Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:dfnpki:tcsfaq [2021/09/15 18:30] – [Validierungsmethoden] Juergen Brauckmann | de:dfnpki:tcsfaq [2021/09/20 10:39] – [Rollen] Reimer Karlsen-Masur |
---|
Die Stammdaten der Organisation können nur von der DFN-PCA geändert werden. | Die Stammdaten der Organisation können nur von der DFN-PCA geändert werden. |
| |
=====Rollen===== | =====Rollen & Privilegien===== |
| |
Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können. | Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können. |
| |
* RAO und DRAO sind Registration Authority Officer auf Organisations- oder Department-(Abteilungs)-Ebene. Je nach den diesen Accounts bei der Einrichtung zugewiesenen Rechten können RAO/DRAO weitere RAOs/DRAOs anlegen oder modifizieren, und eine Auswahl der Zertifikattypen SSL, Client und Code Signing erstellen. | * RAO und DRAO sind Registration Authority Officer auf Organisations- oder Department-(Abteilungs)-Ebene. Je nach den diesen Accounts bei der Einrichtung zugewiesenen Rechten können RAO/DRAO weitere RAOs/DRAOs anlegen, modifizieren oder löschen, und eine Auswahl der Zertifikattypen SSL, Client und Code Signing erstellen. |
| |
Der erste RAO einer Einrichtung wird von der DFN-PCA angelegt. Weitere RAOs oder DRAOs können dann eigenständig angelegt und verwaltet werden. | Der erste RAO-Account einer Einrichtung wird von der DFN-PCA angelegt. Weitere RAOs oder DRAOs können dann eigenständig angelegt und verwaltet werden. |
| |
* Privilegien "Allow ... of peer admin" ermöglichen u.a. das Anlegen oder modifizieren von weiteren RAOs/DRAOs. Diese Privilegien können nicht selbst gesetzt werden, sondern nur von der DFN-PCA nachträglich geändert werden. | * Privilegien "Allow ... of peer admin" ermöglichen u.a. das Anlegen, Modifizieren oder Löschen von weiteren RAOs/DRAOs. Diese Privilegien können nicht selbst gesetzt werden, sondern nur von der DFN-PCA nachträglich geändert werden, wozu Kommunikation mit der DFN-PCA erforderlich ist. |
* API-Only-User: Ein RAO/DRAO kann auf API-Only eingeschränkt werden (Privileg "WS-API only" im Dialog "Add New Client Admin", Menü Admins, Button Add). Mit diesem Account kann dann ausschl. das REST-API bedient werden. Nach unseren Erkenntnissen sollte diese Checkbox initial noch nicht angekreuzt werden, da der neue Account sich einmal an der Web-Oberfläche anmelden muss um sein Passwort vom Initial-Passwort zu setzen. Erst nach dem Setzen des richtigen Passworts sollte "WS-API only" angekreuzt werden. Da dieses Privileg nur von der DFN-PCA geändert werden kann, ist für die Nutzung dieses Features Kommunikation mit der DFN-PCA erforderlich. | * Mit dem Privileg "DCV" (Domain Control Validation) kann die Domain-Validierung gesteuert werden. Dieses Privileg kann nicht selbst gesetzt werden, sondern nur von der DFN-PCA nachträglich geändert werden, wozu Kommunikation mit der DFN-PCA erforderlich ist. |
| * API-Only-User: Ein RAO/DRAO kann auf API-Only eingeschränkt werden (Privileg "WS-API only" im Dialog "Add New Client Admin", Menü Admins, Button Add). Mit diesem Account kann dann ausschl. das REST-API bedient werden. Nach unseren Erkenntnissen sollte diese Checkbox initial noch nicht angekreuzt werden, da der neue Account sich einmal an der Web-Oberfläche anmelden muss, um sein Passwort vom Initial-Passwort zu setzen. Erst nach dem Setzen des richtigen Passworts sollte "WS-API only" angekreuzt werden. Da dieses Privileg nur von der DFN-PCA geändert werden kann, ist für die Nutzung dieses Features Kommunikation mit der DFN-PCA erforderlich. |
| |
=====Departments===== | =====Departments===== |
</code> | </code> |
| |
Nach erfolgter Validierung kann der CNAME wieder entfernt werden. Es ist davon auszugehen, dass bei einer Revalidierung (alle 365 Tage) ein anderr CNAME gesetzt werden muss. | Nach erfolgter Validierung kann der CNAME wieder entfernt werden. Es ist davon auszugehen, dass bei einer Revalidierung (alle 365 Tage) ein anderer CNAME gesetzt werden muss. |
| |
===HTTP/HTTPS=== | ===HTTP/HTTPS=== |