Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:dfnpki:tcsfaq [2021/06/08 14:39] – [REST-API] Juergen Brauckmannde:dfnpki:tcsfaq [2021/06/18 08:11] – [Unterschiede GÉANT Personal und GÉANT IGTF] Juergen Brauckmann
Zeile 22: Zeile 22:
  
 Voraussetzung ist der Abschluss einer Dienstvereinbarung. Das initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de. Voraussetzung ist der Abschluss einer Dienstvereinbarung. Das initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de.
 +
 +=====Erste Schritte=====
 +
 +Überblick über erste Schritte nach Erhalt eines Zugangs: https://doku.tid.dfn.de/de:dfnpki:tcsfaq:ersteschritte
  
 =====Dokumentation===== =====Dokumentation=====
Zeile 129: Zeile 133:
  
 Die dort für "TCS eScience Personal" referenzierten Anforderungen der [[https://www.igtf.org|IGTF]] finden sich im Dokument "IGTF Levels of Authentication Assurance":   https://www.eugridpma.org/guidelines/authn-assurance/igtf-authn-assurance-1.1.pdf Die dort für "TCS eScience Personal" referenzierten Anforderungen der [[https://www.igtf.org|IGTF]] finden sich im Dokument "IGTF Levels of Authentication Assurance":   https://www.eugridpma.org/guidelines/authn-assurance/igtf-authn-assurance-1.1.pdf
- 
-Die in dem Dokumente genannten Anforderungen für "MICS/Birch" sind für die Nutzerzertifikate im Profil "GÉANT IGTF MICS..." relevant, die über AAI/SAML/IdP beantragt werden. Die Anforderungen für "Classic/Cedar" betrifft Nutzerzertifikate der Profile "GÉANT IGTF Classic..." über andere Antragswege. 
  
 Die wichtigsten Punkte: Die wichtigsten Punkte:
Zeile 147: Zeile 149:
 Formal unterscheiden sich die Anforderungen an die Ausstellung von Nutzerzertifikaten für die Zertifikatprofile "GÈANT Personal..." und "GÈANT IGTF...". Erstere haben etwas niedrigere Anforderungen, so ist beispielsweise keine direkte persönliche Identifizierung gefordert, sondern eine Identifizierung anhand einer Kopie eines Lichtbildausweises. Formal unterscheiden sich die Anforderungen an die Ausstellung von Nutzerzertifikaten für die Zertifikatprofile "GÈANT Personal..." und "GÈANT IGTF...". Erstere haben etwas niedrigere Anforderungen, so ist beispielsweise keine direkte persönliche Identifizierung gefordert, sondern eine Identifizierung anhand einer Kopie eines Lichtbildausweises.
  
-Allerdings lässt sich bei den in TCS angebotenen Formularen zur Beantragung in der Regel nicht verhindern, dass Personen GÉANT IGTF-Zertifikate beantragen. Dies bedeutet, dass Sie in der Praxis immer die höheren Anforderungen nach IGTF erfüllen müssen.+Allerdings lässt sich bei den in TCS angebotenen Formularen zur Beantragung in der Regel nicht verhindern, dass Personen GÉANT IGTF-Zertifikate beantragen. Dies bedeutet, dass Sie in der Praxis immer die höheren Anforderungen nach IGTF erfüllen sollten.
  
 ==== Vergleich mit DFN-AAI Advanced ==== ==== Vergleich mit DFN-AAI Advanced ====
Zeile 323: Zeile 325:
  
 Der CAA-Record muss bereits zum Zeitpunkt der Domain-Freischaltung passen, nicht erst zum Zeitpunkt der konkreten Zertifikatausstellung. Der CAA-Record muss bereits zum Zeitpunkt der Domain-Freischaltung passen, nicht erst zum Zeitpunkt der konkreten Zertifikatausstellung.
 +
 +=====Sperrinterface=====
 +
 +Zertifikate sollen hauptsächlich von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden.
 +
 +Die Sperrmechanismen von ACME (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung.
 +
 +Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können 
 +https://secure.sectigo.com/products/RevocationPortal?
 +
 +Hier sind allerdings weitere Authentifizierungsschritte erforderlich, wie beispielsweise die Beantwortung einer E-Mail-Challenge, die Bereitstellung des private Key oder die Signierung eines vorgegebenen Datenobjektes.
 +
 =====Status und Support===== =====Status und Support=====
  
  • Zuletzt geändert: vor 2 Monaten