Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:dfnpki:tcsfaq [2022/09/30 16:56] – [Serverzertifikate] Juergen Brauckmannde:dfnpki:tcsfaq [2022/09/30 17:50] – [Serverzertifikate] Juergen Brauckmann
Zeile 277: Zeile 277:
  
 Wenn Ihre Einrichtung in die DFN-AAI eingebunden ist und Ihr IdP die Voraussetzungen erfüllt (siehe  [[de:dfnpki:tcsfaq#zugriff_per_aai|Zugriff per AAI]]), können Sie ein Formular aufsetzen, über das nach AAI-Authentifizierung Serverzertifikate beantragt werden können. Wenn Ihre Einrichtung in die DFN-AAI eingebunden ist und Ihr IdP die Voraussetzungen erfüllt (siehe  [[de:dfnpki:tcsfaq#zugriff_per_aai|Zugriff per AAI]]), können Sie ein Formular aufsetzen, über das nach AAI-Authentifizierung Serverzertifikate beantragt werden können.
- 
  
   - Im SCM unter ☰->Enrollment->Enrollment Forms   - Im SCM unter ☰->Enrollment->Enrollment Forms
Zeile 288: Zeile 287:
          - meist "OV Multi-Domain"          - meist "OV Multi-Domain"
      - Als "CSR Generation Method" üblicherweise den Wert "Provided by User" auswählen.       - Als "CSR Generation Method" üblicherweise den Wert "Provided by User" auswählen. 
-         - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit ggf für einige Anwendungen inkompatible Schl+ssel und ist nicht für Apache oder ninx geeignet.+         - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit ggffür einige Anwendungen inkompatible Schlüssel und ist nicht für Apache oder ninx geeignet.
      - "Automatically Approve Request" **nicht** anwählen      - "Automatically Approve Request" **nicht** anwählen
      - Als "Authorization Method" den Wert "IdP Assertions Mapping" auswählen.      - Als "Authorization Method" den Wert "IdP Assertions Mapping" auswählen.
Zeile 300: Zeile 299:
 Bitte keine neuen, eigenen ''SSL self-enrollment forms'' anlegen! Bitte keine neuen, eigenen ''SSL self-enrollment forms'' anlegen!
  
 +Anträge können nun unter der URL https://cert-manager.com/customer/DFN/ssl/sslsaml eingereicht werden.
  
 Die eingereichten Anträge müssen von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden. Die eingereichten Anträge müssen von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden.
Zeile 308: Zeile 308:
 Mit Web-Formularen können Nutzer ohne eigenen Login in cert-manager Zertifikate beantragen. Zur Nutzung eines Web-Formulars ist ein sogenannter "Access Code" notwendig. Jeder, der diesen Access Code kennt, kann Zertifikate beantragen. Mit Web-Formularen können Nutzer ohne eigenen Login in cert-manager Zertifikate beantragen. Zur Nutzung eines Web-Formulars ist ein sogenannter "Access Code" notwendig. Jeder, der diesen Access Code kennt, kann Zertifikate beantragen.
  
-Access Codes werden von einem RAO unter ☰->Enrollment->Enrollment Forms-><Auswahl "SSL Web Form"mit dem Button "Accountserstellt.+  - Im SCM unter ☰->Enrollment->Enrollment Forms 
 +     das Enrollment Form mit dem Namen ''DFN-wide SSL Web Form'' durch Blättern oder Filtern suchen und auswählen;      
 +     - oben auf "Accounts" klicken. 
 +     - Im daraufhin geöffneten Popup-Fenster über mit dem grünen "+"-Button einen neuen Enrollment-Form-Account hinzufügen. 
 +     - Einen sprechenden Namen für den Account vergeben, der auf Ihre Einrichtung hindeutet. 
 +     - Als "OrganizationIhre Einrichtung aus der Drop-Down-Liste auswählen (und ggf. auch ein Department setzen). 
 +     - Bei den Zertifikatprofilen über das kleine "+"-Zeichen aus der Drop-Down-Liste das gewünschte Zertifikatprofil auswhlen 
 +         - meist "OV Multi-Domain" 
 +     - Als "CSR Generation Method" üblicherweise den Wert "Provided by User" auswählen.  
 +         - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit ggf für einige Anwendungen inkompatible Schl+ssel und ist nicht für Apache oder ninx geeignet. 
 +     - "Automatically Approve Request" **auf keinen Fall** anwählen. 
 +     - Als "Authorization Method" den Wert "Access Code" auswählen. 
 +     - Einen Access Code eintragen 
 +     - Den Account mittels "Save"-button abspeichern.
  
-**Bitte verwenden Sie nicht den Button Edit**. Mit diesem Button können Hilfetexte und -links gesetzt werden, die sich **global** auf alle anderen Einrichtungen im gesamten DFN-Mandanten auswirken.+Bitte keine fremden ''SSL self-enrollment forms'' löschen!
  
-**Bei Accounts für SSL Web Forms setzen Sie bitte auf keinen Fall die Checkbox "Automatically Approve Requests"**. Genehmigen Sie eingehende Requests immer manuell nach Prüfung über out-of-band-Methoden (z.B. eine informelle E-Mail).+Bitte keine neuen, eigenen ''SSL self-enrollment forms'' anlegen!
  
-Die URL ist für alle Web-Formulare aller Einrichtungen im DFN-Mandanten von TCS zur Beantragung von Serverzertifikaten identisch: https://cert-manager.com/customer/DFN/ssl+Anträge können nun unter der URL https://cert-manager.com/customer/DFN/ssl/ eingereicht werden. Antragstellende werden zunächst durch eine E-Mail-Challenge geführt, mit der ihre E-Mail-Adresse verifiziert wird. Anschließend müssen sie den Access Code präsentieren, um dann mit den Parametern des hier angelegten Accounts Zertifikate beantragen zu können.
  
-Erst der Access Code sorgt für die Zuordnung eines Antrags zu Ihrer Einrichtung.+Die eingereichten Anträge müssen von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden.
  
 ===ACME=== ===ACME===
  • Zuletzt geändert: vor 3 Wochen