Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:dfnpki:tcsfaq [2021/06/03 11:31] – [Support] Juergen Brauckmannde:dfnpki:tcsfaq [2024/01/26 16:32] (aktuell) Juergen Brauckmann
Zeile 1: Zeile 1:
-Auf dieser Seite stellen wir den Teilnehmern an der DFN-PKI eine FAQ-Seite zur Einführung in TCS zur VerfügungDiese Seite wird permanent mit den Fragen der Anwender weiter entwickelt.+**Diese FAQ richtet sich primär an die Teilnehmerservices an den an der DFN-PKI teilnehmenden EinrichtungenNicht alle hier beschriebenen Funktionen werden von allen Einrichtungen gleichermaßen umgesetzt. Falls Sie sich für den Bezug eines Zertifikats interessieren, wenden Sie sich bitte an Ihren lokalen Teilnehmerservice an Ihrer Heimateinrichtung.**
  
-=====Was ist TCS?=====+=====Wie erhalten Einrichtungen einen Zugang?=====
  
-TCS (Trust Certificate Service) ist ein PKI-Angebot, dass der DFN-Verein über GÉANT beziehtGÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo.+Ein Zugang zu TCS kann über den Kontakt [[mailto:pki@dfn.de|pki@dfn.de]] beauftragt werden.
  
-Überblick über den Dienst bei GÉANThttps://www.geant.org/Services/Trust_identity_and_security/Pages/TCS.aspx+Das initiale Setup erfolgt dann in direkter Absprache mit [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]].
  
-Der DFN-Verein führt das Angebot zur Zeit in einer Pilotphase ein.+====Gibt es eine Testumgebung für TCS REST API und die Webseiten?====
  
-=====Was bedeutet Pilotphase?=====+Der TCS-Anbieter Sectigo stellt keine Testumgebung zur Verfügung.
  
-In der Pilotphase werden die Prozesse zum Ausrollen des Angebots an alle Teilnehmer der DFN-PKI mit einem eingeschränkten Nutzerkreis erprobt. Die Erprobung ist nicht nur in Bezug auf die internen Prozesse der DFN-PCA zur Versorgung der Teilnehmer notwendig, sondern auch zur Einschätzung der Abläufe und Vorgehensweisen des TCS-Anbieters insbesondere im Bereich der Organisationsvalidierung.+=====Erste Schritte=====
  
-Hierdurch kann leider noch nicht jeder Einrichtung, die dies wünscht, sofort ein Zugang gegeben werden, da der voraussichtlich entstehende Support-Aufwand nicht abgedeckt werden kann.+Überblick über erste Schritte nach Erhalt eines Zugangs: [[de:dfnpki:tcsfaq:ersteschritte|Erste Schritte]]
  
-Wenn genügend Erfahrungen vorliegen, wird das Angebot an alle Teilnehmer der DFN-PKI ausgerollt. Nach derzeitigem Stand wird dies im Sommer 2021 der Fall sein.+=====Dokumentation=====
  
-=====Wie erhalten Einrichtungen einen Zugang?===== +Bei GÉANT gibt es eine Zusammenstellung von FAQs: [[https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ]]
- +
-Nach Abschluss der Pilotphase (voraussichtlich Sommer 2021) wird der DFN-Verein auf alle Teilnehmer der DFN-PKI zukommen, um einen Zugang zu TCS zu geben. +
- +
-Voraussetzung ist der Abschluss einer DienstvereinbarungDas initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de. +
- +
-=====Dokumentation=====+
  
-Bei GÉANT gibt es eine Zusammenstellung von FAQs: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ+Die Dokumentation von Sectigo zur Administrations-Oberfläche und zu ACME ist zu finden unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-Administrator-s-Guide/kA01N000000bvJA
  
-Die Dokumentation von Sectigo zur Administrations-Oberfläche und zu ACME ist zu finden unter https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000bvJA+Die REST-API ist dokumentiert unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-REST-API/kA01N000000XDkE
  
-Die REST-API ist dokumentiert unter https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000XDkE+Sectigo unterhält einen Youtube-Kanal mit vielen Tutorials: https://www.youtube.com/c/Sectigo/videos
  
 =====Datenschutz===== =====Datenschutz=====
  
-Eine Bewertung von GÈANT zu Fragen zu Datenschutz und DSGVO liegt vorhttps://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-Q:HowdoG%C3%89ANTandSectigodealwithGDPR/dataprotection?+Hinweise zum Datenschutz und der vertraglichen Konstruktion: 
 +[[de:dfnpki:tcs:datenschutz|Datenschutz]]
  
 =====Funktionsüberblick===== =====Funktionsüberblick=====
  
-Anwender haben Zugriff über die Administrations-Oberfläche unter https://cert-manager.com/customer/DFN+Anwender haben Zugriff über die Administrations-Oberfläche, genannt "Sectigo Certificate-Manager" (SCM), unter https://cert-manager.com/customer/DFN
  
-Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Nutzerzertifikaten möglich.+Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Client-Zertifikaten möglich.
  
