Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:dfnpki:tcsfaq [2022/10/14 16:53] – [Nutzerzertifikate] Juergen Brauckmann | de:dfnpki:tcsfaq [2022/11/10 13:00] – [Voraussetzungen] Juergen Brauckmann |
---|
* Welcher Wert zu setzen ist, können Sie evtl. schon der Ausgabe von https://cert-manager.com/customer/DFN/ssocheck/ entnehmen. Oft entspricht dieser Wert der Haupt-Domain einer Einrichtung, also z.B. ''uni-musterstadt.de''. Im Zweifel wenden Sie sich bitte an Ihre haus-interne AAI-Administration. | * Welcher Wert zu setzen ist, können Sie evtl. schon der Ausgabe von https://cert-manager.com/customer/DFN/ssocheck/ entnehmen. Oft entspricht dieser Wert der Haupt-Domain einer Einrichtung, also z.B. ''uni-musterstadt.de''. Im Zweifel wenden Sie sich bitte an Ihre haus-interne AAI-Administration. |
* Ihr Identity-Provider muss in eduGAIN eingebunden sein | * Ihr Identity-Provider muss in eduGAIN eingebunden sein |
* Ihr Identity-Provider muss mindestens die Attribute ''mail'' und ''eduPersonPrincipalName'' an den Service-Provider von Sectigo ausliefern. | * Ihr Identity-Provider muss mindestens die Attribute ''schacHomeOrganization'', ''mail'' und ''eduPersonPrincipalName'' an den Service-Provider von Sectigo ausliefern. |
* Für eine AttributeFilterPolicy für Ihren Identity-Provider, die die gewünschten Attribute an Sectigo überträgt, siehe https://doku.tid.dfn.de/de:shibidp:config-attributes-tcs | * Für eine AttributeFilterPolicy für Ihren Identity-Provider, die die gewünschten Attribute an Sectigo überträgt, siehe https://doku.tid.dfn.de/de:shibidp:config-attributes-tcs |
| |
- Als "CSR Generation Method" den Wert "Browser" oder "Server" auswählen. | - Als "CSR Generation Method" den Wert "Browser" oder "Server" auswählen. |
- "Server" erzeugt den Schlüssel auf Sectigo-Seite | - "Server" erzeugt den Schlüssel auf Sectigo-Seite |
- "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit leider mit Thunderbird teilweise inkompatible P12 | - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden |
- "Allow empty PKCS12 Password" **nicht** aktivieren. | - "Allow empty PKCS12 Password" **nicht** aktivieren. |
- Als "Authorization Method" den Wert "none" auswählen. **Achtung**: Bitte auf keinen Fall Authoritzation Method ''Access Code'' im Zusammenhang mit client certificates verwenden! Die Nutzenden können bei diesem Antragsweg beliebige Vor- und Nachnamen angeben. Es wird lediglich die E-Mail-Adresse verifiziert, und das Zertifikat anschließend automatisch ausgestellt. Sie haben keine Möglichkeit, Vor- und Nachnamen vor Ausstellung zu verifizieren. Der korrekte Weg für Nutzerzertifikate in TCS führt über die AAI oder E-Mail-Einladungen. | - Als "Authorization Method" den Wert "none" auswählen. **Achtung**: Bitte auf keinen Fall Authoritzation Method ''Access Code'' im Zusammenhang mit client certificates verwenden! Die Nutzenden können bei diesem Antragsweg beliebige Vor- und Nachnamen angeben. Es wird lediglich die E-Mail-Adresse verifiziert, und das Zertifikat anschließend automatisch ausgestellt. Sie haben keine Möglichkeit, Vor- und Nachnamen vor Ausstellung zu verifizieren. Der korrekte Weg für Nutzerzertifikate in TCS führt über die AAI oder E-Mail-Einladungen. |