Frequently Asked Questions

Allgemein

• Was ist TCS?
• Was ist ein TCS-Admin(istrator)?
• Was ist DCV?

TCS-Portal

• Meine Organisation ist nicht in der Liste zur Auswahl. Was muss ich tun?
• Muss ich mich am Portal anmelden um ein Zertifikat zu beantragen?
• Welche Credentials (Benutzername,/Passwort) brauche ich, um mich als TCS-Admin am Portal anzumelden?
• Wie kann ich mich abmelden?

TLS/SSL

...

Zertifikate

• Mein fertiges Zertifikat wird vom Browser als ungültig zurückgewiesen. Was kann ich dagegen tun?
• Verwendung des Zertifikats mit Apache HTTP Server

Code Signing Zertifikate

Email Zertifikate

...

Allgemein

Anchor
tcs tcs

Was ist TCS?

TCS steht für Terena Certificate Service.

TERENA, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Firma Comodo als CA (Certificate Authority) abgeschlossen und stellt dieses Service als TERENA Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.

ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können, auf Basis der Zusatzvereinbarung zur ACOnet­‐Teilnahmevereinbarung betreffend die Nutzung des TERENA Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden, siehe auch http://tcs.aco.net/.

Anchor
tcs-admin tcs-admin

Was ist ein TCS-Admin

...

?

TCS Administratoren haben im TCS Portal einen Bereich in dem sie beantragte Zertifikate ihrer ACOnet Teilnehmerorganisation sehen, bestätigen, ablehnen oder widerrufen können. Jeder ACOnet Teilnehmer der Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eineneine/n, sollte aber mehr als eineneine/n, TCS Administrator/in angeben und diesen diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen gibt es im ACOnet TCS-Portal einen Bereich, in dem sie beantragte Zertifikate ihrer eignen Organisation sehen, bestätigen, ablehnen oder widerrufen können.

Anchor
dcv dcv

Was ist DCV (Domain Control Validation)?

Bevor ein SSLServer-Zertifikat für einen Domain-Namen ausgestellt werden kann, wird durch Comodo mittels DCV automatisiert überprüft, ob die Person, die das Zertifikat beantragt ein beantragtes Zertifikat bestätigt (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen im jeweiligen Zertifikats-Request hat. Dies gewährleistetsoll helfen zu verhindern, dass Zertifikate nur für Berechtigte, ie die Domain Kontrollierende ausgestellt werden.
Um dies zu überprüfen, wird ein Email mit einem eindeutigen Code an eine Adresse solche Zertifikate (absichtlich oder unabsichtlich) in falsche Hände gelangen.

Hierzu sendet der DCV Mechanismus E-Mails (From: "Comodo Security Services" <noreply@trust-provider.com>) mit einem jeweils eindeutigen Code an durch die TCS-Admins jeweils aus einem definierten Satz von Adressen geschickt und dieser Code muss wählbare Adressen. Dieser Code muss durch den/die Empfänger dieser DCV Mails zur Validierung auf einer Webseite von Comodo (secure.comodo.net, aber mit TERENA Logo) eingegeben werden (Email Challenge-Response Verfahren).
Erst nach dieser Validierung (bei Multi-Domain-Zertifikaten je Domain) wird das Zertifikat ausgestellt.

Folgende 5 generische Emailadressen sind verfügbarEmail-Adressen werden den TCS-Admins für die DCV Bestätigung immer angeboten:

• hostmaster@domain_name
• postmaster@domain_name
• webmaster@domain_name
• administrator@domain_name
• admin@domain_name

Darüber hinaus sind alle Emailadressen verfügbarwerden auch alle Email-Adressen zur Auswahl gestellt, die im 'whois-record' der Domain als tech- oder admin-contact gelistet sind.
Die generischen Emailadressen Email-Adressen sind nicht nur für den Domainnamen des Zertifikats verfügbar, sondern auch für Domains "darüber":
Z z.B. um ein Zertifikat für www.bla.muh.ac.at zu erhalten, stehen folgende Mail-Domains für die DCV Emailadressen Bestätigung zur Verfügung:

• @www.bla.muh.ac.at
• @bla.muh.ac.at
• @muh.ac.at

TCS-Portal

Anchor
portal_orglist portal_orglist

Meine Organisation ist nicht in der Liste zur Auswahl. Was muss ich tun?

Um in der Liste aufzuscheinen muss die ACOnet-Teilnehmerorganisation eine Zusatzvereinbarung mit ACOnet unterzeichnen.
Falls Sie nicht zur Erkundigen Sie sich bei der IT-Abteilung Ihrer Organisation gehören, fragen Sie bitte zuerst dort nach ob eine Zusatzvereinbarung bereits vorliegtob diese bereits eine TCS Zusatzvereinbarung mit ACOnet abgeschlossen hat.