 TCS bietet zusätzlich: TCS bietet zusätzlich:
  
-    * Web-Formulare zum Beantragen von Zertifikaten für nicht in cert-manager.com eingeloggte Benutzer per "Access-Code"+    * Web-Formulare zum Beantragen von Zertifikaten für nicht in cert-manager.com eingeloggte Benutzer
     * Eine Ausstellung von Zertifikaten über eine SAML-Integration     * Eine Ausstellung von Zertifikaten über eine SAML-Integration
     * Eine ACME-Schnittstelle     * Eine ACME-Schnittstelle
-    * Eine REST-API, Dokumentation: https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000XDkE+    * Eine REST-API 
 +     
 +Es gibt **keine** Testumgebung.
  
-=====Organisationsvalidierung===== 
  
-Der Anbieter muss die Existenz und den Namen der Organisation regelmäßig über ein Register verifizieren. Der aktuelle Validierungszustand ist über Settings->Organizations einsehbar.+=====Rollen, Anmeldung und Abteilungen (Departments)=====
  
-Die Stammdaten der Organisation können nur von der DFN-PCA geändert werden.+In SCM gibt es verschiedene Rollen und Möglichkeiten zur Anmeldung. Es können Abteilungen ("Departments") angelegt werden
 +[[de:dfnpki:tcs:scmrollenundanmeldung|Rollen, Anmeldung, Abteilungen]]
  
-=====Rollen=====+===== Tipps und Tricks in SCM =====
  
-Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können.+[[de:dfnpki:tcs:scmtipstricks|Tipps und Tricks für SCM]]
  
- * RAO und DRAO sind Registration Authority Officer auf Organisations- oder Department-(Abteilungs)-Ebene. Je nach den diesen Accounts bei der Einrichtung zugewiesenen Rechten können RAO/DRAO weitere RAOs/DRAOs anlegen oder modifizieren, und eine Auswahl der Zertifikattypen SSL, Client und Code Signing erstellen. 
  
-Der erste RAO einer Einrichtung wird von der DFN-PCA angelegt. Weitere RAOs oder DRAOs können dann eigenständig angelegt und verwaltet werden.+=====Zugriff per AAI=====
  
-   * Privilegien "Allow ... of peer admin" ermöglichen u.a. das Anlegen oder modifizieren von weiteren RAOs/DRAOs. Diese Privilegien können nicht selbst gesetzt werden, sondern nur von der DFN-PCA nachträglich geändert werden. +Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen Voraussetzungen erfüllt sein: [[de:dfnpki:tcs:zugriffperaai|Zugriff per AAI]]
-   * API-Only-User: Ein RAO/DRAO kann auf API-Only eingeschränkt werden (Privileg "WS-API only" im Dialog "Add New Client Admin", Menü Admins, Button Add). Mit diesem Account kann dann ausschl. das REST-API bedient werden. Nach unseren Erkenntnissen sollte diese Checkbox initial noch nicht angekreuzt werden, da der neue Account sich einmal an der Web-Oberfläche anmelden muss um sein Passwort vom Initial-Passwort zu setzen. Erst nach dem Setzen des richtigen Passworts sollte "WS-API only" angekreuzt werden. Da dieses Privileg nur von der DFN-PCA geändert werden kann, ist für die Nutzung dieses Features Kommunikation mit der DFN-PCA erforderlich.+
  
-=====Departments=====+=====Benachrichtigungen=====
  
-Zur weiteren Strukturierung der Organisation können RAOs Abteilungen anlegen. Hierzu Settings->OrganizationsButton Departments wählen.+Um Benachrichtigungen über Ereignisse wie den Ablauf von Zertifikaten oder der Gültigkeit von Domain-Valididierungen zu erhaltenkönnen Benachrichtigungen konfiguriert werden: [[de:dfnpki:tcs:scm_notifications|Benachrichtigungen in SCM]]
  
-**Wichtig:** Unter "Client Certificates" bitte unbedingt "Allow Key Recovery by Master Administrators" herausnehmen!+=====Domains und IPv4-Adressen in Zertifikaten=====
  
-Es können dann DRAOs angelegt werden, die nur innerhalb der zugewiesenen Abteilung Zertifikate verwalten können.+Um Zertifikate zu erhaltenmüssen die entsprechenden Domains oder IPv4-Adressen **vorab** bei Sectigo im System eingetragen werden. 
 +Eine detaillierte Beschreibung ist verfügbar unter: [[de:dfnpki:tcs:domains|Domains und IPv4-Adressen in Zertifikaten]]
  
-=====Domainvalidierung, Domain Control Validation (DCV)===== 
  
-Um Zertifikate zu erhalten, müssen die entspr. Domains unter Settings->Domains->Delegations eingetragen und unter Settings-Domains-DCV validiert werden (Validation Status muss auf "Validated" gesetzt sein).+=====Zertifikate erstellen=====
  
