Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcsfaq [2023/09/12 17:25] Juergen Brauckmannde:dfnpki:tcsfaq [2025/06/05 13:40] (aktuell) – ↷ Links angepasst, weil Seiten im Wiki verschoben wurden 2003:d0:8f06:f5d8:52a5:678f:3672:f926
Zeile 1: Zeile 1:
- 
 **Diese FAQ richtet sich primär an die Teilnehmerservices an den an der DFN-PKI teilnehmenden Einrichtungen. Nicht alle hier beschriebenen Funktionen werden von allen Einrichtungen gleichermaßen umgesetzt. Falls Sie sich für den Bezug eines Zertifikats interessieren, wenden Sie sich bitte an Ihren lokalen Teilnehmerservice an Ihrer Heimateinrichtung.** **Diese FAQ richtet sich primär an die Teilnehmerservices an den an der DFN-PKI teilnehmenden Einrichtungen. Nicht alle hier beschriebenen Funktionen werden von allen Einrichtungen gleichermaßen umgesetzt. Falls Sie sich für den Bezug eines Zertifikats interessieren, wenden Sie sich bitte an Ihren lokalen Teilnehmerservice an Ihrer Heimateinrichtung.**
- 
-=====Was ist TCS?===== 
- 
-TCS (Trusted Certificate Service) ist ein PKI-Angebot, das der DFN-Verein über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo. Überblick über den Dienst bei GÉANT: [[https://security.geant.org/trusted-certificate-services/]] 
- 
-Der DFN-Verein führt das Angebot zur Zeit für alle Teilnehmer der DFN-PKI ein. TCS wird die bisherige DFN-PKI "Global" mittelfristig ablösen. 
  
 =====Wie erhalten Einrichtungen einen Zugang?===== =====Wie erhalten Einrichtungen einen Zugang?=====
  
-Zur Zeit geht der DFN-Verein auf alle bisherigen Teilnehmer der DFN-PKI zu, um ihnen einen Zugang zu TCS zu ermöglichen.+Ein Zugang zu TCS kann über den Kontakt [[pki@dfn.de|pki@dfn.de]] beauftragt werden.
  
-Das initiale Setup erfolgt dann in direkter Absprache mit [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]].+Das initiale Setup erfolgt dann in direkter Absprache mit [[dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]].
  
 ====Gibt es eine Testumgebung für TCS REST API und die Webseiten?==== ====Gibt es eine Testumgebung für TCS REST API und die Webseiten?====
Zeile 35: Zeile 28:
  
 Hinweise zum Datenschutz und der vertraglichen Konstruktion: Hinweise zum Datenschutz und der vertraglichen Konstruktion:
-[[de:dfnpki:tcs:datenschutz|Datenschutz]]+[[de:dfnpki:tcs:2020:datenschutz|Datenschutz]]
  
 =====Funktionsüberblick===== =====Funktionsüberblick=====
Zeile 41: Zeile 34:
 Anwender haben Zugriff über die Administrations-Oberfläche, genannt "Sectigo Certificate-Manager" (SCM), unter https://cert-manager.com/customer/DFN Anwender haben Zugriff über die Administrations-Oberfläche, genannt "Sectigo Certificate-Manager" (SCM), unter https://cert-manager.com/customer/DFN
  
-Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Nutzerzertifikaten möglich.+Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Client-Zertifikaten möglich.
  
