Frequently Asked Questions
Allgemein
TCS Zusatzvereinbarung
- Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)
- Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)
- Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)
Admins im SCM (Sectigo Certificate Manager)
RAOs
DRAOs
Management von Domains
- Anlegen von Domains (Add)
- Delegieren von Domains (Delegate)
- Bestätigen von Domains (Approve)
- Validieren von Domains (DCV)
- Re-Validierung von Domains (DCV)
- Löschen von Domains (Delete)
TLS/SSL Zertifikate
- Zertifikatsprofile
- Erstellen eines CSR (Certificate Signing Request)
- Beantragung von TLS-Zertifikaten für Nutzerinnen, die nicht *RAOs sind
- EV (Extended Validation) Zertifikate
- Empfang und Verwendung der Zertifikate von Sectigo
S/MIME (Email bzw. Client) Zertifikate
Code Signing Zertifikate
Grid bzw. IGTF SSL Zertifikate
API Verwendung
- 'WS API use only' Verwendung
- Was ist der 'customerUri'
- Zertifikate per API beantragen
- einfaches curl Beispiel
...
Zusätzlich kann das DCV Mail auch an alle Email-Adressen, die im 'whois-record' der Domain als tech- oder admin-contact gelistet sind, gesandt werden. Viele Domain Registrierungsstellen erlauben die Abfrage von Email-Adressen via whois allerdings nicht mehr. Der Grund dafür sind die strengen Richtlinien der DSGVO, wodurch personenbezogene Daten, wie Email-Adressen, nicht mehr abfragbar sind.
Die Email-Adressen (generich generisch oder via whois) sind nicht nur für den Domainnamen des Zertifikats verfügbar, sondern auch für Domains "darüber":
z.B. um ein Zertifikat für www.bla.muh.ac.at zu erhalten, stehen folgende Mail-Domains für die DCV Bestätigung zur Verfügung:
...
Es wird ein .txt File erzeugt, das im 'root' des Webservers abrufbar sein muss.
TCS Zusatzvereinbarung
VORSICHT: Diese Methode ist für die Validierung von Wildcard-Domains nicht mehr geeignet, siehe https://sectigo.com/resource-library/modifications-to-available-file-based-methods-of-domain-control-validation
TCS Zusatzvereinbarung
Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.
Anchor | |||
---|---|---|---|
| |||
Anchor | |||
|
...
Anchor | ||||
---|---|---|---|---|
|
siehe auch Was ist ein TCS-Admin?
In der Beilage 3 sind uns die Organisations Administratoren, RAOs (Registration Authority Officer) in Sectigo Nomenklatur, zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:
- Validierung bzw. Revalidierung der Organisation anstossen
- Domains anlegen und DCV (siehe DCV) anstossen
- Departments und zugehörige Administratoren anlegen
- Domains an Departments delegieren
- Zertifikatsanträge genehmigen
...
Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.
Anchor | ||||
---|---|---|---|---|
|
...
- Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen RAOs. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
- Ein bestehender TCS Admin (RAO) schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren RAOs per Mail an tcs@aco.net.
- Ein bestehender 'Department Admin' (DRAO, siehe Anlegen von 'Department Admins') kann vom ACOnet Team die Berechtigungen konfiguriert bekommen, um als RAO zu funktionieren. Dazu genügt ebenfalls ein Mail eines bestehenden TCS Admin (RAO) an tcs@aco.net.
...
Wenn sie Domains anlegen müssen sie immer die eigentliche Domain und die dazu gehörige 'Wildcard Domain' anlegen, z.B. example.at und *.example.at
Diese 'Eigenheit' bei Sectigo ist notwendig, um beliebige Subdomains bzw. Hostnamen in Zertifikaten verwenden zu können (z.B. foo.bar.example.at, aber auch www.example.at).
Es kann sein, dass die Validierung der 'Wildcard Domain' länger braucht, sobald jedoch die Hauptdomain erfolgreich validiert ist, können sofort Zertifikate beantragt werden, auch für Subdomains bzw. beliebige Hostnamen.
Wählen sie im SCM Settings 'linkes Menü' → Domains → Add'+'. Sie können an dieser Stelle auch gleich die Delegierung der Domain erledigen.
Anchor | ||||
---|---|---|---|---|
|
Wählen sie im SCM Settings 'linkes Menü' → Domains, dann erscheinen 2 Schaltflächen → Delegations & DCV → Delegations wählen, dann die Domain wählen, die sie delegieren wollen → Delegate Domain wählen → Delegate Button klicken und Organisation bzw. Department für den jeweiligen Zertifikatstyp anhaken.
...
Vor der Validierung der Domain, muss die Delegierung bestätigt werden. Wählen sie dazu im SCM Settings → Domains → View. Dann die Organisation (oder Department) wählen und Approve klicken.
