Dies ist eine alte Version des Dokuments!
Diese FAQ richtet sich primär an die Teilnehmerservices an den an der DFN-PKI teilnehmenden Einrichtungen. Nicht alle hier beschriebenen Funktionen werden von allen Einrichtungen gleichermaßen umgesetzt. Falls Sie sich für den Bezug eines Zertifikats interessieren, wenden Sie sich bitte an Ihren lokalen Teilnehmerservice an Ihrer Heimateinrichtung.
Was ist TCS?
TCS (Trusted Certificate Service) ist ein PKI-Angebot, das der DFN-Verein über GÉANT bezieht. GÉANT realisiert den Dienst mit Hilfe von externen Anbietern, die über regelmäßige Ausschreibungen gefunden werden. Der aktuelle Anbieter ist Sectigo. Überblick über den Dienst bei GÉANT: https://security.geant.org/trusted-certificate-services/
Wie erhalten Einrichtungen einen Zugang?
Ein Zugang zu TCS kann über den Kontakt pki@dfn.de beauftragt werden.
Das initiale Setup erfolgt dann in direkter Absprache mit dfnpca@dfn-cert.de.
Gibt es eine Testumgebung für TCS REST API und die Webseiten?
Der TCS-Anbieter Sectigo stellt keine Testumgebung zur Verfügung.
Erste Schritte
Überblick über erste Schritte nach Erhalt eines Zugangs: Erste Schritte
Dokumentation
Bei GÉANT gibt es eine Zusammenstellung von FAQs: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ
Die Dokumentation von Sectigo zur Administrations-Oberfläche und zu ACME ist zu finden unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-Administrator-s-Guide/kA01N000000bvJA
Die REST-API ist dokumentiert unter https://sectigo.com/knowledge-base/detail/Sectigo-Certificate-Manager-SCM-REST-API/kA01N000000XDkE
Sectigo unterhält einen Youtube-Kanal mit vielen Tutorials: https://www.youtube.com/c/Sectigo/videos
Datenschutz
Hinweise zum Datenschutz und der vertraglichen Konstruktion: Datenschutz
Funktionsüberblick
Anwender haben Zugriff über die Administrations-Oberfläche, genannt „Sectigo Certificate-Manager“ (SCM), unter https://cert-manager.com/customer/DFN
Dort gibt es, wie in der Java RA-Oberfläche der DFN-PKI, einen direkten Überblick über offene Anträge und ausgestellte Zertifikate und eine Verwaltung von Domains. Es gibt eine Verwaltung von weiteren Administratoren und Abteilungen. Im cert-manager ist die sofortige Ausstellung von neuen Server- und Nutzerzertifikaten möglich.
TCS bietet zusätzlich:
- Web-Formulare zum Beantragen von Zertifikaten für nicht in cert-manager.com eingeloggte Benutzer
- Eine Ausstellung von Zertifikaten über eine SAML-Integration
- Eine ACME-Schnittstelle
- Eine REST-API
Es gibt keine Testumgebung.
Rollen, Anmeldung und Abteilungen (Departments)
In SCM gibt es verschiedene Rollen und Möglichkeiten zur Anmeldung. Es können Abteilungen („Departments“) angelegt werden: Rollen, Anmeldung, Abteilungen
Tipps und Tricks in SCM
Zugriff per AAI
Viele Funktionen im cert-manager können auch nach einem Login über die DFN-AAI genutzt werden. Hierzu müssen Voraussetzungen erfüllt sein: Zugriff per AAI
Benachrichtigungen
Um Benachrichtigungen über Ereignisse wie den Ablauf von Zertifikaten oder der Gültigkeit von Domain-Valididierungen zu erhalten, können Benachrichtigungen konfiguriert werden: Benachrichtigungen in SCM
Domains und IPv4-Adressen in Zertifikaten
Um Zertifikate zu erhalten, müssen die entsprechenden Domains oder IPv4-Adressen vorab bei Sectigo im System eingetragen werden. Eine detaillierte Beschreibung ist verfügbar unter: Domains und IPv4-Adressen in Zertifikaten
Zertifikate erstellen
CA- und Root-Zertifikate in TCS
Die uns bekannten Root- und CA-Zertifikate in TCS sind dokumentiert unter: TCS CA-Zertifikate
CAA-Records
Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken:
Zertifikate sperren (Revoke, Revocation)
Zertifikate sollen üblicherweise von einem RAO oder DRAO in https://cert-manager.com/customer/DFN gesperrt werden.