-WichtigNach dem Eintragen und der Validierung müssen die Domains an eine Organization "delegiert" werden. Hierzu entweder über Settings->Organizations per Button Domains oder über Settings->Domains, Submenü Delegations, Button Delegate gehen.+[[de:dfnpki:tcs:servercert|Serverzertifikate]]
  
-Domainvalidierungen können über Settings->Domains, Submenü DCV eingesehen oder neu angestoßen werden.+[[de:dfnpki:tcs:servercert_acme|Serverzertifikate per ACME]]
  
-Nach derzeitigem Kenntnisstand muss zunächst die Hauptdomain eingetragen und validiert werden, z.B. example.org. Nach erfolgreicher Validierung kann dann ein Sternchen-Eintrag *.example.org erzeugt werden. Nur mit dem Sternchen-Eintrag scheinen Zertifikate zu beliebigen FQDN erzeugt werden können.+[[de:dfnpki:tcs:usercert|Client-Zertifikate]]
  
-Wenn Sie CAA-Records verwenden, so müssen diese bereits zum Zeitpunkt der Domainvalidierung passen, und nicht erst zum Zeitpunkt der Ausstellung von Zertifikaten, siehe [[de:dfnpki:tcsfaq#caa-Records|CAA-Records]] +[[de:dfnpki:tcs:documentsigning|Document Signing]]
-=====Zertifikattypen===== +
-====Welchen Zertifikattyp für welchen Zweck/Service?====+
  
- * Die Serverzertifikate ("OV Multi-Domain") aus TCS enthalten sowohl den Zertifikatzweck serverAuth als auch clientAuth. Es können also prinzipiell alle Zwecke mit dem Standard-Zertifikatprofile abgedeckt werden. Nicht verfügbar sind die Funktionalitäten ausWebserver mustStaple, DomainController +[[de:dfnpki:tcs:codesigning|Code Signing]]
- * Die Nutzerzertifikate ("Client Certificate") enthalten clientAuth und E-Mail Protection, und sind damit ebenfalls universell einsetzbar. +
- * Die Code-Signing Zertifikate sind für die Signatur von Java JARs & MS Office Macros verwendbar. Für höherwertigen Trust müssen EV Code-Signing-Zertifikate separat bestellt werden. https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-Q:HowDoIOrderEVCodeSigningCertificates+
  
-====OV SSL oder OV Multi Domain?====+[[de:dfnpki:tcs:restapi|REST API]]
  
-Wir empfehlen in jedem Fall OV Multi Domain zu verwenden. Im Zertifikatprofil OV Multi Domain sind mehrere Servernamen möglich, z.B. fachbereich1.example.org, fachbereich2.example.org 
  
-Im Zertifikatprofil OV SSL wird automatisch jedem Zertifikat ein zweiter, in den meisten Fällen sicherlich unerwünschter Alternativer Name "www." hinzugefügt.+====CA- und Root-Zertifikate in TCS====
  
-Beispiel: Antrag enthält fachbereich1.example.org => Das ausgestellte Zertifikat enthält die Namen fachbereich1.example.org und !www.fachbereich1.example.org.+Die uns bekannten Root- und CA-Zertifikate in TCS sind dokumentiert unter: [[de:dfnpki:tcs_ca_certs|TCS CA-Zertifikate]]
  
-====Extended Validation Zertifikate (EV)==== 
  
-EV-Zertifikate können nur erstellt werden, nachdem in cert-manager ein sog. EV Anchor angelegt wurde. Dies ist ein spezielles administratives Zertifikat, dessen Ausstellung von allen Prozeduren zur besonderen Prüfung nach EV-Standard begleitet wurde. 
  
-  * Bitte versuchen Sie auf keinen Fall, ein normales EV-Zertifikat vor der Erstellung eines EV Anchors zu beantragen.+=====CAA-Records=====
  
-  * Vor der Erstellung eines EV-Anchors müssen die EV-Informationen unter Settings->Organizations->Edit Tab "EV Details" korrekt sein. Diese EV Details müssen von der DFN-PCA gesetzt werden, allerdings benötigen wir Ihre Mithilfe.+Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken:
  
-Die Anleitung im GÈANT FAQ ist zu finden unterhttps://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-Q:HowdoIcreateanEVAnchor? +[[de:dfnpki:tcs:caa|CAA]]
-Versuchen Sie auf keinen Fall mehrere EV Anchor zu erstellen.+
  
-====Document Signing====+=====Zertifikate sperren (Revoke, Revocation)=====
  
-Für spezielle Document Signing Zertifikate, die voreingestellten Trust in Adobe haben, gibt es einen separaten Antragsweg außerhalb von cert-manager. Es entstehen zusätzliche Kosten, da von Sectigo ein Crypto-Token erstellt und versandt wird.+Zertifikate sollen üblicherweise von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden.
  