Als IT-Verantwortlicher:
Falls Sie die TCS Zusatzvereinbarung bereits an uns geschickt haben und schon mehrere Tage keine Rückmeldung von uns bekommen haben, fragen Sie bitte unter admintcs(at)aco.net nach oder rufen Sie uns an unter der Nummer: +43-1-4277-14030

Anchor
portal_apply portal_apply

Muss ich mich am Portal anmelden um ein Zertifikat zu beantragen?

Für die Beantragung eines Zertifikats ist derzeit keine Anmeldung am Portal notwendig. Folgen sie der Anleitung zur Beantragung von Server- und Code Signing Zertifikaten. Für die Bestätigung/Freigabe eines Zertifikats-Requests müssen sich die TCS-Admins jedoch anmelden (s.u.).

Anchor
portal_credentials portal_credentials

Welche Credentials (Benutzername

...

/Passwort) brauche ich, um mich als TCS-Admin am Portal anzumelden?

Eine Anmeldung am TCS-Portal ist nur für die Administration von Zertifikaten und somit für TCS-Administratoren notwendig. Zur Anmeldung ist ein ACOnet-Portal Account nötig (siehe FAQs zu ACOnet Webportal).

Anchor
portal_logout portal_logout

Wie kann ich mich abmelden?

• kurze Antwort: Die sicherste Methode sich als TCS-Admin vom ACOnet TCS-Portal abzumelden ist das Schließen des Browsers.
• detailierte detaillierte Antwort: Das ACOnet TCS-Portal ist vorbereitet, um als Service (SP) in der ACOnet Identity Federation betrieben zu werden. Aktuell bedient es sich zur Authentifizierung nur des Identity Providers der Universität Wien vorbereitet. Die TCS-Admins werden über ihre ACOnet-Portal Accounts authentifiziert und autorisiert, die derzeit als univie.ac.at Identitäten (IdP) verwaltet werden. In einer weiteren Ausbaustufe wird soll es möglich sein, sich mit den Credentials seiner Heimorganisation anzumelden, wobei die Authorisierung zum Service bei ACOnet bleiben wird.
  (des eigenen IdP) anzumelden. Da das ACOnet TCS-Portal somit Teil der SAML V2 basierten Web-SingleSignOn Infrastruktur ist, wäre, um sich vom Service abzumelden, ein Web-SingleLogOut notwendig, da ein sicheres Abmelden von nur einer Applikation nicht möglich und sinnvoll ist kommen alle Einschränkungen dieser Technologie in Bezug auf (Single)LogOut zum Tragen (siehe auch SLO Issues im Shibboleth Wiki).
  Ein Abmelden Button im TCS-Portal wäre somit "gefährlich", da er nur den Anschein erwecken würde, daß man vom Service abgemeldet ist, de facto würde aber ein Klick auf Login genügen, um ohne neuerliche Eingabe von Username/Passwort wieder authentifiziert und authorisiert autorisiert zu sein.
  Somit ist die einzige Methode, sich verlässlich von allen benutzen benutzten Web-Anwendungen abzumelden, das komplette Beenden des Webbrowsers bzw. das komplette Abmelden von dem benutzen benutzten Computer oder Terminal. Eine Alternative kann das Ein/Ausschalten des "Incognito" oder "Private Browsing" Modes des jeweiligen Browsers vor/nach der TCS-Administration darstellen, hierzu kann aber aufgrund der unterschiedlichen Implementierungen keine klare Empfehlung ausgesprochen werden.

TLS/SSL

...

Zertifikate

Anchor
invalid_cert invalid_cert

Mein fertiges Zertifikat wird vom Browser als ungültig zurückgewiesen. Was kann ich dagegen tun?

Wahrscheinlich haben Sie vergessen, die *Intermediate Zertifikate* mitzugeben (siehe \[Verwendung des Zertifikats mit [Apache HTTP Server|http://projects.apache.org/projects/http_server.html]\|#apache\]). Es ist essentiell wichtig, dass die beiden Intermediate-Zertifikate am Server mitgelinkt werden.

Anchor
apache apache

Verwendung des Zertifikats mit Apache HTTP Server

Das ausgestellte Zertifikat müssen Sie mit den sogenannten Intermediate-Zertifikaten in Ihre Applikation einbauen. Beim Apache HTTP Server sieht das beispielsweise folgendermaßen aus:

...

• certificate.pem ist Ihr neu ausgestelltes und unterschriebenes Zertifikat
• chain.pem ist die Datei mit den benötigten Intermediate-Zertifikaten. Die Intermediate-Zertifikate finden sie auf der selben Webseite, wo sie auch ihr Zertifikat abholen. Das Root CA Zertifikat sollte Ihr SSL CLient (Browser, Mailprogramm, etc) bereits kennen und dieses ist daher nur der Vollständigkeit halber angegeben.
• certificate.key ist Ihr anfangs erstelltes Keyfile.

Code Signing Zertifikate

Email Zertifikate