...
Sie können Personen, die keine Admins im SCM sind, erlauben, Zertifikate anzufordern.
Gehen Sie dazu zu Settings → Enrollment → Enrollment EndpointsForms, wählen Sie SSL Web Form aus und klicken sie Accounts. Klicken sieAddoder wählen sie einen bestehenden Account und klickenEdit.
...
Falls sie Teilnehmer an der ACOnet Identity Federation sind und einen dementsprechenden IdP betreiben, können Sie auch Self Enrollment via SAML aktivieren.
Gehen Sie dazu zu Settings → Enrollment → Enrollment EndpointsFormss und klicken Add oder wählen eine bestehende SSL SAML self-enrollment form aus und klicken Edit. Vergeben sie einen Namen und wählen die Organisation und eventuell das Department aus. Wählen sie die 'Certificate Profiles' (im Normalfall die OV Profile und eventuell das Wildcard Profil), die verfügbar sein sollen und klicken Generate.
...
Sponsor-validated → entspricht "GÉANT Personal email signing and encryption" im TCS
- Organization-validated → entspricht "GÉANT Organisation email signing and encryption" im TCS
Folgend sind Details zu den beiden Typen zu finden:
...
| Info | ||
|---|---|---|
| ||
Grundsätzlich ist zu beachten, dass das Setzen des 'Validation Types' auf 'High' bestätigt, dass eine ‘persönliche Identifikation‘ der Person erfolgt ist. Dies ist natürlich nur für natürliche Personen möglich. |
GÉANT Organisation email signing and encryption
...
Voraussetzung für die Verwendung ist die Teilnahme an der ACOnet Identity Federation und darüberhinaus an edugain eduGAIN. Weitere TCS-spezifische Informationen zur korrekten Konfiguration ihres Shibboleth IDP finden sie unter TCS Personal Certs.
Abschliessend muss im SCM noch der korrekte Wert für schacHomeOrganization konfiguriert werden (i.d.R. auf den Wert der eigenen Attribute-"Scope"). Dazu bei den Einstellungen ihrer Organisation (Organizations -> Org. wählen -> Edit (=Bleistiftsymbol)) den den Wert, der als schacHomeOrganization mitgeschickt wird, unter als 'Academic code (SCHAC Home Organization )Alias' eintragen.
Bei Problemen gibt es folgende URLs, um 
Mit dem Sectigo Certificate Manager SSO Check kann man sich die übertragenen und ggfs fehlenden Attribute anzeigen zu lassen. Diese URLs können nach erfolgreichem Login am eigenen IdP aufgerufen werden, um die übertragenen Attribute auf Richtigkeit und Vollständigkeit zu prüfen:
https://cert-manager.com/customer/aconet/ssocheck/ - visuell aufbereitete Seite von Sectigo
https://cert-manager.com/Shibboleth.sso/Session - Anzeige der Session Attribute des Shibboleth SP
| Anchor | ||||
|---|---|---|---|---|
|
...