Die Bestätigung der Delegierung von Domains kann bis auf Weiteres nur von einem MRAO aus dem ACOnet Team durchgeführt werden. Das ACOnet Team wird automatisch notifiziert, sollte es zu Verzögerungen kommen, bitte ein Mail an tcs@aco.net schicken.
Tipp 1: Man braucht nur *.domain bestätigen, domain wird dann automatisch auch bestätigt.Tipp 2: Falls die Domain an ein Department delegiert ist, braucht man nur die Delegierung ans Department bestätigen, die darüber liegende Organisation wird automatisch auch bestätigt.
...
Anchor | ||||
---|---|---|---|---|
|
Info |
---|
...
Info | ||
---|---|---|
| ||
Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Sectigo für diese Domain verhindert. Falls dem so ist, kann Sectigo keine Zertifikate für diese Domain ausstellen. Einfacher check: siehe auch Sectigo CAA info |
Starten der Validierung:
Wählen sie im SCM Settings 'linkes Menü' → Domains, dann erscheinen 2 Schaltflächen → Delegations & DCV → DCV wählen, dann die Domain wählen, die sie validieren wollen → DCV button → Validate Button → Methode wählen (zu den Methoden, siehe Was ist DCV?)
Anchor | ||||
---|---|---|---|---|
|
Ab 30 90 Tagen vor dem Ablauf der Validierung kann die DCV erneut angestossen werden. Eine automatische Re-Validierung von Domains durch Sectigo passiert nicht, diese muss also manuell (oder per API) angestossen werden.
Bis wann die Validierung gültig ist, finden sie im SCM unter Settings 'linkes Menü' → Domains, Spalte 'DCV Expiration'.Domain wählen, im DCV Bereich ('Expires')
Anchor | ||||
---|---|---|---|---|
|
Domains können nur selbst gelöscht werden, bevor sie bestätigt sind (siehe Bestätigen von Domains).
Sobald die Bestätigung erfolgt ist, können Domains nicht mehr selbst gelöscht werden. Falls eine Domain gelöscht werden soll, kann ein dem ACOnet bekannter RAO ('organizational admin') den bzw. die Namen der zu löschenden Domains an tcs@aco.net senden und ein MRAO aus dem ACOnet Team wird die Domain(s) löschen.
...
GÉANT EV Multi-Domain
→ können bzw. sollten nicht direkt beantragt werden, siehe EV (Extended Validation) Zertifikate
GÉANT EV SSL
→ können bzw. sollten nicht direkt beantragt werden, siehe EV (Extended Validation) Zertifikate
optionale Profile
für die Aktivierung/Freischaltung dieser Profile kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
GÉANT IGTF Multi-Domain
→ spezielles Zertifikat zur Verwendung im "Grid Computing Umfeld", siehe auch Secondary Organization Name
Anchor | ||||
---|---|---|---|---|
|
...
Sie können Personen, die keine Admins im SCM sind, erlauben, Zertifikate anzufordern.
Gehen Sie dazu zu Settings → Enrollment → Enrollment EndpointsForms, wählen Sie SSL Web Form aus und klicken sie Accounts. Klicken sieAddoder wählen sie einen bestehenden Account und klickenEdit.
...
Falls sie Teilnehmer an der ACOnet Identity Federation sind und einen dementsprechenden IdP betreiben, können Sie auch Self Enrollment via SAML aktivieren.
Gehen Sie dazu zu Settings → Enrollment → Enrollment EndpointsFormss und klicken Add oder wählen eine bestehende SSL SAML self-enrollment form aus und klicken Edit. Vergeben sie einen Namen und wählen die Organisation und eventuell das Department aus. Wählen sie die 'Certificate Profiles' (im Normalfall die OV Profile und eventuell das Wildcard Profil), die verfügbar sein sollen und klicken Generate.
...
EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (Google Chrome Announcement, Mozilla Firefox Announcement) keinen signifikanten Vorteil im Vergleich zu OV (Organization Validated) Zertifikaten mehr. Sollten sie trotzdem ein Extended Validation Zertifikat beziehen wollen, ersuchen wir sie, mit uns via tcs@aco.net in Verbindung zu treten. Vor der muss vor der Beantragung und Ausstellung eines EV Zertifikats, ist die Beantragung eine ein 'EV anchor certificates' notwendig, wofür die Mithilfe des ACOnet Teams nötig istcertificate' beantragt werden.
Den Ablauf zur Beantragung eines 'EV Anchor Certificate' finden sie im Sectigo EV anchor and SCM Manual
...
Letztendlich muss im Zertifikatsfile des Webservers oben das 'Leaf certificate' und darunter das 'Intermediate certificate' stehen. Den Rest der Chain finden die Browser alleine, diese muss und soll nicht vom Webserver ausgeliefert werden.