-https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-Q:AreDocumentSigningCertificatesavailableviaSectigo?+Die [[de:dfnpki:tcs:servercert_acme#acme-zertifikate_sperren|Sperrmechanismen von ACME]] (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung.
  
-====Grid-Zertifikate (IGTF)====+Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können: 
 +https://secure.sectigo.com/products/RevocationPortal
  
-Für Nutzerzertifikate, die um Grid-Umfeld verwendet werden sollenverwenden Sie bitte eines der IGTF-Profile.+Hier sind allerdings weitere Authentifizierungsschritte erforderlichwie beispielsweise die Beantwortung einer E-Mail-Challengedie Bereitstellung des Private Key oder die Signierung eines vorgegebenen Datenobjektes.
  
-Die Serverzertifikate aus den Standard-Profilen (z.B. "OV Multi Domain") sind direkt im Grid-Umfeld verwendbar. 
  
-=====Identifizierung und Dokumentation===== 
-====Welche Anforderungen bestehen an die Identifizierung und Dokumentation für persönliche Zertifikate (client certificates, Nutzerzertifikate)?==== 
  
-Die Anforderungen an die Identifizierung und die Dokumentation für Nutzerzertifikate sind im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates festgehalten: https://wiki.geant.org/display/TCSNT/TCS+Repository+======Audits======
  
-Die dort für "TCS eScience Personal" referenzierten Anforderungen der [[https://www.igtf.org|IGTF]] finden sich im Dokument "IGTF Levels of Authentication Assurance":   https://www.eugridpma.org/guidelines/authn-assurance/igtf-authn-assurance-1.1.pdf+Im Gegensatz zur DFN-PKI sind in GÉANT TCS keine regelmäßigen Audits der RA-Tätigkeit von Teilnehmern vorgesehen.
  
-Die in dem Dokumente genannten Anforderungen für "MICS/Birch" sind für die Nutzerzertifikate im Profil "GÉANT IGTF MICS..." relevant, die über AAI/SAML/IdP beantragt werden. Die Anforderungen für "Classic/Cedar" betrifft Nutzerzertifikate der Profile "GÉANT IGTF Classic..." über andere Antragswege.+Im [[https://wiki.geant.org/display/TCSNT/TCS+Repository|TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates]] wird in Kapitel 9.6.2 vereinbart:
  
-Die wichtigsten Punkte:+<code>The Subscriber agrees to provide on request full documentation to the Member and/or the GÉANT Association about the procedures used to populate and maintain the identity related information in its IdP. 
 +</code>
  
-  * Vor der Ausstellung eines Zertifikats soll eine persönliche  Identifizierung mit einem Lichtbildausweis oder andere gültigen offiziellen Dokumenten durchgeführt werden. +=====Statusmeldungen und Wartungsankündigungen=====
-  * Alternativ ist auch eine Video-Identifizierung oder eine Identifizierung über einen Notar möglich. +
-  * Alternativ genügt auch eine bestehende andauernde Beziehung zum Zertifikatnehmer, z.B im Rahmen eines Beschäftigungsverhältnisses, wenn hierdurch der Account im IdM (und damit der AAI) gesichert ist und zu Beginn eine Prüfung der Identität mit einem vergleichbaren Niveau, wie oben beschrieben, stattgefunden hat.+
  
-Im Unterschied zur DFN-PKI "Global" muss eine Identifizierung **nicht** von speziell benannten Teilnehmerservice-Mitarbeitern durchgeführt und auch **nicht** regelmäßig wiederholt werden. Eine Feststellung der Identität z.Bim Rahmen von Einstellungsprozessen reicht aus.+Statusmeldungen und Wartungsankündigungen der Sectigo-Services sind sichtbar über: https://sectigo.status.io
  
-Die Dokumentation der Identifizierung muss nicht über die Verfahren hinausgehen, die für die üblichen Einrichtungs-internen Prozesse im Rahmen eines Beschäftigungsverhältnisses oder eines Studiums notwendig +Die Meldungen können dort auch als E-Mail und RSS-Feed (https://status.io/pages/5938a0dbef3e6af26b001921/rss) abonniert werden.
-sindDie Einrichtung muss mit ihrer Dokumentation in der Lage sein, den Namen im Zertifikat auf eine konkrete Person zurückzuführen.+
  
-====Unterschiede GÉANT Personal und GÉANT IGTF====+=====Support=====
  
-Formal unterscheiden sich die Anforderungen an die Ausstellung von Nutzerzertifikaten für die Zertifikatprofile "GÈANT Personal..." und "GÈANT IGTF...". Erstere haben etwas niedrigere Anforderungen, so ist beispielsweise keine direkte persönliche Identifizierung gefordert, sondern eine Identifizierung anhand einer Kopie eines Lichtbildausweises.+Wir helfen auch bei technischen Schwierigkeiten mit den TCS-Systemen gerne weiter: [[mailto:dfnpca@dfn-cert.de|dfnpca@dfn-cert.de]]
  
-Allerdings lässt sich bei den in TCS angebotenen Formularen zur Beantragung in der Regel nicht verhindern, dass Personen GÉANT IGTF-Zertifikate beantragen. Dies bedeutet, dass Sie in der Praxis immer die höheren Anforderungen nach IGTF erfüllen müssen.+Ein direkter Kontakt mit dem englischsprachigen Sectigo Support ist auch möglich. Das Support-Portal von Sectigo ist erreichbar unter: https://sectigo.com/support-ticket 
  
-==== Vergleich mit DFN-AAI Advanced ====+Bitte unbedingt den folgenden Hinweis einfügen: "We are a DFN member of the GEANT TCS service, using the SCM instance https://cert-manager.com/customer/DFN."
  
