Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:dfnpki:tcsfaq [2021/06/08 14:39] – [REST-API] Juergen Brauckmannde:dfnpki:tcsfaq [2021/06/18 08:10] – [Welche Anforderungen bestehen an die Identifizierung und Dokumentation für persönliche Zertifikate (client certificates, Nutzerzertifikate)?] Juergen Brauckmann
Zeile 22: Zeile 22:
  
 Voraussetzung ist der Abschluss einer Dienstvereinbarung. Das initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de. Voraussetzung ist der Abschluss einer Dienstvereinbarung. Das initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de.
 +
 +=====Erste Schritte=====
 +
 +Überblick über erste Schritte nach Erhalt eines Zugangs: https://doku.tid.dfn.de/de:dfnpki:tcsfaq:ersteschritte
  
 =====Dokumentation===== =====Dokumentation=====
Zeile 129: Zeile 133:
  
 Die dort für "TCS eScience Personal" referenzierten Anforderungen der [[https://www.igtf.org|IGTF]] finden sich im Dokument "IGTF Levels of Authentication Assurance":   https://www.eugridpma.org/guidelines/authn-assurance/igtf-authn-assurance-1.1.pdf Die dort für "TCS eScience Personal" referenzierten Anforderungen der [[https://www.igtf.org|IGTF]] finden sich im Dokument "IGTF Levels of Authentication Assurance":   https://www.eugridpma.org/guidelines/authn-assurance/igtf-authn-assurance-1.1.pdf
- 
-Die in dem Dokumente genannten Anforderungen für "MICS/Birch" sind für die Nutzerzertifikate im Profil "GÉANT IGTF MICS..." relevant, die über AAI/SAML/IdP beantragt werden. Die Anforderungen für "Classic/Cedar" betrifft Nutzerzertifikate der Profile "GÉANT IGTF Classic..." über andere Antragswege. 
  
 Die wichtigsten Punkte: Die wichtigsten Punkte:
Zeile 323: Zeile 325:
  
 Der CAA-Record muss bereits zum Zeitpunkt der Domain-Freischaltung passen, nicht erst zum Zeitpunkt der konkreten Zertifikatausstellung. Der CAA-Record muss bereits zum Zeitpunkt der Domain-Freischaltung passen, nicht erst zum Zeitpunkt der konkreten Zertifikatausstellung.
 +
 +=====Sperrinterface=====
 +
 +Zertifikate sollen hauptsächlich von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden.
 +
 +Die Sperrmechanismen von ACME (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung.
 +
 +Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können 
 +https://secure.sectigo.com/products/RevocationPortal?
 +
 +Hier sind allerdings weitere Authentifizierungsschritte erforderlich, wie beispielsweise die Beantwortung einer E-Mail-Challenge, die Bereitstellung des private Key oder die Signierung eines vorgegebenen Datenobjektes.
 +
 =====Status und Support===== =====Status und Support=====
  
  • Zuletzt geändert: vor 2 Monaten