S/MIME (Email bzw. Client) Zertifikate
Die Ausstellung von persönlichen Zertifikaten ('Client Certificates') mittels 'Invitation Mail' direkt aus dem SCM funktioniert ausschliesslich für den Typ 'GÉANT IGTF-MICS-Robot Personal'.
Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen 2 für das TCS relevant sind:
Sponsor-validated → entspricht "GÉANT Personal email signing and encryption" im TCS
- Organization-validated → entspricht "GÉANT Organisation email signing and encryption" im TCS
Folgend sind Details zu den beiden Typen zu finden:Für alle anderen Typen stehen die beiden unten angeführten Methoden zur Verfügung.
Anchor | ||
---|---|---|
|
...
|
...
Um 'self enrollment' für Client Zertifikate zu aktivieren , müssen sie unter Settings - Enrollment Endpoints - Client Certificate Web Form wählen - Accounts klicken - Add klicken oder bestehenden Account wählen und Edit klicken.
'Certificate Profiles' wählen, die verfügbar sein sollen (im Normalfall die beiden GÉANT Personal Certificate Profile) und einen 'Access Code' vergeben.
Unter https://cert-manager.com/customer/ACOnet/smime können sie dann im ersten Punkt 'Certificate Enrollment by AccessCode' mittels des erstellten 'Access Code' und Angabe einer Mail-Adresse, deren Domain-Teil an die Organisation/das Department für 'client certificates' delegiert und validiert sein muss, das Zertifikat beantragen.
Info | ||
---|---|---|
| ||
Wenn sie Client Zertifikate im 'self enrollment' für ein Department einrichten, beachten sie bitte die Einstellungen zur 'key recovery': Sollten sie unter Settings - Organizations / Departments - <entsprechendes Department> - Edit - Client Certificate 'Allow Key Recovery by Department Administrators' angehakt haben, müssen sie einen 'encryption key' im Department anlegen, ansonsten ist die Ausstellung von Zertifikaten nicht möglich. Die Fehlermeldung im 'self enrollment' lautet 'Your client certificate is currently unavailable. Please try again ...'. Den 'encryption key' kann allerdings nur ein DRAO (Department Admin) mit der entsprechenden Berechtigung im Department erstellen, als RAO ist dies nicht möglich. |
...
Erreichbar ist das SAML Self Service Portal für Client Zertifikate unter https://cert-manager.com/customer/ACOnet/idp/clientgeant
...
|
GÉANT Personal email signing and encryption
In Zertifikaten, die mit diesem Zertifikatsprofil ausgestellt wurden, sind sowohl die Organisation, als auch die Person validiert. Im Subject des Zertifikats findet sich der validierte Name der Person (CN, GIVENNAME und SURNAME), die validierte Organisation (O) und die Email-Adresse (E), deren Namensteil genau dieser Person zugeordnet sein muss und deren Domain-Teil implizit validiert ist.
Die Überprüfung und Validierung einzelner Personen liegt natürlich nicht im Bereich von Sectigo, sondern bei den jeweiligen Organisationen. Die erfolgte Überprüfung ('identity vetting') bestätigt die jeweilige Organisation bzw. deren Vertreter ('RAO') mittels des Attributs 'Validation Type' des Personenobjekts (Persons). Ein 'GÉANT Personal email signing and encryption' Zertifikat wird nur dann ausgestellt, wenn dieses Attribut den Wert 'High (Identity Validated for S/MIME Sponsored Enrollment)' hat.
Um dieses Attribut zu setzten, gibt es mehrere Möglichkeiten:
- Verwendung des SAML Self Service Portal: In diesem Fall wird das Attribut nach erfolgreicher Authentifizierung automatisch auf 'High' gesetzt.
- Verwendung einer Enrollment Form: In diesem Fall muss das Attribut manuell, oder per API gesetzt werden. Dabei ist zwischen 2 Möglichkeitren zu unterscheiden:
- Person existiert bereits: Das Attribut kann jederzeit gesetzt werden.
- Person existiert noch nicht: In diesem Fall muss die Enrollment Form wie gewohnt genutzt werden. Nach dem erstmaligen Ausfüllen und anschliessendem Submit kommt allerdings eine Fehlermeldung: 'The person does not have a high validation status....'. Zu diesem Zeitpunkt wurde die Person allerdings bereits im System angelegt und das Attribut kann gesetzt werden. Ein weiterer Klick auf 'Submit' oder jede spätere Verwendung der Enrollment Form erlaubt dann die Ausstellung des Zertifikats.
