Versionen im Vergleich

Alte Version 3

changes.mady.by.user Bauer Kurt

Gespeichert am

verglichen mit

Neue Version 4

changes.mady.by.user Bauer Kurt

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

TLS/SSL Zertifikate

...

Für das Anlegen bzw. Berechtigen weiterer RAOs Admins gibt es 3 Möglichkeiten:

  1. Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen RAOsAdmins. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
  2. Ein bestehender TCS Admin (RAO) schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren RAOs Admins per Mail an an tcs@aco.net.
  3. Ein bestehender 'Department Admin' (DRAO, siehe Anlegen von 'Department Admins') kann vom ACOnet Team die Berechtigungen konfiguriert bekommen, um als RAO zu funktionieren. Dazu genügt ebenfalls ein Mail eines bestehenden TCS Admin (RAO) an tcs@aco.net.

DRAOs

...

  1. Admin berechtigt einen neuen Account selbst.

Management von Domains

Anker
create_domain
create_domain
Anlegen von Domains

Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.

Wenn sie Domains anlegen müssen sie immer die eigentliche Domain und die dazu gehörige 'Wildcard Domain' anlegen, z.B. example.at und *.example.at
Diese 'Eigenheit' bei Sectigo ist notwendig, um beliebige Subdomains bzw. Hostnamen in Zertifikaten verwenden zu können (z.B. foo.bar.example.at, aber auch www.example.at).
Es kann sein, dass die Validierung der 'Wildcard Domain' länger braucht, sobald jedoch die Hauptdomain erfolgreich validiert ist, können sofort Zertifikate beantragt werden, auch für Subdomains bzw. beliebige Hostnamen.

Wählen sie im SCM 'linkes Menü' Domains → '+'. Sie können an dieser Stelle auch gleich die Delegierung der Domain erledigen.

...

Wählen sie im SCM 'linkes Menü' Domains, Domain wählen → Delegate Button klicken und Organisation bzw. Department für den jeweiligen Zertifikatstyp anhaken.

...

Vor der Validierung der Domain, muss die Delegierung bestätigt werden

Die Bestätigung der Delegierung von Domains kann nur von einem MRAO aus dem ACOnet Team durchgeführt werden. Das ACOnet Team wird automatisch notifiziert, sollte es zu Verzögerungen kommen, bitte ein Mail an tcs@aco.net schicken.

Anker
validate_domain
validate_domain
Validieren von Domains

Info
titleCAA record

Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Sectigo Harica für diese Domain verhindert. Falls dem so ist, kann Sectigo können keine Zertifikate für diese Domain ausstellenausgestellt werden.

Einfacher check: dig caa <domain> oder diverse online toolssiehe auch Sectigo CAA info

Starten der Validierung:

Wählen sie im SCM 'linkes Menü' Domains, sie  Domain wählen, die sie validieren wollen →  Validate Button →   → Methode wählen (zu den Methoden, siehe Was ist DCV?)

Anker
revalidate_domain
revalidate_domain
Re-Validierung von Domains

Ab 90 Tagen vor dem Ablauf der Validierung kann die DCV DCV kann jederzeit erneut angestossen werden. Eine automatische Re-Validierung von Domains durch Sectigo Harica passiert nicht, diese muss also manuell (oder per API) angestossen werden.

Bis wann die Validierung gültig ist, finden sie im SCM  'linkes Menü' Domains, Domain wählen, im DCV Bereich ('Expires')

Anker
delete_domain
delete_domain
Löschen von Domains


Domains können nur selbst gelöscht werden, bevor sie bestätigt sind (siehe Bestätigen von Domains).
Sobald die Bestätigung erfolgt ist, können Domains nicht mehr selbst gelöscht werden. Falls eine Domain gelöscht werden soll, kann ein dem ACOnet bekannter RAO ('organizational admin') den bzw. die Namen der zu löschenden Domains an tcs@aco.net senden und ein MRAO aus dem ACOnet Team wird die Domain(s) löschen.kontaktieren sie bitte den Harica Support.

TLS/SSL Zertifikate

Anker
cert_profiles
cert_profiles

...