 TCS bietet zusätzlich: TCS bietet zusätzlich:
Zeile 56: Zeile 49:
  
 In SCM gibt es verschiedene Rollen und Möglichkeiten zur Anmeldung. Es können Abteilungen ("Departments") angelegt werden: In SCM gibt es verschiedene Rollen und Möglichkeiten zur Anmeldung. Es können Abteilungen ("Departments") angelegt werden:
-[[de:dfnpki:tcs:scmrollenundanmeldung|Rollen, Anmeldung, Abteilungen]]+[[de:dfnpki:tcs:2020:scmrollenundanmeldung|Rollen, Anmeldung, Abteilungen]]
  
 ===== Tipps und Tricks in SCM ===== ===== Tipps und Tricks in SCM =====
  
-[[de:dfnpki:tcs:scmtipstricks|Tipps und Tricks für SCM]]+[[de:dfnpki:tcs:2020:scmtipstricks|Tipps und Tricks für SCM]]
  
  
 =====Zugriff per AAI===== =====Zugriff per AAI=====
  
-Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen Voraussetzungen erfüllt sein: [[de:dfnpki:tcs:zugriffperaai|Zugriff per AAI]]+Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen Voraussetzungen erfüllt sein: [[de:dfnpki:tcs:2020:zugriffperaai|Zugriff per AAI]]
  
 =====Benachrichtigungen===== =====Benachrichtigungen=====
  
-Um Benachrichtigungen über Ereignisse wie den Ablauf von Zertifikaten oder der Gültigkeit von Domain-Valididierungen zu erhalten, können Benachrichtigungen konfiguriert werden: [[de:dfnpki:tcs:scm_notifications|Benachrichtigungen in SCM]]+Um Benachrichtigungen über Ereignisse wie den Ablauf von Zertifikaten oder der Gültigkeit von Domain-Valididierungen zu erhalten, können Benachrichtigungen konfiguriert werden: [[de:dfnpki:tcs:2020:scm_notifications|Benachrichtigungen in SCM]]
  
 =====Domains und IPv4-Adressen in Zertifikaten===== =====Domains und IPv4-Adressen in Zertifikaten=====
  
 Um Zertifikate zu erhalten, müssen die entsprechenden Domains oder IPv4-Adressen **vorab** bei Sectigo im System eingetragen werden. Um Zertifikate zu erhalten, müssen die entsprechenden Domains oder IPv4-Adressen **vorab** bei Sectigo im System eingetragen werden.
-Eine detaillierte Beschreibung ist verfügbar unter: [[de:dfnpki:tcs:domains|Domains und IPv4-Adressen in Zertifikaten]]+Eine detaillierte Beschreibung ist verfügbar unter: [[de:dfnpki:tcs:2020:domains|Domains und IPv4-Adressen in Zertifikaten]]
  
  
 =====Zertifikate erstellen===== =====Zertifikate erstellen=====
  
-[[de:dfnpki:tcs:servercert|Serverzertifikate]]+[[de:dfnpki:tcs:2020:servercert|Serverzertifikate]]
  
-[[de:dfnpki:tcs:servercert_acme|Serverzertifikate per ACME]]+[[de:dfnpki:tcs:2020:servercert_acme|Serverzertifikate per ACME]]
  
-[[de:dfnpki:tcs:usercert|User-Zertifikate]]+[[de:dfnpki:tcs:2020:usercert|Client-Zertifikate]]
  
-[[de:dfnpki:tcs:documentsigning|Document Signing]]+[[de:dfnpki:tcs:2020:documentsigning|Document Signing]]
  
-[[de:dfnpki:tcs:codesigning|Code Signing]]+[[de:dfnpki:tcs:2020:codesigning|Code Signing]]
  
-[[de:dfnpki:tcs:restapi|REST API]]+[[de:dfnpki:tcs:2020:restapi|REST API]]
  
  
Zeile 102: Zeile 95:
 Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken: Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken:
  
-[[de:dfnpki:tcs:caa|CAA]]+[[de:dfnpki:tcs:2020:caa|CAA]]
  
 =====Zertifikate sperren (Revoke, Revocation)===== =====Zertifikate sperren (Revoke, Revocation)=====
Zeile 108: Zeile 101:
 Zertifikate sollen üblicherweise von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden. Zertifikate sollen üblicherweise von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden.
  
