You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 21 Next »

Frequently Asked Questions

Allgemein

TCS Portal

SSL/TLS Zertifikate

Code Signing Zertifikate

Email Zertifikate


Allgemein

Was ist TCS?

TCS steht für Terena Certificate Service.
TERENA, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Firma Comodo abgeschlossen und stellt dieses Service als TERENA Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.
ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können auf Basis der Zusatzvereinbarung zur ACOnet­‐Teilnahmevereinbarung betreffend die Nutzung des TERENA Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden.

Was ist ein TCS-Admin(istrator)?

TCS Administratoren haben im TCS Portal einen Bereich in dem sie beantragte Zertifikate ihrer ACOnet Teilnehmerorganisation sehen, bestätigen, ablehnen oder widerrufen können. Jeder ACOnet Teilnehmer der das Zertifikatsservice nutzen will, muss zumindest einen, sollte aber mehr als einen, TCS Administrator angeben und diesen in die Zusatzvereinbarung eintragen.

Was ist DCV (Domain Control Validation)?

Bevor ein SSL-Zertifikat für einen Domain-Namen ausgestellt werden kann, wird überprüft, ob die Person, die das Zertifikat beantragt auch "Kontrolle" über den Domain-Namen hat. Dies gewährleistet, dass Zertifikate nur für Berechtigte, ie die Domain Kontrollierende ausgestellt werden.
Um dies zu überprüfen, wird ein Email mit einem eindeutigen Code an eine Adresse aus einem definierten Satz von Adressen geschickt und dieser Code muss zur Validierung auf einer Webseite von Comodo eingegeben werden (Email Challenge-Response Verfahren).
Erst nach dieser Validierung wird das Zertifikat ausgestellt.

Folgende 5 generische Emailadressen sind verfügbar:

  • hostmaster@domain_name
  • postmaster@domain_name
  • webmaster@domain_name
  • administrator@domain_name
  • admin@domain_name

Darüber hinaus sind alle Emailadressen verfügbar, die im 'whois-record' der Domain als tech- oder admin-contact gelistet sind.
Die generischen Emailadressen sind nicht nur für den Domainnamen des Zertifikats verfügbar, sondern auch für Domains "darüber":
Z.B. um ein Zertifikat für www.bla.muh.ac.at zu erhalten, stehen folgende Domains für die DCV Emailadressen zur Verfügung:

  • @www.bla.muh.ac.at
  • @bla.muh.ac.at
  • @muh.ac.at

TCS Portal

Meine Organisation ist nicht in der Liste zur Auswahl. Was muss ich tun?

Um in der Liste aufzuscheinen muss die ACOnet-Teilnehmerorganisation eine Zusatzvereinbarung mit ACOnet unterzeichnen.
Falls Sie nicht zur IT-Abteilung Ihrer Organisation gehören, fragen Sie bitte zuerst dort nach ob eine Zusatzvereinbarung bereits vorliegt.
Als IT-Verantwortlicher:
Falls Sie die Zusatzvereinbarung bereits an uns geschickt haben und schon mehrere Tage keine Rückmeldung von uns bekommen haben, fragen Sie bitte unter admin(at)aco.net nach oder rufen Sie uns an unter der Nummer: +43-1-4277-14030

Muss ich mich am Portal anmelden um ein Zertifikat zu beantragen?

Für die Beantragung eines Zertifikats ist keine Anmeldung am Portal notwendig. Folgen sie der Anleitung zur Beantragung von Server- und Code Signing Zertifikaten.

Welche Credentials (Benutzername,Passwort) brauche ich, um mich am Portal anzumelden?

Eine Anmeldung am TCS-Portal ist nur für die Administration von Zertifikaten und somit für TCS-Administratoren notwendig. Zur Anmeldung ist ein ACOnet-Portal Account nötig (siehe FAQs zu ACOnet Webportal).

Wie kann ich mich abmelden?

SSL/TLS Zertifikate

Mein fertiges Zertifikat wird vom Browser als ungültig zurückgewiesen. Was kann ich dagegen tun?

Wahrscheinlich haben Sie vergessen, die Intermediate Zertifikate mitzugeben (siehe [Verwendung des Zertifikats mit Apache HTTP Server|#apache]). Es ist essentiell wichtig, dass die beiden Intermediate-Zertifikate am Server mitgelinkt werden.

Verwendung des Zertifikats mit Apache HTTP Server

Das ausgestellte Zertifikat müssen Sie mit den sogenannten Intermediate-Zertifikaten in Ihre Applikation einbauen. Beim Apache HTTP Server sieht das beispielsweise folgendermaßen aus:

SSLEngine on
SSLCertificateFile /etc/httpd/ssl.crt/certificate.pem
SSLCACertificateFile /etc/httpd/ssl.crt/chain.pem
SSLCertificateKeyFile  /etc/httpd/ssl.crt/certificate.key
  • certificate.pem ist Ihr neu ausgestelltes und unterschriebenes Zertifikat
  • chain.pem ist die Datei mit den benötigten Intermediate-Zertifikaten. Die Intermediate-Zertifikate finden sie auf der selben Webseite, wo sie auch ihr Zertifikat abholen. Das Root CA Zertifikat sollte Ihr SSL CLient (Browser, Mailprogramm, etc) bereits kennen und dieses ist daher nur der Vollständigkeit halber angegeben.
  • certificate.key ist Ihr anfangs erstelltes Keyfile.

Code Signing Zertifikate

Email Zertifikate

  • No labels