-Die Regeln der DFN-AAI Advanced und die Regeln zur Identifizierung von Personen in TCS sind **nicht** deckungsgleich.+Es ist zu empfehlen, vor einer direkten Kontaktaufnahme zum Sectigo Support mit uns zu sprechen.
  
-Insbesondere lässt die DFN-AAI Advanced "etablierte Einschreibungs- und Einstellungsprozesse" zu. Ob die an Ihrer Einrichtung praktizierten Verfahren im Rahmen der DFN-AAI Advanced den oben genannten Regeln von GÉANT TCS genügenkann darum nicht pauschal beantwortet werdensondern muss von Ihnen bewertet werden.+===Support-Tickets für die Validierung (DCV) von IP-Adressen=== 
 +Sofern Sie ein Ticket für den speziellen [[de:dfnpki:tcs:domains#ip-adressen_in_zertifikaten|DCV-Vorgang zur Validierung von IP-Adressen]] erstellen wollenwählen Sie bitte für das Ticket //Case type: "Technical Support"// und //Case reason: "Sectigo Certificate Manager (SCM)"// ausdamit das Ticket gleich in die korrekte Supportschlange eingestellt wird.
  
-Vor einer gründlichen Prüfung der internen Prozesse sollten darum auf keinen Fall pauschal alle Personen in Ihrem IdP für den Zertifikatbezug freigeschaltet werden (Setzen des Attributs eduPersonEntitlement mit +===Support-Tickets für Anträge von Code-Signing-Zertifikate=== 
-Wert urn:mace:terena.org:tcs:personal-user, siehe[[de:dfnpki:tcsfaq#saml_fuer_die_beantragung_von_nutzerzertifikaten|SAML fü die Beantragung von Nutzerzertifikaten]]+Sofern Sie ein Ticket für die Bearbeitung von [[de:dfnpki:tcs:codesigning|Anträgen von Code-Signing-Zertifikaten]] erstellen wollen, wählen Sie bitte für das Ticket //Case type: "Validation Support"// und //Case reason: "Code Signing Certificate"// aus.
  
-====Welche Anforderung bestehen bei Serverzertifikaten (SSL OV)?====+Die Order Number ist zwingend anzugeben. Sie ist im SCM unter ☰→Certificates→Code Signing einsehbar.
  
-Die Anforderungen an die Identifizierung und die Dokumentation für Serverzertifikate sind im TCS Certification Practice Statement Server, eScience Server and Code Signing Certificates festgehalten:+=====E-Mail-Verteilerliste dfnpki-d=====
  
