Versions Compared

Old Version 89

changes.mady.by.user Bauer Kurt

Saved on

compared with

New Version 90

changes.mady.by.user Bauer Kurt

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

Allgemein

Anchor
tcs
tcs
Was ist TCS?

TCS steht für Trusted Certificate Service.

...

Der Vertrag mit Sectigo gilt ab dem 01.05.2020, initial für 2 Jahre und kann dann jährlich, bis zu einer Gesamtlaufzeit von 10 Jahren, verlängert werden.

Anchor
tcs-admin
tcs-admin
Was ist ein TCS-Admin?

Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eine/n, sollte aber mehr als eine/n, TCS Administrator/in angeben und diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen haben im Portal die Möglichkeit, beantragte Zertifikate ihrer eigenen Organisation zu sehen, zu bestätigen, abzulehnen oder zu widerrufen. Im Portal von Sectigo werden diese Admins als RAO (Registration Authority Officer) bezeichnet.

Anchor
dcv
dcv
Was ist DCV (Domain Control Validation)?

Bei der Registrierung einer neuen Domain, wird mittels DCV automatisiert überprüft, ob die Person, die die Validierung einer Domain angestossen hat (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen hat.

...

Es wird ein .txt File erzeugt, das im 'root' des Webservers abrufbar sein muss.

TCS Zusatzvereinbarung

Anchor
Beilage1
Beilage1
Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)

  • Bei Körperschaften öffentlichen Rechts und ähnlichen, auf Grund von Gesetzen (z.B. FOG)  existierenden Organisationen, hier bitte einen Verweis auf das entsprechende Gesetz, wenn geht paragraphengenau, angeben.
  • Für Kapitalgesellschaften ersuchen wir um einen aktuellen Firmenbuchauszug, aus dem die Zeichnungsberechtigung des Unterfertigers der Zusatzvereinbarung für den Teilnehmer hervorgeht. Bei Abweichungen der Zeicnungsberechtigungen vom Firmenbuch benötigen wir auch eine Kopie einer notariell beglaubigten Vollmacht, aus der die Zeichnungsberechtigung für den Abschluß eines derartigen Rechtsgeschäftes eindeutig hervorgeht.
  • Bei Vereinen bitte um eine ZVR-Zahl.

Anchor
Beilage2
Beilage2
Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)

Die Beilage 2 dient zum Anlegen einer Organisation bei Sectigo. Folgende Dinge sind dabei zu beachten:

  • Die Informationen (Name, Adressdaten) müssen jenen Informationen entsprechen, die sich auch in den in Beilage 1 beigebrachten Dokumenten wiederfinden. Diese sollten auch als QIS (Qualified Information Source) dem Validierungsantrag der Organisation beigefügt werden (siehe Validierung der Organisation).
  • Auswahlboxen 'key recovery': Sectigo bietet die Möglichkeit, den privaten Schlüssel von über das Sectigo Portal (SCM, Sectigo Certificate Manager) beantragten persönlichen Zertifikaten, verschlüsselt zu speichern (siehe Details zum Erstellen des Schlüssel). Diese privaten Schlüssel werden in einem "elektronischen Safe" hinterlegt und können im Notfall, ie. wenn damit verschlüsselte Daten gebraucht werden, der/die Mitarbeiterin oder der private Schlüssel aber nicht mehr greifbar sind, ausgelesen werden. Sobald dies geschieht, wird das jeweilige persönliche Zertifikat allerdings sofort widerrufen und kann nicht mehr zur Verschlüsselung und/oder Signierung verwendet werden.
    Ob ein solcher "elektronischer Safe" für eine Organisation erstellt wird oder nicht muss allerdings beim Anlegen der Organisation festgelegt werden und kann nachträglich nicht mehr verändert werden.
    Weiters muss vor Beantragung des ersten persönlichen Zertifikats der Schlüssel für diesen Safe erstellt werden (siehe Details zum Erstellen des Schlüssel). Wenn dieser Schlüssel verloren geht, gibt es keine Möglichkeit auf den Safe und damit auf die privaten Schlüssel zuzugreifen.

Anchor
Beilage3
Beilage3
Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)

siehe auch Was ist ein TCS-Admin?

...

Admins im SCM (Sectigo Certificate Manager)

RAOs

Anchor
initial_RAO
initial_RAO
Anlegen der initialen Admins

Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.

Anchor
further_RAO
further_RAO
Anlegen weiterer Admins

Für das Anlegen bzw. Berechtigen weiterer RAOs gibt es 3 Möglichkeiten:

  1. Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 mit den neuen RAOs. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
  2. Ein bestehender TCS Admin (RAO) schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren RAOs per Mail an tcs@aco.net.
  3. Ein bestehender 'Department Admin' (DRAO, siehe Anlegen von 'Department Admins') kann vom ACOnet Team die Berechtigungen konfiguriert bekommen, um als RAO zu funktionieren. Dazu genügt ebenfalls ein Mail eines bestehenden TCS Admin (RAO) an tcs@aco.net.

