Dokumentation DFN-AAI, DFN-PKI und eduroam - de:dfnpki:tcs:2025

acme

Anonymous (anonymous@undisclosed.example.com) — 2026-02-13T08:28:51+00:00

2026/02/13 08:53		aktuell
Zeile 143:		Zeile 143:


-	=== Nicht nutzbar: Apache Modul mod_md ===	+	=== Nicht nutzbar: Apache Modul mod_md ===

-	Nach Berichten von Usern sind neuere Versionen von ''mod_md'' derzeit nicht kompatibel mit HARICA: Zwar funktioniert die initiale Beantragung. Allerdings nutzt ''mod_md'' beim Betrieb die ACME-Erweiterung ''ARI''. Zum einen muss HARICA diese Erweiterung erst noch unterstützen, zum anderen gibt es in ''mod_md'' einen Bug, der zu einer konkreten Fehlfunktion führt.	+	Neuere Versionen von ''mod_md'' sind derzeit nicht mit HARICA kompatibel. Das erste Ausstellen eines Zertifikats funktioniert, allerdings scheitert die Erneuerung aufgund eines Bugs in der ARI-Implementierung von ''mod_md''. Teilweise wurde auch beobachtet, dass ''mod_md'' soviele Anfragen an die ACME-Directory-URL des HARICA-Systems schickt, dass dort eine IP-Sperre greift.

-	''mod_md'' ist damit nicht nutzbar.	+	Der Fehler ist nach unserem Kenntnisstand mindestens ab ''mod_md'' v2.6.0 enthalten (Achtung: Versionssnummern von ''mod_md'' sind unabhängig von den Apache-Versionen).
		+
		+
		+	''mod_md'' ist damit derzeit nicht nutzbar.

	=== ACME-Proxy tiny-acme-server ===		=== ACME-Proxy tiny-acme-server ===

acme_enterprise

Anonymous (anonymous@undisclosed.example.com) — 2026-02-03T16:33:24+00:00

2025/07/29 09:19		aktuell
Zeile 29:		Zeile 29:
	6. Nun muss der neue Account in der Liste aufgesucht und geöffnet werden		6. Nun muss der neue Account in der Liste aufgesucht und geöffnet werden

-	7. Unter dem Tab "Domains" müssen Regeln hinzugefügt werden, für welche Subdomains oder FQDN Zertifikate ausgestellt werden sollen. Für eine neue Regel klicken Sie auf das "+" links neben einer Domain. Es können Deny oder Allow-Regeln konfiguriert werden, um komplexe Szenarien abbilden zu können.	+	7. Unter dem Tab "Domains" müssen Regeln hinzugefügt werden, für welche Subdomains oder FQDN Zertifikate ausgestellt werden sollen. Für eine neue Regel klicken Sie auf das "+" links neben einer Domain. Es können Deny oder Allow-Regeln konfiguriert werden, um komplexe Szenarien abbilden zu können. Das Feld "Domain" funktioniert nicht mit Regex.

	Ohne explizit hinzugefügte Regeln können keine Zertifikate ausgestellt werden.		Ohne explizit hinzugefügte Regeln können keine Zertifikate ausgestellt werden.

acme_personal

Anonymous (anonymous@undisclosed.example.com) — 2026-01-23T17:10:39+00:00

2026/01/23 18:10		aktuell
Zeile 21:		Zeile 21:
	* Die User sehen in ihrem Dashboard den Eintrag ACME nicht mehr		* Die User sehen in ihrem Dashboard den Eintrag ACME nicht mehr
	* Beim Versuch, die Credentials zu verwenden, erhalten die User eine Fehlermeldung (dies gilt auch für automatische Zertifikatverlängerungen!)		* Beim Versuch, die Credentials zu verwenden, erhalten die User eine Fehlermeldung (dies gilt auch für automatische Zertifikatverlängerungen!)
		+
	An unexpected error occurred:		An unexpected error occurred:
	ACME Personal not enabled for Organization		ACME Personal not enabled for Organization

