkreten Zertifikatausstellung. | Der CAA-Record muss bereits zum Zeitpunkt der Domain-Freischaltung passen, nicht erst zum Zeitpunkt der konkreten Zertifikatausstellung. |
| | |
| | =====Sperrinterface===== |
| | |
| | Zertifikate sollen hauptsächlich von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden. |
| | |
| | Die Sperrmechanismen von ACME (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung. |
| | |
| | Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können |
| | https://secure.sectigo.com/products/RevocationPortal? |
| | |
| | Hier sind allerdings weitere Authentifizierungsschritte erforderlich, wie beispielsweise die Beantwortung einer E-Mail-Challenge, die Bereitstellung des private Key oder die Signierung eines vorgegebenen Datenobjektes. |
| | |
| =====Status und Support===== | =====Status und Support===== |
| |