| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:dfnpki:tcsfaq [2022/10/06 09:38] – [Serverzertifikate] Juergen Brauckmann | de:dfnpki:tcsfaq [2022/10/13 19:05] – [Nutzerzertifikate] Juergen Brauckmann |
|---|
| * Welcher Wert zu setzen ist, können Sie evtl. schon der Ausgabe von https://cert-manager.com/customer/DFN/ssocheck/ entnehmen. Oft entspricht dieser Wert der Haupt-Domain einer Einrichtung, also z.B. ''uni-musterstadt.de''. Im Zweifel wenden Sie sich bitte an Ihre haus-interne AAI-Administration. | * Welcher Wert zu setzen ist, können Sie evtl. schon der Ausgabe von https://cert-manager.com/customer/DFN/ssocheck/ entnehmen. Oft entspricht dieser Wert der Haupt-Domain einer Einrichtung, also z.B. ''uni-musterstadt.de''. Im Zweifel wenden Sie sich bitte an Ihre haus-interne AAI-Administration. |
| * Ihr Identity-Provider muss in eduGAIN eingebunden sein | * Ihr Identity-Provider muss in eduGAIN eingebunden sein |
| * Ihr Identity-Provider muss mindestens die Attribute ''mail'' und ''eduPersonPrincipleName'' an den Service-Provider von Sectigo ausliefern. | * Ihr Identity-Provider muss mindestens die Attribute ''mail'' und ''eduPersonPrincipalName'' an den Service-Provider von Sectigo ausliefern. |
| * Für eine AttributeFilterPolicy für Ihren Identity-Provider, die die gewünschten Attribute an Sectigo überträgt, siehe https://doku.tid.dfn.de/de:shibidp:config-attributes-tcs | * Für eine AttributeFilterPolicy für Ihren Identity-Provider, die die gewünschten Attribute an Sectigo überträgt, siehe https://doku.tid.dfn.de/de:shibidp:config-attributes-tcs |
| |
| - Als "Authorization Method" den Wert "IdP Assertions Mapping" auswählen. **Nicht ''none'' verwenden!** | - Als "Authorization Method" den Wert "IdP Assertions Mapping" auswählen. **Nicht ''none'' verwenden!** |
| - Dann den Button ''Edit'' anwählen | - Dann den Button ''Edit'' anwählen |
| - Hinzufügen von "schacHomeOrganization matches <xyz.de>", mit Plus und Save bestätigen. | - Hinzufügen von "''schacHomeOrganization'' matches ''<xyz.de>''", mit Plus und Save bestätigen. |
| - Wenn Sie diesen Schritt auslassen, können User aus beliebigen Identity-Providern Anträge bei Ihnen einreichen! | - Wenn Sie diesen Schritt auslassen, können User aus beliebigen Identity-Providern Anträge bei Ihnen einreichen! |
| - Den Account insgesamt mittels "Save"-button abspeichern. | - Den Account insgesamt mittels "Save"-button abspeichern. |
| - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit leider mit Thunderbird teilweise inkompatible P12 | - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit leider mit Thunderbird teilweise inkompatible P12 |
| - "Allow empty PKCS12 Password" **nicht** aktivieren. | - "Allow empty PKCS12 Password" **nicht** aktivieren. |
| - Als "Authorization Method" den Wert "none" auswählen. | - Als "Authorization Method" den Wert "none" auswählen. **Achtung'''**: Bitte auf keinen Fall Authoritzation Method ''Access Code'' im Zusammenhang mit client certificates verwenden! Die Nutzenden können bei diesem Antragsweg beliebige Vor- und Nachnamen angeben. Es wird lediglich die E-Mail-Adresse verifiziert, und das Zertifikat anschließend automatisch ausgestellt. Sie haben keine Möglichkeit, Vor- und Nachnamen vor Ausstellung zu verifizieren. Der korrekte Weg für Nutzerzertifikate in TCS führt über die AAI oder E-Mail-Einladungen. |
| - Das Ganze mittels "Save"-button abspeichern. | - Das Ganze mittels "Save"-button abspeichern. |
| |
| |
| Die Schlüsselerzeugung findet stets auf Seiten des Clients und nicht bei Sectigo statt. | Die Schlüsselerzeugung findet stets auf Seiten des Clients und nicht bei Sectigo statt. |
| |
| |
| ===Client Certificate Web Form=== | |
| |
| **Bitte richten Sie keine Accounts zur Nutzung von Web-Formularen für Nutzerzertifikate unter ☰->Enrollment->Enrollment Forms->Client Certificate Web Form ein**. Die Nutzenden können bei diesem Antragsweg beliebige Vor- und Nachnamen angeben. Es wird lediglich die E-Mail-Adresse verifiziert, und das Zertifikat anschließend automatisch ausgestellt. Sie haben keine Möglichkeit, Vor- und Nachnamen vor Ausstellung zu verifizieren. Der korrekte Weg für Nutzerzertifikate in TCS führt über die AAI oder E-Mail-Einladungen. | |
| |
| |
| |