-https://wiki.geant.org/display/TCSNT/TCS+Repository +Auf [[https://listserv.dfn.de]] ist die E-Mail-Verteilerliste mailto:dfnpki-d@listserv.dfn.de eingerichtetDiese unmoderierte Liste soll den Austausch **unter den Teilnehmern an der DFN-PKI** befördern und die Diskussion von Problemen und die Verbreitung von Lösungsvorschlägen ermöglichen.
- +
-=====Beantragen von Zertifikaten ohne Login im cert-manager: Web-Formulare mit Access-Code===== +
- +
-Mit Web-Formularen können Nutzer ohne eigenen Login in cert-manager Zertifikate beantragen. Zur Nutzung eines Web-Formulars ist ein sogenannter "Access Codes" notwendig. Jeder, der diesen Access Code kennt, kann Zertifikate beantragen. +
- +
-Access Codes werden von einem RAO unter Settings->Enrollment Endpoints, SSL-Web Form bzw. Client Certificate Web Form mit dem Button "Accounts" erstellt. +
- +
- +
-**Bitte richten Sie keine Accounts zur Nutzung von Web-Formularen für Nutzerzertifikate ein**. Die Nutzer können bei diesem Antragsweg beliebige Vor- und Nachnamen angeben, und Sie haben keine Möglichkeit, diese vor Ausstellung zu verifizieren. Der korrekte Weg für Nutzerzertifikate in TCS ist die Anbindung eines IdP aus der DFN-AAI, siehe hierzu die Beschreibung der Möglichkeiten über SAML. +
- +
-**Bei Accounts für SSL Web Forms setzen Sie bitte auf keinen Fall die Checkbox "Automatically Approve Requests"**. Genehmigen Sie eingehende Requests immer manuell nach Prüfung über out-of-band-Methoden (z.B. eine informelle E-Mail). +
- +
-Die URL ist für alle Web-Formulare aller Einrichtungen im DFN-Mandanten von TCS identischhttps://cert-manager.com/customer/DFN/ssl +
- +
-Erst der Access Code sorgt für die Zuordnung eines Antrags zu Ihrer Einrichtung. +
- +
-=====Wie können Zertifikate mit mehreren Servernamen erstellt werden?===== +
- +
-Zertifikate mit mehreren Servernamen (FQDN) können mit einem der "Multidomain"-Profile erstellt werdenIn den Profilen ohne "Multidomain" ist nur ein Servername möglich. +
- +
-=====Was ist ein "External Requester"?===== +
- +
-Ein External Requester wird optional bei den Antragsformularen für Serverzertifikate abgefragt. Hier kann schlicht eine zusätzliche Mailadresse angegeben werden, die Benachrichtigungen zum Zertifikat erhält. +
- +
-=====Wie können Wildcard-Zertifikate erzeugt werden?===== +
- +
-Im Profil "Wildcard SSL" können direkt Wildcard-Zertifikate erzeugt werden. Es ist ein CSR der Form *.example.org einzureichen. +
- +
-=====SAML===== +
- +
-Ein Einrichtungs-eigener IdP aus der DFN-AAI kann für drei verschiedene Zwecke an das TCS-System angebunden werden. +
- +
-Unter https://cert-manager.com/customer/DFN/ssocheck/ steht ein Test-SP bereit, mit dem die übergebenen Attribute eingesehen werden können. +
- +
-====SAML für Login in cert-manager.com==== +
- +
-Mit diesem Weg können sich RAOs oder DRAOs in cert-manager.com einloggen. Eine Beschreibung der Voraussetzungen ist zu finden unter: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-ToenableSAMLforadminaccesstoSCM: +
- +
-Hierbei gibt es zwei verschiedene Wege:  +
-  - Bei einem per Admins, Button "Add", manuell angelegten Account mit Passwort kann zusätzlich das Feld "Identity Provider" auf "Your Institution" gesetzt werden, und "IdP Person Id" auf den Wert des Attributes eduPersonPrincipalName. Anschließend kann sich dieser Account per Nutzername/Password und alternativ auch per SAML einloggen. +
-  - Mit dem Weg Admins, Button "Add IdP User", kann ein Account ohne Passwort angelegt werde, der sich nur über den IdP einloggen kann. Zur Zeit müssen diese Accounts noch von der DFN-PCA manuell freigeschaltet werden. Ohne Freischaltung ist kein Login möglich. +
- +
-====SAML für die Beantragung von Serverzertifikaten==== +
- +
-Über diesen Weg können direkt per AAI-Login Serverzertifikate beantragt werden. +
- +
-Der IdP muss in eduGain eingebunden sein. Über Settings->Enrollment Endpoints muss ein SAML SSL Endpoint angelegt werden. Über die URI Extension wird eine einrichtungsspezifische URL angelegt, über die die Beantragung möglich ist. +
- +
-Mit der Checkbox "Automatically Approve Requests" gibt es die Option, zu derart authentifizierten Anträge direkt das Zertifikat zu erstellen. Wir empfehlen, diese Einstellung nur nach reichlicher Überlegung zu treffen, da es nach unserem Kenntnisstand keine Möglichkeit gibt, die akzeptierten Nutzer eines IdP einzuschränken. Hiermit kann dann jeder Nutzer in Ihrem IdP jedes Serverzertifikat erstellen. +
- +
-Ist diese Checkbox nicht aktiviert, müssen die Anträge von einem RAO oder DRAO über Certificates->Approve freigeschaltet werden. +
- +
