| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:dfnpki:tcsfaq [2022/10/14 16:53] – [Nutzerzertifikate] Juergen Brauckmann | de:dfnpki:tcsfaq [2022/11/10 13:16] – [Voraussetzungen] Reimer Karlsen-Masur |
|---|
| Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen die folgenden Voraussetzungen erfüllt sein: | Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen die folgenden Voraussetzungen erfüllt sein: |
| |
| * In der Verwaltungsoberfläche müssen unter ☰->Organizations-><Auswahl>->Edit->🖉 die Felder Secondary Organization Name und Academic code (SCHAC Home Organization) gesetzt sein. | * In der Verwaltungsoberfläche müssen unter ☰->Organizations-><Auswahl>->✎ die Felder Secondary Organization Name und Academic code (SCHAC Home Organization) gesetzt sein. |
| * Wenn kein Academic code (SCHAC Home Organization) gesetzt ist, senden Sie bitte den entspr. Wert per E-Mail an ''dfnpca@dfn-cert.de'' | * Wenn kein Academic code (SCHAC Home Organization) gesetzt ist, senden Sie bitte den entspr. Wert per E-Mail an ''dfnpca@dfn-cert.de'' |
| * Welcher Wert zu setzen ist, können Sie evtl. schon der Ausgabe von https://cert-manager.com/customer/DFN/ssocheck/ entnehmen. Oft entspricht dieser Wert der Haupt-Domain einer Einrichtung, also z.B. ''uni-musterstadt.de''. Im Zweifel wenden Sie sich bitte an Ihre haus-interne AAI-Administration. | * Welcher Wert zu setzen ist, können Sie evtl. schon der Ausgabe von https://cert-manager.com/customer/DFN/ssocheck/ entnehmen. Oft entspricht dieser Wert der Haupt-Domain einer Einrichtung, also z.B. ''uni-musterstadt.de''. Im Zweifel wenden Sie sich bitte an Ihre haus-interne AAI-Administration. |
| * Ihr Identity-Provider muss in eduGAIN eingebunden sein | * Ihr Identity-Provider muss in eduGAIN eingebunden sein |
| * Ihr Identity-Provider muss mindestens die Attribute ''mail'' und ''eduPersonPrincipalName'' an den Service-Provider von Sectigo ausliefern. | * Ihr Identity-Provider muss mindestens die Attribute ''schacHomeOrganization'', ''mail'' und ''eduPersonPrincipalName'' an den Service-Provider von Sectigo ausliefern. |
| * Für eine AttributeFilterPolicy für Ihren Identity-Provider, die die gewünschten Attribute an Sectigo überträgt, siehe https://doku.tid.dfn.de/de:shibidp:config-attributes-tcs | * Für eine AttributeFilterPolicy für Ihren Identity-Provider, die die gewünschten Attribute an Sectigo überträgt, siehe https://doku.tid.dfn.de/de:shibidp:config-attributes-tcs |
| |
| - Als "CSR Generation Method" den Wert "Browser" oder "Server" auswählen. | - Als "CSR Generation Method" den Wert "Browser" oder "Server" auswählen. |
| - "Server" erzeugt den Schlüssel auf Sectigo-Seite | - "Server" erzeugt den Schlüssel auf Sectigo-Seite |
| - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit leider mit Thunderbird teilweise inkompatible P12 | - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden |
| - "Allow empty PKCS12 Password" **nicht** aktivieren. | - "Allow empty PKCS12 Password" **nicht** aktivieren. |
| - Als "Authorization Method" den Wert "none" auswählen. **Achtung**: Bitte auf keinen Fall Authoritzation Method ''Access Code'' im Zusammenhang mit client certificates verwenden! Die Nutzenden können bei diesem Antragsweg beliebige Vor- und Nachnamen angeben. Es wird lediglich die E-Mail-Adresse verifiziert, und das Zertifikat anschließend automatisch ausgestellt. Sie haben keine Möglichkeit, Vor- und Nachnamen vor Ausstellung zu verifizieren. Der korrekte Weg für Nutzerzertifikate in TCS führt über die AAI oder E-Mail-Einladungen. | - Als "Authorization Method" den Wert "none" auswählen. **Achtung**: Bitte auf keinen Fall Authoritzation Method ''Access Code'' im Zusammenhang mit client certificates verwenden! Die Nutzenden können bei diesem Antragsweg beliebige Vor- und Nachnamen angeben. Es wird lediglich die E-Mail-Adresse verifiziert, und das Zertifikat anschließend automatisch ausgestellt. Sie haben keine Möglichkeit, Vor- und Nachnamen vor Ausstellung zu verifizieren. Der korrekte Weg für Nutzerzertifikate in TCS führt über die AAI oder E-Mail-Einladungen. |