Versionen im Vergleich

Alte Version 2

changes.mady.by.user Bauer Kurt

Gespeichert am

verglichen mit

Neue Version 3

changes.mady.by.user Bauer Kurt

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Admins im

...

Harica Certificate Manager

...

RAOs

DRAOs

Management von Domains

TLS/SSL Zertifikate

S/MIME (Email bzw. Client) Zertifikate

...

GEANT, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Firma Sectigo Harica als CA (Certificate Authority) abgeschlossen und stellt dieses Service als Trusted Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.

ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können, auf Basis der Zusatzvereinbarung zur ACOnet­‐Teilnahmevereinbarung betreffend die Nutzung des Trusted Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden, siehe auch http://tcs.aco.net/.

Der Vertrag mit Sectigo gilt ab dem 01.05.2020, initial für 2 Jahre und kann dann jährlich, bis zu einer Gesamtlaufzeit von 10 Jahren, verlängert werden.

Anker
tcs-admin
tcs-admin
Ankertcs-admintcs-adminWas ist ein TCS-Admin?

Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eine/n, sollte aber mehr als eine/n, TCS Administrator/in angeben und diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen haben im Portal die Möglichkeit, beantragte Zertifikate ihrer eigenen Organisation zu sehen, zu bestätigen, abzulehnen oder zu widerrufen. Im Portal von Sectigo Harica werden diese Admins als RAO (Registration Authority Officer) bezeichnet Enterprise Admins bezeichnet.

Anker
dcv
dcv
Was ist DCV (Domain Control Validation)?

Bei der Registrierung einer neuen Domain, wird mittels DCV automatisiert überprüft, ob die Person, die die Validierung einer Domain angestossen hat (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen hat.

Es gibt 3 2 Möglichkeiten:

  1. Email
  2. DNS CNAMEHTTP/HTTPS File

1. Email:

Hierzu sendet der DCV Mechanismus ein E-Mail mit einem jeweils eindeutigen Code an einen definierten Satz von Adressen. Dieser Code wird durch den/die Empfänger dieser DCV Mails zur Validierung auf einer Webseite validiert (Email Challenge-Response Verfahren).
Erst nach dieser Validierung (bei Multi-Domain-Zertifikaten je Domain) wird das Zertifikat ausgestellt.

...

  • hostmaster@domain_name
  • postmaster@domain_name
  • webmaster@domain_name
  • administrator@domain_name
  • admin@domain_name

Zusätzlich kann das DCV Mail auch an alle Email-Adressen, die im 'whois-record' der Domain als tech- oder admin-contact gelistet sind, gesandt werden. Viele Domain Registrierungsstellen erlauben die Abfrage von Email-Adressen via whois allerdings nicht mehr. Der Grund dafür sind die strengen Richtlinien der DSGVO, wodurch personenbezogene Daten, wie Email-Adressen, nicht mehr abfragbar sind.
Die Email-Adressen (generisch oder via whois) sind nicht nur für den Domainnamen des Zertifikats verfügbar, sondern auch für Domains "darüber":
z.B. um ein Zertifikat für www.bla.muh.ac.at zu erhalten, stehen folgende Mail-Domains für die DCV Bestätigung zur Verfügung:

  • @www.bla.muh.ac.at
  • @bla.muh.ac.at
  • @muh.ac.at

2. DNS CNAME

Es wird ein hash erzeugt, der als DNS CNAME record für die Domain eingetragen werden muss und überprüft wird.

3. HTTP/HTTPS File

Es wird ein .txt File erzeugt, das im 'root' des Webservers abrufbar sein muss.

(Warnung) VORSICHT: Diese Methode ist für die Validierung von Wildcard-Domains nicht mehr geeignet, siehe https://sectigo.com/resource-library/modifications-to-available-file-based-methods-of-domain-control-validation (Warnung)

TCS Zusatzvereinbarung

Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.

...

2. DNS CNAME

Es wird ein hash erzeugt, der als DNS CNAME record für die Domain eingetragen werden muss und überprüft wird.

TCS Zusatzvereinbarung

Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.

Anker
Beilage1
Beilage1
Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)

  • Bei Körperschaften öffentlichen Rechts und ähnlichen, auf Grund von Gesetzen (z.B. FOG)  existierenden Organisationen, hier bitte einen Verweis auf das entsprechende Gesetz, wenn geht paragraphengenau, angeben.
  • Für Kapitalgesellschaften ersuchen wir um einen aktuellen Firmenbuchauszug, aus dem die Zeichnungsberechtigung des Unterfertigers der Zusatzvereinbarung für den Teilnehmer hervorgeht. Bei Abweichungen der Zeichnungsberechtigungen vom Firmenbuch benötigen wir auch eine Kopie einer notariell beglaubigten Vollmacht, aus der die Zeichnungsberechtigung für den Abschluß eines derartigen Rechtsgeschäftes eindeutig hervorgeht.
  • Bei Vereinen bitte um eine ZVR-Zahl.