-====SAML für die Beantragung von Nutzerzertifikaten==== +
- +
-Über diesen Weg können Nutzer direkt per AAI-Login Nutzerzertifikate beziehen. Die Zertifikate werden automatisch ohne weiteren Genehmigungsschritt ausgestellt. +
- +
-In der Verwaltungsoberfläche müssen unter Settings->Organizations->Edit Tab General die Felder Secondary Organization Name und Academic code (SCHAC Home Organization) gesetzt sein. +
- +
-Der IdP muss in eduGain eingebunden sein und alle Attribute wie in folgender Beschreibung von GÈANT freigeben: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-TouseSAMLinordertoallowuserstoorderclientcertificates: +
- +
- +
-Insbesondere muss ein eduPersonEntitlement urn:mace:terena.org:tcs:personal-user gesetzt werden. +
- +
-Bitte beachten Sie die Identifizierungsvoraussetzungen, wenn Sie über diesen Weg IGTF-Zertifikate ausstellen (siehe FAQ "Identifizierung und Dokumentation"). +
- +
- +
-Wenn diese Voraussetzungen gegeben sind, können über https://cert-manager.com/customer/DFN/idp/clientgeant Zertifikate bezogen werden.  +
- +
-Die Zertifikate werden automatisiert, ohne Einwirkung eines RAO oder DRAO ausgestellt. +
- +
-Achtung: Unter Settings->Enrollment Endpoints gibt es die (theoretische) Option, einen individuellen SAML Client Endpoint anzulegen. Dieser Weg führt nicht zum Erfolg, hierüber ist keine Zertifikatausstellung möglich. +
- +
-Achtung: Für Zertifikate, die auf diesem Wege ausgestellt werden, ist kein Key-Escrow möglich! +
-=====ACME===== +
-====ACME-Accounts==== +
- +
-Zur Nutzung von ACME müssen im cert-manager.com spezielle ACME-Accounts angelegt werden. Hierzu muss unter Settings->Enrollment Endpoints zu einem der ACME-Endpoints der Button Accounts betätigt werden. Dann per Button Add einen neuen Account anlegen. +
- +
-Achtung: Zustände von ACME-Accounts sind anscheinend nicht notwendigerweise komplett synchron zu Hintergrundsystemen bei Sectigo. Im Test konnte bspw. ein ACME-Account nicht direkt, sondern erst nach einer Wartezeit über Nacht gelöscht werden. +
- +
-====Ausstellen==== +
- +
-Vorausgesetzt, dass die dem Account zugewiesene Domain validiert und delegiert ist, kann direkt im Anschluss ein Zertifikat erzeugt werden: +
- +
-<code>certbot certonly --standalone --non-interactive --agree-tos --email <Email-Adresse> --server <Sectigo-Server> --eab-kid <Wert von eab-kid> --eab-hmac-key <Wert von eab-hmac-key> --domain <Servername> </code> +
- +
-Der ACME-Account ist anschließend auf dem System, auf dem die o.g. Zeile aufgerufen wurde, mit einem dort abgelegten Account-Key verknüpft und kann nicht ohne weiteres auf anderen Systemen durch einfache erneute Eingabe von eab-kid und eab-hmac-key verwendet werden. +
- +
-Um einen ACME-Account auf mehreren Systemen zu verwenden, muss die Account-Information des ACME-Clients kopiert werden. Für certbot liegen die Account-Informationen in /etc/letsencrypt/accounts/acme.sectigo.com . Da die ACME-Accounts in der Regel unlimitierte Fähigkeiten zum Ausstellen von Zertifikaten haben, ist sorgfältig abzuwägen ob die Account-Infomationen zwischen mehreren Servern geteilt werden sollten oder aber besser mit separaten ACME-Accounts gearbeitet werden soll. +
- +
-Ein Ansible-Gerüst zum zentralen Erstellen eines ACME-Accounts per REST-API und zum Bezug von Zertifikaten per ACME findet sich unter https://github.com/francescm/acme-ansible-debian-sectigo +
-====ACME-Zertifikate sperren==== +
- +
-Per ACME ausgestellte Zertifikate können nur per ACME-Client wie certbot gesperrt werden. certbot benötigt Zugriff auf die Account-Informationen von der initialen Ausstellung des Zertifikats. Wenn diese Voraussetzung gegeben ist, kann folgendermaßen gesperrt werden: +
- +
-<code>certbot revoke --cert-path <Pfad zum zu sperrenden Zertifikat> --server <Sectigo-Server></code> +
- +
-=====REST-API===== +
- +
-Die Systeme von Sectigo können per REST-API angesprochen werden. Eine Dokumentation hierzu finden Sie unter: https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000XDkE +
- +
-Die REST-API kann nur dann zum Enrollment verwendet werden, wenn unter Settings->Organizations per Button Edit in den Tabs "SSL Certificate" bzw. "Client Certificate" die Checkbox "Web-API" angekreuzt ist und ein Secret-Key eingetragen ist. Der Secret-Key wird zwar nur für eine veraltete SOAP-API aktiv verwendet, muss aber trotzdem vergeben werden. +
- +
-Es ist entweder Nutzername/Passwort eines im Cert-Manager angelegten Nutzers zu übergeben, oder aber eine Client-Authentifizierung per Zertifikat. +
- +