-Die [[de:dfnpki:tcsfaq#acme-zertifikate_sperren|Sperrmechanismen von ACME]] (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung.+Die [[de:dfnpki:tcs:2020:servercert_acme#acme-zertifikate_sperren|Sperrmechanismen von ACME]] (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung.
  
 Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können: Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können:
Zeile 134: Zeile 127:
 =====Support===== =====Support=====
  
-Wir helfen auch bei technischen Schwierigkeiten mit den TCS-Systemen gerne weiter, z.B. per Mail: [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]+Wir helfen auch bei technischen Schwierigkeiten mit den TCS-Systemen gerne weiter: [[dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]
  
 Ein direkter Kontakt mit dem englischsprachigen Sectigo Support ist auch möglich. Das Support-Portal von Sectigo ist erreichbar unter: https://sectigo.com/support-ticket  Ein direkter Kontakt mit dem englischsprachigen Sectigo Support ist auch möglich. Das Support-Portal von Sectigo ist erreichbar unter: https://sectigo.com/support-ticket 
Zeile 143: Zeile 136:
  
 ===Support-Tickets für die Validierung (DCV) von IP-Adressen=== ===Support-Tickets für die Validierung (DCV) von IP-Adressen===
-Sofern Sie ein Ticket für den speziellen [[de:dfnpki:tcsfaq#ip-adressen_in_zertifikaten|DCV-Vorgang zur Validierung von IP-Adressen]] erstellen wollen, wählen Sie bitte für das Ticket //Case type: "Technical Support"// und //Case reason: "Sectigo Certificate Manager (SCM)"// aus, damit das Ticket gleich in die korrekte Supportschlange eingestellt wird.+Sofern Sie ein Ticket für den speziellen [[de:dfnpki:tcs:2020:domains#ip-adressen_in_zertifikaten|DCV-Vorgang zur Validierung von IP-Adressen]] erstellen wollen, wählen Sie bitte für das Ticket //Case type: "Technical Support"// und //Case reason: "Sectigo Certificate Manager (SCM)"// aus, damit das Ticket gleich in die korrekte Supportschlange eingestellt wird
 + 
 +===Support-Tickets für Anträge von Code-Signing-Zertifikate=== 
 +Sofern Sie ein Ticket für die Bearbeitung von [[de:dfnpki:tcs:2020:codesigning|Anträgen von Code-Signing-Zertifikaten]] erstellen wollen, wählen Sie bitte für das Ticket //Case type: "Validation Support"// und //Case reason: "Code Signing Certificate"// aus. 
 + 
 +Die Order Number ist zwingend anzugeben. Sie ist im SCM unter ☰→Certificates→Code Signing einsehbar.
  
 =====E-Mail-Verteilerliste dfnpki-d===== =====E-Mail-Verteilerliste dfnpki-d=====
  
-Auf [[https://listserv.dfn.de]] ist die E-Mail-Verteilerliste mailto:dfnpki-d@listserv.dfn.de eingerichtet. Diese unmoderierte Liste soll den Austausch **unter den Teilnehmern an der DFN-PKI** befördern und die Diskussion von Problemen und die Verbreitung von Lösungsvorschlägen ermöglichen.+Auf [[https://listserv.dfn.de]] ist die E-Mail-Verteilerliste dfnpki-d@listserv.dfn.de eingerichtet. Diese unmoderierte Liste soll den Austausch **unter den Teilnehmern an der DFN-PKI** befördern und die Diskussion von Problemen und die Verbreitung von Lösungsvorschlägen ermöglichen.
  
 Eine Anmeldung ist **für DFN-PKI-Teilnehmer** möglich unter [[https://www.listserv.dfn.de/sympa/info/dfnpki-d]]. Eine Anmeldung ist **für DFN-PKI-Teilnehmer** möglich unter [[https://www.listserv.dfn.de/sympa/info/dfnpki-d]].
  
  
  • Zuletzt geändert: vor 24 Monaten