-	Wenn erst freigeschaltet, dann rückgängi gemacht, und dann wieder freigeschaltet wird, gilt:	+	Wenn erst freigeschaltet, dann rückgängig gemacht, und dann wieder freigeschaltet wird, gilt:
	* Alle Personal EAB Accounts, die in Schritt 1 angelegt wurden, sind wieder gültig und können für die Ausstellung von Zertifkaten verwendet werden.		* Alle Personal EAB Accounts, die in Schritt 1 angelegt wurden, sind wieder gültig und können für die Ausstellung von Zertifkaten verwendet werden.

api

Anonymous (anonymous@undisclosed.example.com) — 2026-02-03T17:04:23+00:00

2025/10/09 15:50		aktuell
Zeile 19:		Zeile 19:
	* Javascript (FE) & Python (BE) https://gitlab.mpi-klsb.mpg.de/pcernko/smimereq		* Javascript (FE) & Python (BE) https://gitlab.mpi-klsb.mpg.de/pcernko/smimereq

-	Seit Januar 2025 gibt es eine DFN-PKI-Softwarentwicklungsmailingliste: https://www.listserv.dfn.de/sympa/info/dfnpki-dev und [[de:dfnpki:contact#mailingliste_softwareentwicklung\|DFN-PKI Kontakte und Mailinglisten]]	+	Eine Mailingliste speziell für Themen rund um die Softwarentwicklung finden Sie unter https://www.listserv.dfn.de/sympa/info/dfnpki-dev bzw. [[de:dfnpki:contact#mailingliste_softwareentwicklung\|DFN-PKI Kontakte und Mailinglisten]]

caa

Anonymous (anonymous@undisclosed.example.com) — 2026-02-03T17:30:39+00:00

2026/02/03 18:28		aktuell
Zeile 26:		Zeile 26:
	</code>		</code>

-	=== Auswertung von CAA-Records bei Sub-Domains ===	+	=== Auswertung von CAA-Records bei Subdomains ===

	CAA-Records werden "von links nach rechts" abgefragt. Die CA prüft zunächst, ob im DNS ein CAA-Record beim vollständigen FQDN vorliegt. Falls nein, wird iterativ von links ein Label vom Namen entfernt, und dieser neue Name auf Vorhandensein eines CAA-Records geprüft.		CAA-Records werden "von links nach rechts" abgefragt. Die CA prüft zunächst, ob im DNS ein CAA-Record beim vollständigen FQDN vorliegt. Falls nein, wird iterativ von links ein Label vom Namen entfernt, und dieser neue Name auf Vorhandensein eines CAA-Records geprüft.

cacerts

Anonymous (anonymous@undisclosed.example.com) — 2025-09-12T15:22:40+00:00

2025/09/12 17:13		aktuell
Zeile 12:		Zeile 12:


-	HARICA liefert für Serverzertifikate in der Vriante "PEM Bundle" standardmäßig Zertifizierungsketten zur Installation in Servern aus, die auf den Cross-CA-Zertifikaten enden. Dadurch ist maximale Kompatibilität gegeben.	+	HARICA liefert für Serverzertifikate in der Variante "PEM Bundle" standardmäßig Zertifizierungsketten zur Installation in Servern aus, die auf den Cross-CA-Zertifikaten enden. Dadurch ist maximale Kompatibilität gegeben.

	In der Variante "PKCS#7 (chain)" wird das Cross-CA-Zertifikat nicht ausgeliefert.		In der Variante "PKCS#7 (chain)" wird das Cross-CA-Zertifikat nicht ausgeliefert.

documentsigning

Anonymous (anonymous@undisclosed.example.com) — 2025-06-05T11:20:43+00:00

2026/04/28 22:09		aktuell
Zeile 1:		Zeile 1:
		+	===== Dokumente signieren =====

domains

Anonymous (anonymous@undisclosed.example.com) — 2026-03-19T11:21:04+00:00

2026/02/05 14:56		aktuell
Zeile 33:		Zeile 33:
	=== Sub-Domains ===		=== Sub-Domains ===

-	Sub-Domains (z.B. ''department.example.org'') müssen und können im HARICA-System grundsätzlich nicht hinzugefügt werden, wenn die Haupt-Domain bereits in der eigenen Organisation hinterlegt ist.	+	Sub-Domains (z.B. ''department.example.org'') müssen im HARICA-System grundsätzlich nicht zusätzlich hinzugefügt werden, wenn die Haupt-Domain bereits in der eigenen Organisation hinterlegt ist.