Zertifikatstypen

GÉANT OV Multi-Domain
→ wenn SANs gebraucht werden. Wir empfehlen allerdings, auch ohne SANs dieses Profil zu nehmen, Erklärung siehe GÉANT OV SSL

GÉANT OV SSL
→ wenn nur CN, kein(e) SAN(s) gebraucht werden - allerdings wird bei diesem Profil automatisch ein SAN in der Form www.<CN> hinzugefügt. Wenn man das nicht will, auch für diesen Fall GÉANT OV Multi-Domain verwenden

GÉANT Wildcard SSL
→ wenn sie ein Zertifikat für *.domain brauchen

GÉANT Unified Communications Certificate
speziell für Microsoft Exchange und/oder Microsoft Office Communication Server (OCS) Umgebungen

GÉANT EV Multi-Domain
→ können bzw. sollten nicht direkt beantragt werden, siehe EV (Extended Validation) Zertifikate

GÉANT EV SSL
→  können bzw. sollten nicht direkt beantragt werden, siehe EV (Extended Validation) Zertifikate

optionale Profile

für die Aktivierung/Freischaltung dieser Profile kontaktieren sie bitte das ACOnet Team unter tcs@aco.net

GÉANT IGTF Multi-Domain
spezielles Zertifikat zur Verwendung im "Grid Computing Umfeld", siehe auch Secondary Organization Name

Anker
keypair
keypair
Erstellen eines CSR (Certificate Signing Request)

Um Probleme bei der Beantragung von Zertifikaten zu vermeiden, empfielt es sich, nur den CN bei der Erstellung des CSR anzugeben. Sollten nämlich die anderen Felder angegeben sein, aber nicht mit den validierten Daten bei Sectigo übereinstimmen, kann es zu Fehlern und der Ablehnung des Zertifikatsantrags führenDie anderen Felder werden beim Zertifikatsantrag ignoriert.

Beispiele für das Erstellen des CSR

Anker
ssl_self_enroll
ssl_self_enroll
Beantragung von TLS-Zertifikaten für Nutzerinnen, die nicht *RAOs sind

...

Vergeben sie einen Namen und wählen die Organisation und eventuell das Department aus. Wählen sie die 'Certificate Profiles' (im Normalfall die OV Profile und eventuell das Wildcard Profil), die verfügbar sein sollen und geben Sie einen selbst gewählten Access Code ein.
Unter https://cert-manager.com/customer/ACOnet/ssl können sie dann im ersten Punkt 'Certificate Enrollment' mittels des erstellten 'Access Code' und Angabe einer Mail-Adresse das Zertifikat beantragen. Der Domain-Teil der angegebenen E-Mail Adresse muss dabei einer validierten Domain in der entsprechenden Organisation entsprechen, ansonsten wird der Zugriff verweigert.

...

sind

...

Den URL unter dem Feld URI Extension an die Benutzer aushändigen. Nutzerinnen müssen sich dann bei ihrem IdP authentifizieren, bevor sie zu der gleichen 'Certificate Enrollment' Seite wie oben kommen. Der Domain-Teil der E-Mail-Adresse, die von ihrem IdP mitgeschickt wird, muss dabei einer validierten Domain in der entsprechenden Organisation entsprechen, ansonsten wird der Zugriff verweigert.

...

...

Anker
EV
EV
EV (Extended Validation) Zertifikate

EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (Google Chrome Announcement, Mozilla Firefox Announcement) keinen signifikanten Vorteil im Vergleich zu OV (Organization Validated) Zertifikaten mehr. EV Zertifikate sind auch nicht im TCS Portfolio enthalten. Sollten sie trotzdem ein Extended Validation Zertifikat beziehen wollen, muss vor der Beantragung und Ausstellung eines EV Zertifikats,  ein 'EV anchor certificate' beantragt werden.

Den Ablauf zur Beantragung eines 'EV Anchor Certificate' finden sie im Sectigo EV anchor and SCM Manual

...

kontaktieren sie bitte den Harica Support.

Anker
cert_delivery
cert_delivery
Empfang und Verwendung

...

Info
titleAnmerkung

Ziel ist natürlich, dass Sectigo die pem Dateien in einer Form zur Verfügung stellt, in der sie direkt verwendet werden können. Bis es soweit ist, helfen eventuell folgende Tipps.

Prinzipiell brauchen sie bei Webservern das Leaf-Zertifikat und nur das GEANT Intermediate Zertifikat als Chain-Zertifikat zu verwenden - das Root-Zertifikat finden die Web-Browser und andere clients selbst (in ihrem 'truststore').

