Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:dfnpki:tcsfaq [2022/09/30 16:56] – [Serverzertifikate] Juergen Brauckmann | de:dfnpki:tcsfaq [2022/10/06 09:38] – [Serverzertifikate] Juergen Brauckmann |
---|
| |
Wenn Ihre Einrichtung in die DFN-AAI eingebunden ist und Ihr IdP die Voraussetzungen erfüllt (siehe [[de:dfnpki:tcsfaq#zugriff_per_aai|Zugriff per AAI]]), können Sie ein Formular aufsetzen, über das nach AAI-Authentifizierung Serverzertifikate beantragt werden können. | Wenn Ihre Einrichtung in die DFN-AAI eingebunden ist und Ihr IdP die Voraussetzungen erfüllt (siehe [[de:dfnpki:tcsfaq#zugriff_per_aai|Zugriff per AAI]]), können Sie ein Formular aufsetzen, über das nach AAI-Authentifizierung Serverzertifikate beantragt werden können. |
| |
| |
- Im SCM unter ☰->Enrollment->Enrollment Forms | - Im SCM unter ☰->Enrollment->Enrollment Forms |
- meist "OV Multi-Domain" | - meist "OV Multi-Domain" |
- Als "CSR Generation Method" üblicherweise den Wert "Provided by User" auswählen. | - Als "CSR Generation Method" üblicherweise den Wert "Provided by User" auswählen. |
- "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit ggf für einige Anwendungen inkompatible Schl+ssel und ist nicht für Apache oder ninx geeignet. | - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit ggf. für einige Anwendungen inkompatible Schlüssel und ist nicht für Apache oder ninx geeignet. |
- "Automatically Approve Request" **nicht** anwählen | - "Automatically Approve Request" **nicht** anwählen |
- Als "Authorization Method" den Wert "IdP Assertions Mapping" auswählen. | - Als "Authorization Method" den Wert "IdP Assertions Mapping" auswählen. **Nicht ''none'' verwenden!** |
- Dann den Button ''Edit'' anwählen | - Dann den Button ''Edit'' anwählen |
- Hinzufügen von "schacHomeOrganization matches <xyz.de>", mit Plus und Save bestätigen. | - Hinzufügen von "schacHomeOrganization matches <xyz.de>", mit Plus und Save bestätigen. |
Bitte keine neuen, eigenen ''SSL self-enrollment forms'' anlegen! | Bitte keine neuen, eigenen ''SSL self-enrollment forms'' anlegen! |
| |
| Anträge können nun unter der URL https://cert-manager.com/customer/DFN/ssl/sslsaml eingereicht werden. |
| |
Die eingereichten Anträge müssen von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden. | Die eingereichten Anträge müssen von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden. |
Mit Web-Formularen können Nutzer ohne eigenen Login in cert-manager Zertifikate beantragen. Zur Nutzung eines Web-Formulars ist ein sogenannter "Access Code" notwendig. Jeder, der diesen Access Code kennt, kann Zertifikate beantragen. | Mit Web-Formularen können Nutzer ohne eigenen Login in cert-manager Zertifikate beantragen. Zur Nutzung eines Web-Formulars ist ein sogenannter "Access Code" notwendig. Jeder, der diesen Access Code kennt, kann Zertifikate beantragen. |
| |
Access Codes werden von einem RAO unter ☰->Enrollment->Enrollment Forms-><Auswahl "SSL Web Form"> mit dem Button "Accounts" erstellt. | - Im SCM unter ☰->Enrollment->Enrollment Forms |
| - das Enrollment Form mit dem Namen ''DFN-wide SSL Web Form'' durch Blättern oder Filtern suchen und auswählen; |
| - oben auf "Accounts" klicken. |
| - Im daraufhin geöffneten Popup-Fenster über mit dem grünen "+"-Button einen neuen Enrollment-Form-Account hinzufügen. |
| - Einen sprechenden Namen für den Account vergeben, der auf Ihre Einrichtung hindeutet. |
| - Als "Organization" Ihre Einrichtung aus der Drop-Down-Liste auswählen (und ggf. auch ein Department setzen). |
| - Bei den Zertifikatprofilen über das kleine "+"-Zeichen aus der Drop-Down-Liste das gewünschte Zertifikatprofil auswhlen |
| - meist "OV Multi-Domain" |
| - Als "CSR Generation Method" üblicherweise den Wert "Provided by User" auswählen. |
| - "Browser" erzeugt den Schlüssel im Browser des Antragsstellenden. **Achtung**: Diese Methode erzeugt zur Zeit ggf für einige Anwendungen inkompatible Schl+ssel und ist nicht für Apache oder ninx geeignet. |
| - "Automatically Approve Request" **auf keinen Fall** anwählen. |
| - Als "Authorization Method" den Wert "Access Code" auswählen. **Nicht ''none'' verwenden!** |
| - Einen Access Code eintragen |
| - Den Account mittels "Save"-button abspeichern. |
| |
**Bitte verwenden Sie nicht den Button Edit**. Mit diesem Button können Hilfetexte und -links gesetzt werden, die sich **global** auf alle anderen Einrichtungen im gesamten DFN-Mandanten auswirken. | Bitte keine fremden ''SSL self-enrollment forms'' löschen! |
| |
**Bei Accounts für SSL Web Forms setzen Sie bitte auf keinen Fall die Checkbox "Automatically Approve Requests"**. Genehmigen Sie eingehende Requests immer manuell nach Prüfung über out-of-band-Methoden (z.B. eine informelle E-Mail). | Bitte keine neuen, eigenen ''SSL self-enrollment forms'' anlegen! |
| |
Die URL ist für alle Web-Formulare aller Einrichtungen im DFN-Mandanten von TCS zur Beantragung von Serverzertifikaten identisch: https://cert-manager.com/customer/DFN/ssl | Anträge können nun unter der URL https://cert-manager.com/customer/DFN/ssl/ eingereicht werden. Antragstellende werden zunächst durch eine E-Mail-Challenge geführt, mit der ihre E-Mail-Adresse verifiziert wird. Anschließend müssen sie den Access Code präsentieren, um dann mit den Parametern des hier angelegten Accounts Zertifikate beantragen zu können. |
| |
Erst der Access Code sorgt für die Zuordnung eines Antrags zu Ihrer Einrichtung. | Die eingereichten Anträge müssen von einem RAO oder DRAO über ☰->Certificates-><Typ> Certificates-><Auswahl>->Approve Button genehmigt werden. |
| |
===ACME=== | ===ACME=== |