...
Im weiteren Verlauf können die Informationen nur bestätigt, aber nicht verändert werden. Nach Validierung der Gültigkeit der Email-Adresse (Bestätigungs-Email) gibt es im Dashboard einen neuen Abschnitt 'Ready Certificates'. Dort kann dann das tatsächliche Zertifikat mit einem Klick auf 'Enroll your Certificate' ausgestellt werden.
...
tbd
...
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
...
ACME Enterprise Accounts können nur von einem 'Enterprise Admin' erstellt werden. Diese Accounts verwenden ausschliesslich bereits validierte Domains, weshalb auch keine ACME-Challenges notwendig sind.
Weiters ist eine sehr granulare Einschränkung auf Domains und/oder Hostnamen, für die im jeweiligen Account Zertifikate ausgestellt werden können, möglich. Auch der Typ des Zertifikats, also OV oder DV, ist in der Konfiguration des Accounts möglich.
Zur Erstellung eines Account ist folgendermaßen vorzugehen:
Unter 'Enterprise' - 'Admin' findet sich der Tab 'ACME'
Mit dem Button 'Create +' kann ein neuer Account hinzugefügt werden. Hier (falls mehrere verfügbar) die Organisation wählen, ebenso den Zertifikatstyp und einen Namen für den Account vergeben. 
Diese Auswahl kann nachträglich nicht mehr geändert werden.
An dieser Stelle kann noch keine Auswahl der verfügbaren Domains gemacht werden. Nach Zustimmung zu den Richtlinien kann der Account mit 'Create' erstellt werden.
Nach einem Klick auf den erstellten Account öffnet sich dessen Detailansicht:
...
Folgende Attribute müssen vom IdP gesendet werden:
- givenName (oid:2.5.4.42)
- surname (oid:2.5.4.4)
- mail (oid:0.9.2342.19200300.100.1.3)
- edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
- eduPersonEntitlement (oid:1.3.6.1.4.1.5923.1.1.1.7), mit einem der folgenden Werte:
- urn:mace:terena.org:tcs:personal-user
oder - urn:mace:terena.org:tcs:smime-sv-autoissue
- urn:mace:terena.org:tcs:personal-user
Im Profil des angemeldeten Users (Klick auf den Namen rechts oben) können unter 'View Login Information' die gesendeten Attribute angesehen werden.
| Anker | ||||
|---|---|---|---|---|
|
Code Signing Zertifikate sind nicht im TCS Portfolio enthalten. CS Zertifikate können aber bei Harica zum angezeigten Preis erworben werden.
| Anker | ||||
|---|---|---|---|---|
|
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
| Anker | ||||
|---|---|---|---|---|
|
| Anker | ||||
|---|---|---|---|---|
|
ACME Enterprise Accounts können nur von einem 'Enterprise Admin' erstellt werden. Diese Accounts verwenden ausschliesslich bereits validierte Domains, weshalb auch keine ACME-Challenges notwendig sind.
Weiters ist eine sehr granulare Einschränkung auf Domains und/oder Hostnamen, für die im jeweiligen Account Zertifikate ausgestellt werden können, möglich. Auch der Typ des Zertifikats, also OV oder DV, ist in der Konfiguration des Accounts möglich.
Zur Erstellung eines Account ist folgendermaßen vorzugehen:
Unter 'Enterprise' - 'Admin' findet sich der Tab 'ACME'
Mit dem Button 'Create +' kann ein neuer Account hinzugefügt werden. Hier (falls mehrere verfügbar) die Organisation wählen, ebenso den Zertifikatstyp und einen Namen für den Account vergeben. Diese Auswahl kann nachträglich nicht mehr geändert werden.
An dieser Stelle kann noch keine Auswahl der verfügbaren Domains gemacht werden. Nach Zustimmung zu den Richtlinien kann der Account mit 'Create' erstellt werden.
Nach einem Klick auf den erstellten Account öffnet sich dessen Detailansicht:
In dieser Ansicht sind neben den notwendigen Zugriffsdaten unter dem Tab 'Details', auch die ausgestellten Zertifikate unter dem Tab 'Certificates', sowie der Tab 'Domains' zur Konfiguration der verfügbaren bzw. erlaubten Domains ersichtlich.
| Anker | ||||
|---|---|---|---|---|
|
| Info | ||
|---|---|---|
| ||
Ohne definierte Regeln für die Domains ist die Ausstellung von Zertifikaten nicht möglich, auch nicht wenn der ACME Account für alle vorhandenen Domains gelten soll. Dafür im Tab 'Domains' die gewünschten Domains aus der linken Tabelle ('Available Domains') mit dem kleinen grauen '+' wählen, Details festlegen und hinzufügen. Erst wenn die gewünschten Domains in der rechten, oberen Tabelle ('Active Rules') aufscheinen, können dafür per ACME Zertifikate ausgestellt werden. |
Beispiele für die Verwendung des so erstellten Accounts:
...
lego --accept-tos --server <Server URL> --email <eigene Mailadresse> --domains <FQDN des Zertifikats> --eab --kid <Key ID> --hmac <HMAC Key> --http run
...
| Info | ||
|---|---|---|
| ||
<Key ID>, <HMAC Key> und <Server URL> bitte genauso eingeben, wie sie im Tab 'Details' angegeben sind. Auch die Angabe einer Mailadresse ist zwingend notwendig |
...
. |
| Anker | ||||
|---|---|---|---|---|
|
...