Je nachdem welche 'Version' des pem Files sie von den angebotenen Links bei Sectigo  herunterladen, sind unterschiedliche Zertifikate enthalten. Was allen Arten gleich ist, ist die falsche Reihenfolge der Zertifikate, ie. Leaf Zertifikat als unterstes, darüber eventuell ein oder mehrere Intermediate Zertifikate und darüber, als oberstes, das Root Zertifikat.
Fast alle devices brauchen die Zertifikate allerdings in umgekehrter Reihenfolge, ie. Leaf Zertifikat zu oberst, darunter das Intermediate Zertifikat.

...

der

...

Zertifikate

...

Wenn sie dann auf 'Issuer' klicken, kommen sie zur 'CA Id' Ansicht des passenden 'GEANT Inermediate', wo sie mit einem Klick auf die Nummer unter 'crt.sh ID' direkt zum passenden Zertifikat kommen
Auch hier haben sie links unten unter 'Download Certificate: PEM' die Möglichkeit, das Zertifikat herunterzuladen.

...

S/MIME (Email bzw. Client) Zertifikate

Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen 2 die folgenden für das TCS relevant sind:

  • Sponsor-validated → entspricht "GÉANT Personal email signing and encryption" im TCS

  • Organization-validated → entspricht "GÉANT Organisation email signing and encryption" im TCS
  • Domain-validated

Folgend sind Details zu den beiden Typen zu finden:

Anker
client_types
client_types
Zertifikatstypen

GÉANT Personal email signing and encryption

In Zertifikaten, die mit diesem Zertifikatsprofil ausgestellt wurden, sind sowohl die Organisation, als auch die Person validiert. Im Subject des Zertifikats findet sich der validierte Name der Person (CN, GIVENNAME und SURNAME), die validierte Organisation (O) und die Email-Adresse (E), deren Namensteil genau dieser Person zugeordnet sein muss und deren Domain-Teil implizit validiert ist.
Die Überprüfung und Validierung einzelner Personen liegt natürlich nicht im Bereich von Sectigo, sondern bei den jeweiligen Organisationen. Die erfolgte Überprüfung ('identity vetting') bestätigt die jeweilige Organisation bzw. deren Vertreter ('RAO') mittels des Attributs 'Validation Type' des Personenobjekts (Persons). Ein 'GÉANT Personal email signing and encryption' Zertifikat wird nur dann ausgestellt, wenn dieses Attribut den Wert 'High (Identity Validated for S/MIME Sponsored Enrollment)' hat.
Um dieses Attribut zu setzten, gibt es mehrere Möglichkeiten:

  • Verwendung des SAML Self Service Portal: In diesem Fall wird das Attribut nach erfolgreicher Authentifizierung automatisch auf 'High' gesetzt.
  • Verwendung einer Enrollment Form: In diesem Fall muss das Attribut manuell, oder per API gesetzt werden. Dabei ist zwischen 2 Möglichkeitren zu unterscheiden:
    • Person existiert bereits: Das Attribut kann jederzeit gesetzt werden.
    • Person existiert noch nicht: In diesem Fall muss die Enrollment Form wie gewohnt genutzt werden. Nach dem erstmaligen Ausfüllen und anschliessendem Submit kommt allerdings eine Fehlermeldung: 'The person does not have a high validation status....'. Zu diesem Zeitpunkt wurde die Person allerdings bereits im System angelegt und das Attribut kann gesetzt werden. Ein weiterer Klick auf 'Submit' oder jede spätere Verwendung der Enrollment Form erlaubt dann die Ausstellung des Zertifikats.
  • Verwendung der API: siehe API Verwendung
Info
titleValidation Type High

Grundsätzlich ist zu beachten, dass das Setzen des 'Validation Types' auf 'High' bestätigt, dass eine ‘persönliche Identifikation‘ der Person erfolgt ist. Dies ist natürlich nur für natürliche Personen möglich.
Sectigo überprüft ausgestellte 'GÉANT Personal email signing and encryption' Zertifikate auch laufend auf Einhaltung dieser Voraussetzungen und widerruft falsch ausgestellte Zertifikate.

 

GÉANT Organisation email signing and encryption

In Zertifikaten, die mit diesem Zertifikatsprofil ausgestellt wurde, ist nur die Organisation validiert. Im Subject des Zertifikats findet sich auch nur die validierte Organisation (CN) und die Email-Adresse (E), deren Domain-Teil implizit validiert ist.
Diese Zertifikate bieten sich z.B. für Gruppen-Postfächer oder Rollen Email-Adressen an. Für diese Zertifikate reicht es, wenn der "Validation Type" des Personenobjekts (Persons) auf 'Standard' gesetzt ist.