DRAOs

Anchor
DRAO
DRAO
Anlegen von 'Department Admins'


Management von Domains

Anchor
create_domain
create_domain
Anlegen von Domains

Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.

...

Wählen sie im SCM Settings DomainsAdd. Sie können an dieser Stelle auch gleich die Delegierung der Domain erledigen.

Anchor
delegate_domain
delegate_domain
Delegierung von Domains

Wählen sie im SCM Settings Domains, dann erscheinen 2 Schaltflächen → Delegations & DCV Delegations wählen, dann die Domain wählen, die sie delegieren wollen → Delegate klicken und Organisation bzw. Department für den jeweiligen Zertifikatstyp anhaken.

Anchor
approve_domain
approve_domain
Bestätigung von Domains

Vor der Validierung der Domain, muss die Delegierung bestätigt werden. Wählen sie dazu im SCM Settings Domains → View. Dann die Organisation (oder Department) wählen und Approve klicken.

Anchor
validate_domain
validate_domain
Validierung von Domains

Info
titleCAA record

Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Sectigo für diese Domain verhindert. Falls dem so ist, validiert Sectigo die Domain nicht.

Einfacher check: dig caa <domain> oder diverse online tools

siehe auch Sectigo CAA info

...

Wählen sie im SCM Settings Domains, dann erscheinen 2 Schaltflächen → Delegations & DCV DCV wählen, dann die Domain wählen, die sie validieren wollen →  DCV button → Methode wählen

TLS/SSL Zertifikate

Anchor
keypair
keypair
Erstellen eines "keypairs"

siehe Erstellen des Keypairs.

Anchor
ssl_self_enroll
ssl_self_enroll
Beantragung von TLS-Zertifikaten für Nutzerinnen, die nicht *RAOs sind

Sie können Personen, die keine Admins im SCM sind, erlauben, Zertifikate anzufordern.
Gehen Sie dazu zu SettingsOrganizations, wählen Sie Ihre Organisation aus und klicken sie Edit. (Oder, wenn dies nur für eine Abteilung (Department) gelten soll, verwenden Sie nach der Auswahl der Organisation die Schaltfläche Departments, wählen Sie die Abteilung aus und klicken Sie stattdessen Edit).

...

Info
titleNo Auto Approve
Aktivieren Sie nicht die Option Automatically Approve Self Enrollment Requests, da sie Zertifikatsanfragen, die über diesen Weg eintreffen, manuell genehmigen werden wollen.


API Verwendung

Anchor
WS API
WS API
'WS API use only' Verwendung

Prinzipiell kann jeder Benutzer im SCM auch die API Funktionalität verwenden. Es ist jedoch aus Sicherheitsgründen sinnvoll, für das API einen eigenen Benutzer anzulegen und diesen auf die Benutzung des API einzuschränken. Dazu dient der Parameter 'WS API use only' bei den Privileges eines Benutzers. Auf Grund der Art der Benutzerverwaltung bei Sectigo ist es jedoch auch bei einem solchen Benutzer notwendig, dass bei der Anlage gesetzte Passwort, nach erstmaligem Login zu ändern. Es empfielt sich somit folgender Ablauf:

  1. API Account anlegen bzw. vom ACOnet Team anlegen lassen, falls er auf Organisationsebene funktionieren soll (siehe oben), 'WS-API use only' noch nicht wählen
  2. Mit dem API Account im SCM anmelden - Passwort ändern
  3. Dann 'WS-API use only' wählen bzw. dem ACOnet-Team Bescheid geben, dass wir das tun sollen.
  4. Ab dann funktioniert der User per API, kann sich aber nicht mehr im SCM anmelden.

Anchor
customeruri
customeruri
Was ist der 'customerUri'

Customer aus Sectigo Sicht ist immer ACOnet, der korrekte Wert ist also 'customerUri: ACOnet'

Anchor
cert-api
cert-api
Zertifikate per API beantragen

Um Zertifikate (Client oder SSL) per API beantragen zu können ist es notwendig, die Option 'Web API' im jeweiligen Register anzuhaken. Es ist auch notwendig, einen 'Secret Key' zu vergeben, welcher allerdings für das REST-API nicht in Verwendung ist (dieser Key würde für die alte SOAP API verwendet werden).

Anchor
curl
curl
einfaches curl Beispiel

Anzeigen der eigenen Organisation(en) ink. dazugehöriger Informationen:

...