-Tipp: Man kann einen Nutzer in seiner Rolle so einschränken, dass ausschließlich der REST-API-Zugang verwendet werden kann. Hierzu unter Admins-><Auswahl>->Edit die Checkbox "WS API Only" ankreuzen. (Wichtig: Erst nachträglich nach der Vergabe des endgültigen Passworts setzen!) +
- +
-Beispiel für die Beantragung von Serverzertifikaten: +
- +
-<code>curl 'https://cert-manager.com/api/ssl/v1/enroll' -i -X POST \ +
-    -H "Content-Type: application/json;charset=utf-8"+
-    -H "login: <account>"+
-    -H "password: <passwort>"+
-    -H "customerUri: DFN" \ +
-    -d '{"orgId":<OrgId>,"subjAltNames":"<FQDN des Servers>","certType":<Nummer des Zertifikatprofils>,"numberServers":0,"serverType":-1,"term":365,"comments":"","externalRequester":"","customFields": [],"csr":"-----BEGIN CERTIFICATE REQUEST-----\nMIICYjCCAU...N818=\n-----END CERTIFICATE REQUEST-----"}'</code> +
- +
-Die <OrgId> ist direkt im cert-manager.com ablesbar: Settings->Organizations, Button Edit, Tab General +
- +
-Die <Nummer des Zertifikatprofils> muss einmalig mit folgendem Aufruf ermittelt werden: +
- +
-<code>curl 'https://cert-manager.com/api/ssl/v1/types' -H "password: $PASS" -i -X GET \ +
-    -H "Content-Type: application/json;charset=utf-8"+
-    -H "login: <account>"+
-    -H "password: <passwort>"+
-    -H "customerUri: DFN" \</code> +
- +
-Ausgestellte Zertifikate können mit folgendem Aufruf abgeholt werden: +
- +
-<code>curl  'https://cert-manager.com/api/ssl/v1/collect/<Antragsnummer>/<Format>' -H "password: $PASS" -i -X GET \ +
-    -H "Content-Type: application/json;charset=utf-8"+
-    -H "login: <account>"+
-    -H "password: <passwort>"+
-    -H "customerUri: DFN" \</code> +
- +
-<Antragsnummer> wurde bei einem vorherigen Aufruf von ...enroll als Rückgabewert zurückgeliefert. +
- +
-<Format> spezifiziert das Rückgabeformat, z.B. "pem", weitere mögliche Werte siehe https://sectigo.com/knowledge-base/detail/SCM-Sectigo-Certificate-Manager-REST-API/kA01N000000XDkE +
- +
-Für Nutzerzertifikate ist die Beantragung ähnlich aufgebaut. Die Aufrufe müssen an https://cert-manager.com/api/smime/v1/types, ....smime/v1/enroll und ....smime/v1/collect geschickt werden. Für weitere Details zu den Parametern ist die API-Dokumentation von Sectigo heranzuziehen. +
- +
-=====Schlüsselerzeugung und -hinterlegung bei Nutzerzertifikaten===== +
- +
-Die Schüsselerzeugung bei Nutzerzertifikaten ("Client Certificates") geschieht bei den Antragswegen "Web-Formular" und "SAML" auf Seiten der Server von Sectigo, wenn nicht explizit ein manuell erstellter PKCS#10-Request hochgeladen wird. +
- +
-Für den (nicht empfehlenswerten) Antragsweg "Web-Formular" ist es möglich, Key Escrow zu konfigurieren. Bei der Einrichtung einer Organisation oder eines Departments kann ausgewählt werden, ob für die auf Serverseite erzeugten Schlüssel eine Schlüsselhinterlegung stattfinden soll. Wenn ja, wird vor dem Ausstellen von Nutzerzertifikaten von der Organisation oder dem Department durch die Rollen RAO oder DRAO ein Master Encryption Key erzeugt. Dieser Master Encryption Key liegt anschließend ausschließlich innerhalb der Organisation oder des Departments vor. +
- +
-Die geheimen Schlüssel der Nutzer werden dann an diesen Master Encryption Key verschlüsselt. +
- +
-Ein RAO oder DAO kann geheime Schlüssel von Nutzern wiederherstellen, indem der Master Encryption Key beim Wiederherstellungsprozess per Hand in ein entspr. Formular in cert-manager eingegeben wird. Zertifikate, deren Schlüssel so wiederhergestellt wurden, werden automatisch gesperrt. +
- +
-Achtung: Dies ist beim Antragsweg "SAML" für Nutzerzertifikate nicht möglich! +
- +
-=====CAA-Records===== +
- +
-Wenn Sie CAA-Records setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für TCS: +
- +
-<code>muster-uni.de.       IN    CAA    0 issue "sectigo.com"</code> +
- +
- +
-Der CAA-Record muss bereits zum Zeitpunkt der Domain-Freischaltung passen, nicht erst zum Zeitpunkt der konkreten Zertifikatausstellung. +
-=====Support=====+
  
-Wir helfen gerne per dfnpca@dfn-cert.de+Eine Anmeldung ist **für DFN-PKI-Teilnehmer** möglich unter [[https://www.listserv.dfn.de/sympa/info/dfnpki-d]].
  
-Ein direkter Kontakt mit dem Sectigo Support ist auch möglich, es ist aber zu empfehlen zunächst mit uns zu sprechen. Das Support-Portal von Sectigo ist erreichbar unter: https://sectigo.com/support-ticket Bitte unbedingt den folgenden Hinweis einfügen: "We are a DFN member of the GEANT TCS service, using the https://cert-manager.com/customer/DFN SCM instance." 
  
-Statusmeldungen der Sectigo-Services sind sichtbar über: https://sectigo.status.io/pages/5938a0dbef3e6af26b001921 
  • Zuletzt geändert: vor 3 Jahren