Die Sperrmechanismen von ACME (z.B. mit certbot revoke) stehen für per ACME ausgestellte Zertifikate ebenfalls zur Verfügung.
Unter der folgenden URL steht ein Sperrinterface bereit, in dem Sperranträge gestellt werden können: https://secure.sectigo.com/products/RevocationPortal
Hier sind allerdings weitere Authentifizierungsschritte erforderlich, wie beispielsweise die Beantwortung einer E-Mail-Challenge, die Bereitstellung des Private Key oder die Signierung eines vorgegebenen Datenobjektes.
Audits
Im Gegensatz zur DFN-PKI sind in GÉANT TCS keine regelmäßigen Audits der RA-Tätigkeit von Teilnehmern vorgesehen.
Im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates wird in Kapitel 9.6.2 vereinbart:
The Subscriber agrees to provide on request full documentation to the Member and/or the GÉANT Association about the procedures used to populate and maintain the identity related information in its IdP.
Statusmeldungen und Wartungsankündigungen
Statusmeldungen und Wartungsankündigungen der Sectigo-Services sind sichtbar über: https://sectigo.status.io
Die Meldungen können dort auch als E-Mail und RSS-Feed (https://status.io/pages/5938a0dbef3e6af26b001921/rss) abonniert werden.
Support
Wir helfen auch bei technischen Schwierigkeiten mit den TCS-Systemen gerne weiter: dfnpca@dfn-cert.de
Ein direkter Kontakt mit dem englischsprachigen Sectigo Support ist auch möglich. Das Support-Portal von Sectigo ist erreichbar unter: https://sectigo.com/support-ticket
Bitte unbedingt den folgenden Hinweis einfügen: „We are a DFN member of the GEANT TCS service, using the SCM instance https://cert-manager.com/customer/DFN.“
Es ist zu empfehlen, vor einer direkten Kontaktaufnahme zum Sectigo Support mit uns zu sprechen.
Support-Tickets für die Validierung (DCV) von IP-Adressen
Sofern Sie ein Ticket für den speziellen DCV-Vorgang zur Validierung von IP-Adressen erstellen wollen, wählen Sie bitte für das Ticket Case type: „Technical Support“ und Case reason: „Sectigo Certificate Manager (SCM)“ aus, damit das Ticket gleich in die korrekte Supportschlange eingestellt wird.
Support-Tickets für Anträge von Code-Signing-Zertifikate
Sofern Sie ein Ticket für die Bearbeitung von Anträgen von Code-Signing-Zertifikaten erstellen wollen, wählen Sie bitte für das Ticket Case type: „Validation Support“ und Case reason: „Code Signing Certificate“ aus.
Die Order Number ist zwingend anzugeben. Sie ist im SCM unter ☰→Certificates→Code Signing einsehbar.
E-Mail-Verteilerliste dfnpki-d
Auf https://listserv.dfn.de ist die E-Mail-Verteilerliste mailto:dfnpki-d@listserv.dfn.de eingerichtet. Diese unmoderierte Liste soll den Austausch unter den Teilnehmern an der DFN-PKI befördern und die Diskussion von Problemen und die Verbreitung von Lösungsvorschlägen ermöglichen.
Eine Anmeldung ist für DFN-PKI-Teilnehmer möglich unter https://www.listserv.dfn.de/sympa/info/dfnpki-d.