- Verwendung der API: siehe API Verwendung
Info | ||
---|---|---|
| ||
Grundsätzlich ist zu beachten, dass das Setzen des 'Validation Types' auf 'High' bestätigt, dass eine ‘persönliche Identifikation‘ der Person erfolgt ist. Dies ist natürlich nur für natürliche Personen möglich. |
GÉANT Organisation email signing and encryption
In Zertifikaten, die mit diesem Zertifikatsprofil ausgestellt wurde, ist nur die Organisation validiert. Im Subject des Zertifikats findet sich auch nur die validierte Organisation (CN) und die Email-Adresse (E), deren Domain-Teil implizit validiert ist.
Diese Zertifikate bieten sich z.B. für Gruppen-Postfächer oder Rollen Email-Adressen an. Für diese Zertifikate reicht es, wenn der "Validation Type" des Personenobjekts (Persons) auf 'Standard' gesetzt ist.
Zu beachten ist, dass diese Zertifikate nicht via SAML Self Service Portal ausgestellt werden können. Eine Ausstellung dieses Zertifikatstyps ist nur mittels Enrollment Form oder API möglich.
Zertifikatsaustellung
Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die beiden unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.
Anchor | ||||
---|---|---|---|---|
|
Um 'self enrollment' für Client Zertifikate zu aktivieren , müssen sie unter Enrollment - Enrollment Forms - Client Certificate Web Form wählen - Accounts klicken - Add klicken oder bestehenden Account wählen und Edit klicken.
'(Certificate) Profiles' wählen, die verfügbar sein sollen (im Normalfall 'GÉANT Personal email signing and encryption' und/oder 'GÉANT Organisation email signing') und einen 'Access Code' vergeben und die weiteren Einstellungen je nach Bedarf vornehmen.
Unter https://cert-manager.com/customer/ACOnet/smime können sie dann im ersten Punkt 'Certificate Enrollment by AccessCode' mittels des erstellten 'Access Code' und Angabe einer Mail-Adresse, deren Domain-Teil an die Organisation/das Department für 'client certificates' delegiert und validiert sein muss, das Zertifikat beantragen.
Info | ||
---|---|---|
| ||
Wenn sie Client Zertifikate im 'self enrollment' für ein Department einrichten, beachten sie bitte die Einstellungen zur 'key recovery': Sollten sie unter bei den Einstellungen des Departments (Organizations → <entsprechendes Department> - Certificate Settings - Client Certificates ) 'Allow Key Recovery by Department Administrators' angehakt haben, müssen sie einen 'encryption key' im Department anlegen, ansonsten ist die Ausstellung von Zertifikaten nicht möglich. Die Fehlermeldung im 'self enrollment' lautet 'Your client certificate is currently unavailable. Please try again ...'. Den 'encryption key' kann allerdings nur ein DRAO (Department Admin) mit der entsprechenden Berechtigung im Department erstellen, als RAO ist dies nicht möglich. |
Anchor | ||||
---|---|---|---|---|
|
Erreichbar ist das SAML Self Service Portal für Client Zertifikate unter https://cert-manager.com/customer/ACOnet/idp/clientgeant
Voraussetzung für die Verwendung ist die Teilnahme an der ACOnet Identity Federation und darüberhinaus an eduGAIN. TCS-spezifische Informationen zur korrekten Konfiguration ihres Shibboleth IDP finden sie unter TCS Personal Certs.
Abschliessend muss im SCM noch der korrekte Wert für schacHomeOrganization konfiguriert werden (i.d.R. auf den Wert der eigenen Attribute-"Scope"). Dazu bei den Einstellungen ihrer Organisation (Organizations -> Org. wählen -> Edit (=Bleistiftsymbol)) den Wert, der als schacHomeOrganization mitgeschickt wird, als 'Organization Alias' eintragen.
Mit dem Sectigo Certificate Manager SSO Check kann man sich die übertragenen und ggfs fehlenden Attribute anzeigen lassen.
Anchor | ||||
---|---|---|---|---|
|
Voraussetzungen:
- CS für die Organisation aktiviert
- Organizations - Org wählen - Certificate Settings - Code Signing Certificates - Enabled
- Domain für Code Signing Certificates delegiert
- Domains - Domain wählen - Delegate - Hakerl bei Code Signing Certificate
- Account in Enrollment Form 'CS Web Form' (alternativ eigene Enrollment Form)
- Enrollment - Enrollment Forms - 'CS Web Form' wählen - Accounts - '+'
- alternativ: Enrollment - Enrollment Forms - '+'
Beantragung Zertifikat:
- Email Invitation schicken
- Certificates - Code Signing Certificates - Invitations - '+' - Email-Addr. eingeben und entsprechenden Enrollment Endpoint & Account wählen
- Link in Email klicken und Webformular entsprechend ausfüllen
Grid bzw. IGTF SSL Zertifikate
...