...
Code Signing Zertifikate
Grid bzw. IGTF SSL Zertifikate
...
| Anker | ||||
|---|---|---|---|---|
|
tbd
| Anker | ||||
|---|---|---|---|---|
|
Harica betreibt kein spezielles SAML Self Service Portal
...
für S/MIME Zertifikate, sondern integriert die Funktionalität in den Harica Certificate Manager.
Um den Usern die Möglichkeit zu geben, Email-Zertifikate auszustellen, die sowohl individuelle als auch organisatorische Eigenschaften beinhalten (IV+OV bzw. Sponsor Validated (SV) S/MIME), muss diese Funktionalität erst aktiviert werden:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' – 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Dort sehen sie rechts oben das 'Brief' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität aktivieren.
Wenn sich nun ein User föderiert anmeldet ('Academic Login') und ein Email-Zertifikat ('For enterprises or organizations (IV+OV)' (ganz unten in der Auswahl)) beantragt, ist das Hochladen eines Ausweisdokuments nicht mehr notwendig und die entsprechenden Felder sind auf Grund der Attribute, die vom IdP übertragen werden, vorausgefüllt.
Zu beachten ist, dass aktuell – auch wenn mehrere Email-Adressen übertragen werden, nur die erste Email-Adressen für das Zertifikat verwendet wird. In Zukunft werden bis zu 3 Adressen erlaubt sein, wobei der User wählen kann, welche davon im Zertifikat verwendet werden sollen.
Im weiteren Verlauf können die Informationen nur bestätigt, aber nicht verändert werden. Nach Validierung der Gültigkeit der Email-Adresse (Bestätigungs-Email) gibt es im Dashboard einen neuen Abschnitt 'Ready Certificates'. Dort kann dann das tatsächliche Zertifikat mit einem Klick auf 'Enroll your Certificate' ausgestellt werden.
Folgende Attribute müssen vom IdP gesendet werden:
- givenName (oid:2.5.4.42)
- surname (oid:2.5.4.4)
- mail (oid:0.9.2342.19200300.100.1.3)
- edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
- eduPersonEntitlement (oid:1.3.6.1.4.1.5923.1.1.1.7), mit einem der folgenden Werte:
- urn:mace:terena.org:tcs:personal-user
oder - urn:mace:terena.org:tcs:smime-sv-autoissue
- urn:mace:terena.org:tcs:personal-user
Im Profil des angemeldeten Users (Klick auf den Namen rechts oben) können unter 'View Login Information' die gesendeten Attribute angesehen werden.
| Anker | ||||
|---|---|---|---|---|
|
Code Signing Zertifikate sind nicht im TCS Portfolio enthalten. CS Zertifikate können aber bei Harica zum angezeigten Preis erworben werden.
| Anker | ||||
|---|---|---|---|---|
|
Für die Aktivierung/Freischaltung von IGTF SSL
tbd
...
tbd
...
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
...
In dieser Ansicht sind neben den notwendigen Zugriffsdaten unter dem Tab 'Details', auch die ausgestellten Zertifikate unter dem Tab 'Certificates', sowie der Tab 'Domains' , sowie der zur Konfiguration der verfügbaren bzw. erlaubten Domains ersichtlich.
| Anker | ||||
|---|---|---|---|---|
|
| Info | ||
|---|---|---|
| ||
Ohne definierte Regeln für die Domains ist die Ausstellung von Zertifikaten nicht möglich, auch nicht wenn der ACME Account für alle vorhandenen Domains gelten soll. Dafür im Tab 'Domains' |
...
die gewünschten Domains aus der linken Tabelle ('Available Domains') mit dem kleinen grauen '+' wählen, Details festlegen und hinzufügen. Erst wenn die gewünschten Domains in der rechten, oberen Tabelle ('Active Rules') aufscheinen, können dafür per ACME Zertifikate ausgestellt werden. |
Beispiele für die Verwendung des so erstellten Accounts:
...
lego --accept-tos --server <Server URL> --email <eigene Mailadresse> --domains <FQDN des Zertifikats> --eab --kid <Key ID> --hmac <HMAC Key> --http run
| Info | ||
|---|---|---|
| ||
<Key ID>, <HMAC Key> und <Server URL> bitte genauso eingeben, wie sie im Tab 'Details' angegeben sind. Auch die Angabe einer Mailadresse ist zwingend notwendig. |
| Anker | ||||
|---|---|---|---|---|
|
...
Hier können nun bis zu 3 ACME Account Accounts pro User erstellt werden.
Beispiele Beispiel für die Verwendung des so erstellten Accounts:
certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>
Die Angabe einer Mailadresse ist zwingend notwendig
| Anker | ||||
|---|---|---|---|---|
|
...