You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 65 Next »

Frequently Asked Questions

Allgemein

TCS Zusatzvereinbarung

Admins im SCM (Sectigo Certificate Manager)

RAOs

DRAOs

API Verwendung

Management von Domains

  • Anlegen von Domains
  • Validierung von Domains
  • Delegierung von Domains

TLS/SSL Zertifikate

Email Zertifikate

Allgemein

Was ist TCS?

TCS steht für Trusted Certificate Service.

GEANT, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Firma Sectigo als CA (Certificate Authority) abgeschlossen und stellt dieses Service als Trusted Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.

ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können, auf Basis der Zusatzvereinbarung zur ACOnet­‐Teilnahmevereinbarung betreffend die Nutzung des Trusted Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden, siehe auch http://tcs.aco.net/.

Der Vertrag mit Sectigo gilt ab dem 01.05.2020, initial für 2 Jahre und kann dann jährlich, bis zu einer Gesamtlaufzeit von 10 Jahren, verlängert werden.

Was ist ein TCS-Admin?

Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eine/n, sollte aber mehr als eine/n, TCS Administrator/in angeben und diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen haben im Portal die Möglichkeit, beantragte Zertifikate ihrer eigenen Organisation zu sehen, zu bestätigen, abzulehnen oder zu widerrufen. Im Portal von Sectigo werden diese Admins als RAO (Registration Authority Officer) bezeichnet.

Was ist DCV (Domain Control Validation)?

Bei der Registrierung einer neuen Domain, wird durch mittels DCV automatisiert überprüft, ob die Person, die die Validierung einer Domain angestossen hat (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen hat.

Hierzu sendet der DCV Mechanismus ein E-Mail mit einem jeweils eindeutigen Code an einen definierten Satz von Adressen. Dieser Code wird durch den/die Empfänger dieser DCV Mails zur Validierung auf einer Webseite von Digicert (Link im Mail) validiert (Email Challenge-Response Verfahren).
Erst nach dieser Validierung (bei Multi-Domain-Zertifikaten je Domain) wird das Zertifikat ausgestellt.

Folgende 5 generische Email-Adressen stehen immer zur Verfügung:

  • hostmaster@domain_name
  • postmaster@domain_name
  • webmaster@domain_name
  • administrator@domain_name
  • admin@domain_name

Initial wird das DCV Mail jedoch an alle Email-Adressen, die im 'whois-record' der Domain als tech- oder admin-contact gelistet sind, gesandt.
Die generischen Email-Adressen können notfalls nachträglich ausgewählt werden, um auch dorthin das DCV Mail gesendet zu bekommen, weiters sind diese Adressen nicht nur für den Domainnamen des Zertifikats verfügbar, sondern auch für Domains "darüber":
z.B. um ein Zertifikat für www.bla.muh.ac.at zu erhalten, stehen folgende Mail-Domains für die DCV Bestätigung zur Verfügung:

  • @www.bla.muh.ac.at
  • @bla.muh.ac.at
  • @muh.ac.at

TCS Zusatzvereinbarung

Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)
Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)

Die Beilage 2 dient zum Anlegen einer Organisation bei Sectigo. Folgende Dinge sind dabei zu beachten:

  • Die Informationen (Name, Adressdaten) müssen jenen Informationen entsprechen, die sich auch in den in Beilage 1 beigebrachten Dokumenten wiederfinden. Diese sollten auch als QIS (Qualified Information Source) dem Validierungsantrag der Organisation beigefügt werden (siehe Validierung der Organisation).
  • Auswahlboxen 'key recovery': Sectigo bietet die Möglichkeit, den privaten Schlüssel von über das Sectigo Portal (SCM, Sectigo Certificate Manager) beantragten persönlichen Zertifikaten, verschlüsselt zu speichern (siehe Details zum Erstellen des Schlüssel). Diese privaten Schlüssel werden in einem "elektronischen Safe" hinterlegt und können im Notfall, ie. wenn damit verschlüsselte Daten gebraucht werden, der/die Mitarbeiterin oder der private Schlüssel aber nicht mehr greifbar sind, ausgelesen werden. Sobald dies geschieht, wird das jeweilige persönliche Zertifikat allerdings sofort widerrufen und kann nicht mehr zur Verschlüsselung und/oder Signierung verwendet werden.
    Ob ein solcher "elektronischer Safe" für eine Organisation erstellt wird oder nicht muss allerdings beim Anlegen der Organisation festgelegt werden und kann nachträglich nicht mehr verändert werden.
    Weiters muss vor Beantragung des ersten persönlichen Zertifikats der Schlüssel für diesen Safe erstellt werden (siehe Details zum Erstellen des Schlüssel). Wenn dieser Schlüssel verloren geht, gibt es keine Möglichkeit auf den Safe und damit auf die privaten Schlüssel zuzugreifen.
Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)

siehe auch Was ist ein TCS-Admin?