Anker
Beilage2
Beilage2
Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)

Die Beilage 2 dient zum Anlegen einer Organisation bei Harica. Folgende Dinge sind dabei zu beachten:

  • Die Informationen (Name, Adressdaten) müssen jenen Informationen entsprechen, die sich auch in den in Beilage 1 beigebrachten Dokumenten wiederfinden. Diese sollten auch als QIS (Qualified Information Source) dem Validierungsantrag der Organisation beigefügt werden.
    (Warnung) Da das Organisations Feld im Subject eines X509 Zertifikats maximal 64 Zeichen lang sein darf , darf auch die Bezeichnung der Organisation in Beilage 2 nicht länger als 64 Zeichen sein, wobei Sonderzeichen, z.B. Umlaute, als 2 Zeichen zu zählen sind. (Warnung)

...

  • Bei Körperschaften öffentlichen Rechts und ähnlichen, auf Grund von Gesetzen (z.B. FOG)  existierenden Organisationen, hier bitte einen Verweis auf das entsprechende Gesetz, wenn geht paragraphengenau, angeben.
  • Für Kapitalgesellschaften ersuchen wir um einen aktuellen Firmenbuchauszug, aus dem die Zeichnungsberechtigung des Unterfertigers der Zusatzvereinbarung für den Teilnehmer hervorgeht. Bei Abweichungen der Zeichnungsberechtigungen vom Firmenbuch benötigen wir auch eine Kopie einer notariell beglaubigten Vollmacht, aus der die Zeichnungsberechtigung für den Abschluß eines derartigen Rechtsgeschäftes eindeutig hervorgeht.
  • Bei Vereinen bitte um eine ZVR-Zahl.

...

Die Beilage 2 dient zum Anlegen einer Organisation bei Sectigo. Folgende Dinge sind dabei zu beachten:

  • Die Informationen (Name, Adressdaten) müssen jenen Informationen entsprechen, die sich auch in den in Beilage 1 beigebrachten Dokumenten wiederfinden. Diese sollten auch als QIS (Qualified Information Source) dem Validierungsantrag der Organisation beigefügt werden.
    (Warnung) Da das Organisations Feld im Subject eines X509 Zertifikats maximal 64 Zeichen lang sein darf , darf auch die Bezeichnung der Organisation in Beilage 2 nicht länger als 64 Zeichen sein, wobei Sonderzeichen, z.B. Umlaute, als 2 Zeichen zu zählen sind. (Warnung)
  • Auswahlboxen 'key recovery': Sectigo bietet die Möglichkeit, den privaten Schlüssel von über das Sectigo Portal (SCM, Sectigo Certificate Manager) beantragten persönlichen Zertifikaten, verschlüsselt zu speichern (siehe Details zum Erstellen des Schlüssel). Diese privaten Schlüssel werden in einem "elektronischen Safe" hinterlegt und können im Notfall, ie. wenn damit verschlüsselte Daten gebraucht werden, der/die Mitarbeiterin oder der private Schlüssel aber nicht mehr greifbar sind, ausgelesen werden. Sobald dies geschieht, wird das jeweilige persönliche Zertifikat allerdings sofort widerrufen und kann nicht mehr zur Verschlüsselung und/oder Signierung verwendet werden.
    Ob ein solcher "elektronischer Safe" für eine Organisation erstellt wird oder nicht muss allerdings beim Anlegen der Organisation festgelegt werden und kann nachträglich nicht mehr verändert werden.
    Weiters muss vor Beantragung des ersten persönlichen Zertifikats der Schlüssel für diesen Safe erstellt werden (siehe Details zum Erstellen des Schlüssel). Wenn dieser Schlüssel verloren geht, gibt es keine Möglichkeit auf den Safe und damit auf die privaten Schlüssel zuzugreifen.

Anker
Beilage3
Beilage3
Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)

...

In der Beilage 3 sind uns die Organisations Administratoren , RAOs (Registration Authority Officer) in Sectigo Nomenklatur, zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:

  • Validierung bzw. Revalidierung der Organisation anstossen
  • Domains anlegen und DCV (siehe DCV) anstossen
  • Departments und weitere zugehörige Administratoren anlegenDomains an Departments delegierenberechtigen
  • Zertifikatsanträge genehmigen

Admins im

...

Harica Certificate Manager

...

RAOs

Anker
initial_RAO
initial_RAO
Anlegen der initialen Admins

...

  1. Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen RAOs. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
  2. Ein bestehender TCS Admin (RAO) schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren RAOs per Mail an tcs@aco.net.
  3. Ein bestehender 'Department Admin' (DRAO, siehe Anlegen von 'Department Admins') kann vom ACOnet Team die Berechtigungen konfiguriert bekommen, um als RAO zu funktionieren. Dazu genügt ebenfalls ein Mail eines bestehenden TCS Admin (RAO) an tcs@aco.net.

DRAOs

Anker
DRAO
DRAO
Anlegen von 'Department Admins'

...