-	Es ist aber problemlos möglich, eine Base-Domain in Organisation A und eine Sub-Domain davon in Organisation B zu hinterlegen. Beide, Base-Domain und Sub-Domain, müssen unabhängig voneinander von den zugeordneten Einrichtungen validiert werden.	+	Es ist erlaubt, eine Base-Domain in Organisation A und eine Sub-Domain davon in Organisation B zu hinterlegen. Beide, Base-Domain und Sub-Domain, müssen unabhängig voneinander von den zugeordneten Einrichtungen validiert werden.

	=== E-Mail-Benachrichtigungen (Notifications) vor Ablauf einer Domain-Validierung ===		=== E-Mail-Benachrichtigungen (Notifications) vor Ablauf einer Domain-Validierung ===

enrollment

Anonymous (anonymous@undisclosed.example.com) — 2026-02-12T17:49:31+00:00

2026/02/12 18:36		aktuell
Zeile 95:		Zeile 95:
	===== Organisationsvalidierung =====		===== Organisationsvalidierung =====

-	Die Re-Validierung einer Organisation wird genau so durchgeführt wie deren Erst-Validierung, auch wenn sich die einzureichenden Dokumente gegenüber der letzten Organisaionsvalidierung nicht unterscheiden.	+	Die Re-Validierung einer Organisation wird genau so durchgeführt wie deren Erst-Validierung, auch wenn sich die einzureichenden Dokumente gegenüber der letzten Organisaionsvalidierung nicht geändert haben. Die anstehenden Organisations-Re-Validierungen im Zuge der Umstellung Mitte März 2026 werden sicher eine Weile dauern.

	Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Insbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.		Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Insbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.

ersteschritte

Anonymous (anonymous@undisclosed.example.com) — 2025-10-01T14:32:00+00:00

2025/10/01 16:15		aktuell
Zeile 40:		Zeile 40:

	=== 7. Organisationsvalidierung (OV) ===		=== 7. Organisationsvalidierung (OV) ===
-	* Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Sie können S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie als Enterprise-Admin eine Organisationsvalidierung anstoßen. Hierfür müssen Sie Dokumente über die Organisation an das HARICA-Support-Team übermitteln.	+	* Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Sie können S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie als Enterprise-Admin eine Organisationsvalidierung anstoßen und abschließen. Hierfür müssen Sie Dokumente über die Organisation an das HARICA-Support-Team übermitteln.
	* Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#organisationsvalidierung mit weiteren Informationen und einer detaillierteren Ablaufsbeschreibung.		* Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#organisationsvalidierung mit weiteren Informationen und einer detaillierteren Ablaufsbeschreibung.
	* Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen.		* Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen.

servercerts

Anonymous (anonymous@undisclosed.example.com) — 2025-09-12T15:20:56+00:00

2025/09/12 17:15		aktuell
Zeile 55:		Zeile 55:
	Der Antragsstellende kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. Diese Datei enthält eine Zertifizierungskette für maximale Kompatibilität mit Cross-CA-Zertifikat auf die Wurzelzertifikate von 2015.		Der Antragsstellende kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. Diese Datei enthält eine Zertifizierungskette für maximale Kompatibilität mit Cross-CA-Zertifikat auf die Wurzelzertifikate von 2015.

-	Die Option "PKCS#7 (chain)" entält das Cross-CA-Zertifikat nicht.	+	Die Option "PKCS#7 (chain)" enthält das Cross-CA-Zertifikat nicht und ist nicht maximal kompatibel.