In der Beilage 3 sind uns die Organisations Administratoren, RAOs (Registration Authority Officer) in Sectigo Nomenklatur, zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:

  • Validierung bzw. Revalidierung der Organisation anstossen
  • Domains anlegen und DCV (siehe DCV) anstossen
  • Departments und zugehörige Administratoren anlegen
  • Domains an Departments delegieren
  • Zertifikatsanträge genehmigen

Admins im SCM (Sectigo Certificate Manager)

RAOs

Anlegen der initialen Admins

Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.

Anlegen weiterer Admins

Für das Anlegen bzw. Berechtigen weiterer RAOs gibt es 3 Möglichkeiten:

  1. Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 mit den neuen RAOs. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
  2. Ein bestehender TCS Admin (RAO) schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren RAOs per Mail an tcs@aco.net.
  3. Ein bestehender 'Department Admin' (DRAO, siehe Anlegen von 'Department Admins') kann vom ACOnet Team die Berechtigungen konfiguriert bekommen, um als RAO zu funktionieren. Dazu genügt ebenfalls ein Mail eines bestehenden TCS Admin (RAO) an tcs@aco.net.

DRAOs

Anlegen von 'Department Admins'

API Verwendung

'WS API use only' Verwendung

Prinzipiell kann jeder Benutzer im SCM auch die API Funktionalität verwenden. Es ist jedoch aus Sicherheitsgründen sinnvoll, für das API einen eigenen Benutzer anzulegen und diesen auf die Benutzung des API einzuschränken. Dazu dient der Parameter 'WS API use only' bei den Privileges eines Benutzers. Auf Grund der Art der Benutzerverwaltung bei Sectigo ist es jedoch auch bei einem solchen Benutzer notwendig, dass bei der Anlage gesetzte Passwort, nach erstmaligem Login zu ändern. Es empfielt sich somit folgender Ablauf:

  1. API Account anlegen bzw. vom ACOnet Team anlegen lassen, falls er auf Organisationsebene funktionieren soll (siehe oben), 'WS-API use only' noch nicht wählen
  2. Mit dem API Account im SCM anmelden - Passwort ändern
  3. Dann 'WS-API use only' wählen bzw. dem ACOnet-Team Bescheid geben, dass wir das tun sollen.
  4. Ab dann funktioniert der User per API, kann sich aber nicht mehr im SCM anmelden.

Management von Domains

Anlegen von Domains

Validierung von Domains

Delegierung von Domains

TLS/SSL Zertifikate

Erstellen eines "keypairs"

siehe Erstellen des Keypairs.

Mein fertiges Zertifikat wird vom Browser als ungültig zurückgewiesen. Was kann ich dagegen tun?

Wahrscheinlich haben Sie vergessen, die Intermediate Zertifikate mitzugeben (siehe Verwendung des Zertifikats mit Apache HTTP Server). Es ist essentiell wichtig, dass die beiden Intermediate-Zertifikate am Server mitgelinkt werden.

Verwendung des Zertifikats mit Apache HTTP Server

Das ausgestellte Zertifikat müssen Sie mit den sogenannten Intermediate-Zertifikaten in Ihre Applikation einbauen. Beim Apache HTTP Server sieht das beispielsweise folgendermaßen aus:

SSLEngine on
SSLCertificateFile /etc/httpd/ssl.crt/certificate.pem
SSLCACertificateFile /etc/httpd/ssl.crt/chain.pem
SSLCertificateKeyFile  /etc/httpd/ssl.crt/certificate.key
  • certificate.pem ist Ihr neu ausgestelltes und unterschriebenes Zertifikat
  • chain.pem ist die Datei mit den benötigten Intermediate-Zertifikaten. Die Intermediate-Zertifikate finden sie auf der selben Webseite, wo sie auch ihr Zertifikat abholen. Das Root CA Zertifikat sollte Ihr SSL CLient (Browser, Mailprogramm, etc) bereits kennen und dieses ist daher nur der Vollständigkeit halber angegeben.
  • certificate.key ist Ihr anfangs erstelltes Keyfile.
Verwendung des Zertifikats mit Microsoft IIS

Falls das Intermediate Certificate unter Windows IIS nicht mitausgeliefert wird, hat Digicert eine Anleitung dazu verfasst: Digicert Support

Internet Explorer weist mein Zertifikat als ungültig zurück, Firefox akzeptiert es aber

Browser cachen verschiedene Zertifikate mit unterschiedlichem Verhalten. Wahrscheinlich hatte in diesem Fall Firefox die Intermediate-Zertifikate im Cache und daher konnte er das Zertifikat validieren. Um das Problem zu beheben müssen Sie noch die Intermediate Zertifikate installieren.

  • No labels