...

Sponsor-validated
Organization-validated
Domain-validated

Zertifikatsaustellung

Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die beiden unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.

Anker
client_selfenroll
client_selfenroll
Self Enrollment

Um 'self enrollment' für Client Zertifikate zu aktivieren , müssen sie unter Enrollment - Enrollment Forms - Client Certificate Web Form wählen - Accounts klicken - Add klicken oder bestehenden Account wählen und Edit klicken.
'(Certificate) Profiles' wählen, die verfügbar sein sollen (im Normalfall 'GÉANT Personal email signing and encryption' und/oder 'GÉANT Organisation email signing') und einen 'Access Code' vergeben und die weiteren Einstellungen je nach Bedarf vornehmen.
Unter https://cert-manager.com/customer/ACOnet/smime können sie dann im ersten Punkt 'Certificate Enrollment by AccessCode' mittels des erstellten 'Access Code' und Angabe einer Mail-Adresse, deren Domain-Teil an die Organisation/das Department für 'client certificates' delegiert und validiert sein muss, das Zertifikat beantragen.

...

...

Self Enrollment

...

Wenn sie Client Zertifikate im 'self enrollment' für ein Department einrichten, beachten sie bitte die Einstellungen zur 'key recovery':

...

Den 'encryption key' kann allerdings nur ein DRAO (Department Admin) mit der entsprechenden Berechtigung im Department erstellen, als RAO ist dies nicht möglich.

Anker
SAML_SSP
SAML_SSP
SAML Self Service Portal

...

SAML Self Service Portal

...

(Info) Mit dem Sectigo Certificate Manager SSO Check kann man sich die übertragenen und ggfs fehlenden Attribute anzeigen lassen.

Anker
cs
cs
Code Signing Zertifikate

Voraussetzungen:

...

  • Organizations - Org wählen - Certificate Settings - Code Signing Certificates - Enabled

...

  • Domains - Domain wählen - Delegate - Hakerl bei Code Signing Certificate

...

:

...

Beantragung Zertifikat:

...

  • Certificates - Code Signing Certificates - Invitations - '+' - Email-Addr. eingeben und entsprechenden Enrollment Endpoint & Account wählen

...

Grid bzw. IGTF SSL Zertifikate

Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net

...

Für die Verwendung von IGTF SSL Zertifikaten ist ein Organisationsname Voraussetzung, der nur ASCII Zeichen enthält. Dafür gibt es den 'Secondary Organization Name', wo die 'asciified' Version des Organisationsnamen eingetragen werden kann. Auch dieser Name muss erneut validiert werden (siehe auch Spalte 'SECONDARY VALIDATION' in der Übersicht).
Nur wenn es diesen 'Secondary Organization Name' gibt, können IGTF SSL Zertifikate ausgestellt werden.

API Verwendung

Infos zur Verwendung des SCM REST API bei Sectigo

...

Prinzipiell kann jeder Benutzer im SCM auch die API Funktionalität verwenden. Es ist jedoch aus Sicherheitsgründen sinnvoll, für das API einen eigenen Benutzer anzulegen und diesen auf die Benutzung des API einzuschränken. Dazu dient der Parameter 'WS API use only' bei den Privileges eines Benutzers. Auf Grund der Art der Benutzerverwaltung bei Sectigo ist es jedoch auch bei einem solchen Benutzer notwendig, dass bei der Anlage gesetzte Passwort, nach erstmaligem Login zu ändern. Es empfielt sich somit folgender Ablauf:

  1. API Account anlegen bzw. vom ACOnet Team anlegen lassen, falls er auf Organisationsebene funktionieren soll (siehe oben), 'WS-API use only' noch nicht wählen
  2. Mit dem API Account im SCM anmelden - Passwort ändern
  3. Dann 'WS-API use only' wählen bzw. dem ACOnet-Team Bescheid geben, dass wir das tun sollen.
  4. Ab dann funktioniert der User per API, kann sich aber nicht mehr im SCM anmelden.

...

Customer aus Sectigo Sicht ist immer ACOnet, der korrekte Wert ist also 'customerUri: ACOnet'

...

...

API

...

Verwendung

...

Anzeigen der eigenen Organisation(en) ink. dazugehöriger Informationen:

...