	{{:de:dfnpki:harica:ssl-download-user.png?500\|Bild des Dialogs Certificate Download}}		{{:de:dfnpki:harica:ssl-download-user.png?500\|Bild des Dialogs Certificate Download}}

-	Hinweis: Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" nicht zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''.	+	Hinweis: Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" nicht zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''. Letzteres wird ebenfalls ohne Cross-CA-Zertifikat ausgeliefert.

tipstricks

Anonymous (anonymous@undisclosed.example.com) — 2025-12-10T12:36:29+00:00

2025/12/10 13:36		aktuell
Zeile 34:		Zeile 34:
	==== Login-Probleme ====		==== Login-Probleme ====

-	Zu viele hintereinander fehlgeschlagene Login-Versuche eines lokalen Accounts auf den HARICA-Web-Seiten führen zu einer ca. 60 minütigen Login-Sperre für den Account. Es gibt keine Rückmeldung der Web-Seite über das konkrete Auslösen einer solchen temporären Login-Sperre. Ein Rücksetzen des Passwortes funktioniert in diesem Zeitraum nicht. Die Login-Sperre wird nach dem Sperrzeitraum automatisch aufgehoben.	+	Zu viele hintereinander fehlgeschlagene Login-Versuche eines //lokalen HARICA-Accounts// auf den HARICA-Web-Seiten führen zu einer ca. 60 minütigen Login-Sperre für den Account. Es gibt keine Rückmeldung der Web-Seite über das konkrete Auslösen einer solchen temporären Login-Sperre. Ein Rücksetzen des Passwortes funktioniert in diesem Zeitraum nicht. Die Login-Sperre wird nach dem Sperrzeitraum automatisch aufgehoben.

usercerts

Anonymous (anonymous@undisclosed.example.com) — 2026-02-19T12:26:38+00:00

2025/11/05 13:00		aktuell
Zeile 96:		Zeile 96:

	Eigenschaften:		Eigenschaften:
-	* Es können bis zu drei E-Mail-Adressen pro Zertifikat angegeben werden.	+	* Es können bis zu drei E-Mail-Adressen pro Zertifikat angegeben werden. Die Groß-/Kleinschreibung der E-Mail-Adressen aus der CSV-Datei bleibt im Zertifikat erhalten.
	* Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System.		* Übergabe eines CSR in der Spalte "CSR" oder alternativ Generierung der Schüssel durch das HARICA-System.
	* Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein.		* Die Werte in der Spalte "FriendlyName" dürfen maximal 85 Zeichen lang sein.

2025/09/12 17:15		aktuell
Zeile 55:		Zeile 55:
	Der Antragsstellende kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. Diese Datei enthält eine Zertifizierungskette für maximale Kompatibilität mit Cross-CA-Zertifikat auf die Wurzelzertifikate von 2015.		Der Antragsstellende kann das Zertifikat über "My Dashboard" herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button ''PEM bundle'' im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. Diese Datei enthält eine Zertifizierungskette für maximale Kompatibilität mit Cross-CA-Zertifikat auf die Wurzelzertifikate von 2015.

-	Die Option "PKCS#7 (chain)" entält das Cross-CA-Zertifikat nicht.	+	Die Option "PKCS#7 (chain)" enthält das Cross-CA-Zertifikat nicht und ist nicht maximal kompatibel.

	{{:de:dfnpki:harica:ssl-download-user.png?500\|Bild des Dialogs Certificate Download}}		{{:de:dfnpki:harica:ssl-download-user.png?500\|Bild des Dialogs Certificate Download}}

-	Hinweis: Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" nicht zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''.	+	Hinweis: Der Enterprise Approver hat den Button ''PEM bundle'' in seiner Übersicht unter "Enterprise->SSL Certificates" nicht zur Verfügung. Hier gibt es nur ''Download as PEM'', ''Download as DER'' und ''Download as PKCS#7''. Letzteres wird ebenfalls ohne Cross-CA-Zertifikat ausgeliefert.