You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 36 Next »

Frequently Asked Questions

Allgemein

TCS-Portal

TLS/SSL Zertifikate

Code Signing Zertifikate

Email Zertifikate

Allgemein

Was ist TCS?

TCS steht für Terena Certificate Service.

TERENA, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Firma Comodo als CA (Certificate Authority) abgeschlossen und stellt dieses Service als TERENA Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.

ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können, auf Basis der Zusatzvereinbarung zur ACOnet­‐Teilnahmevereinbarung betreffend die Nutzung des TERENA Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden, siehe auch http://tcs.aco.net/.

Was ist ein TCS-Admin?

Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eine/n, sollte aber mehr als eine/n, TCS Administrator/in angeben und diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen gibt es im ACOnet TCS-Portal einen Bereich, in dem sie beantragte Zertifikate ihrer eignen Organisation sehen, bestätigen, ablehnen oder widerrufen können.

Was ist DCV (Domain Control Validation)?

Bevor ein Server-Zertifikat für einen Domain-Namen ausgestellt werden kann, wird durch Comodo mittels DCV automatisiert überprüft, ob die Person, die ein beantragtes Zertifikat bestätigt (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen im jeweiligen Zertifikats-Request hat. Dies soll helfen zu verhindern, dass solche Zertifikate (absichtlich oder unabsichtlich) in falsche Hände gelangen.

Hierzu sendet der DCV Mechanismus E-Mails (From: "Comodo Security Services" <noreply@trust-provider.com>) mit einem jeweils eindeutigen Code an durch die TCS-Admins jeweils aus einem definierten Satz wählbare Adressen. Dieser Code muss durch den/die Empfänger dieser DCV Mails zur Validierung auf einer Webseite von Comodo (secure.comodo.net, aber mit TERENA Logo) eingegeben werden (Email Challenge-Response Verfahren).
Erst nach dieser Validierung (bei Multi-Domain-Zertifikaten je Domain) wird das Zertifikat ausgestellt.

Folgende 5 generische Email-Adressen werden den TCS-Admins für die DCV Bestätigung immer angeboten:

  • hostmaster@domain_name
  • postmaster@domain_name
  • webmaster@domain_name
  • administrator@domain_name
  • admin@domain_name

Darüber hinaus werden auch alle Email-Adressen zur Auswahl gestellt, die im 'whois-record' der Domain als tech- oder admin-contact gelistet sind.
Die generischen Email-Adressen sind nicht nur für den Domainnamen des Zertifikats verfügbar, sondern auch für Domains "darüber":
z.B. um ein Zertifikat für www.bla.muh.ac.at zu erhalten, stehen folgende Mail-Domains für die DCV Bestätigung zur Verfügung:

  • @www.bla.muh.ac.at
  • @bla.muh.ac.at
  • @muh.ac.at

TCS-Portal

Meine Organisation ist nicht in der Liste zur Auswahl. Was muss ich tun?

Um in der Liste aufzuscheinen muss die ACOnet-Teilnehmerorganisation eine Zusatzvereinbarung mit ACOnet unterzeichnen.
Erkundigen Sie sich bei der IT-Abteilung Ihrer Organisation, ob diese bereits eine TCS Zusatzvereinbarung mit ACOnet abgeschlossen hat.

Als IT-Verantwortlicher:
Falls Sie die TCS Zusatzvereinbarung bereits an uns geschickt haben und schon mehrere Tage keine Rückmeldung von uns bekommen haben, fragen Sie bitte unter tcs(at)aco.net nach oder rufen Sie uns an unter der Nummer: +43-1-4277-14030

Muss ich mich am Portal anmelden um ein Zertifikat zu beantragen?

Für die Beantragung eines Zertifikats ist derzeit keine Anmeldung am Portal notwendig. Folgen sie der Anleitung zur Beantragung von Server- und Code Signing Zertifikaten. Für die Bestätigung/Freigabe eines Zertifikats-Requests müssen sich die TCS-Admins jedoch anmelden (s.u.).

Welche Credentials (Benutzername/Passwort) brauche ich, um mich als TCS-Admin am Portal anzumelden?

Eine Anmeldung am TCS-Portal ist nur für die Administration von Zertifikaten und somit für TCS-Administratoren notwendig. Zur Anmeldung ist ein ACOnet-Portal Account nötig (siehe FAQs zu ACOnet Webportal).

Wie kann ich mich abmelden?
  • kurze Antwort: Die sicherste Methode sich als TCS-Admin vom ACOnet TCS-Portal abzumelden ist das Schließen des Browsers.
  • detaillierte Antwort: Das ACOnet TCS-Portal ist als Service (SP) in der ACOnet Identity Federation vorbereitet. Die TCS-Admins werden über ihre ACOnet-Portal Accounts authentifiziert und autorisiert, die derzeit als univie.ac.at Identitäten (IdP) verwaltet werden. In einer weiteren Ausbaustufe soll es möglich sein, sich mit den Credentials seiner Heimorganisation (des eigenen IdP) anzumelden. Da das ACOnet TCS-Portal somit Teil der SAML V2 basierten Web-SingleSignOn Infrastruktur ist, kommen alle Einschränkungen dieser Technologie in Bezug auf (Single)LogOut zum Tragen (siehe auch SLO Issues im Shibboleth Wiki).
    Ein Abmelden Button im TCS-Portal wäre somit "gefährlich", da er nur den Anschein erwecken würde, daß man vom Service abgemeldet ist, de facto würde aber ein Klick auf Login genügen, um ohne neuerliche Eingabe von Username/Passwort wieder authentifiziert und autorisiert zu sein. Somit ist die einzige Methode, sich verlässlich von allen benutzten Web-Anwendungen abzumelden, das komplette Beenden des Webbrowsers bzw. das komplette Abmelden von dem benutzten Computer oder Terminal. Eine Alternative kann das Ein/Ausschalten des "Incognito" oder "Private Browsing" Modes des jeweiligen Browsers vor/nach der TCS-Administration darstellen, hierzu kann aber aufgrund der unterschiedlichen Implementierungen keine klare Empfehlung ausgesprochen werden.

TLS/SSL Zertifikate

Wie kann ich ein Zertifikat TLS/SSL Zertifikat beantragen?

Im ACOnet TCS-Portal haben sie die Möglichkeit TLS/SSL Zertifikate zu beantragen.
Hilfe zur Beantragung finden sie hier.

Erstellen eines "keypairs"

siehe Erstellen des Keypairs.

Mein fertiges Zertifikat wird vom Browser als ungültig zurückgewiesen. Was kann ich dagegen tun?

Wahrscheinlich haben Sie vergessen, die Intermediate Zertifikate mitzugeben (siehe Verwendung des Zertifikats mit Apache HTTP Server). Es ist essentiell wichtig, dass die beiden Intermediate-Zertifikate am Server mitgelinkt werden.

Verwendung des Zertifikats mit Apache HTTP Server

Das ausgestellte Zertifikat müssen Sie mit den sogenannten Intermediate-Zertifikaten in Ihre Applikation einbauen. Beim Apache HTTP Server sieht das beispielsweise folgendermaßen aus:

SSLEngine on
SSLCertificateFile /etc/httpd/ssl.crt/certificate.pem
SSLCACertificateFile /etc/httpd/ssl.crt/chain.pem
SSLCertificateKeyFile  /etc/httpd/ssl.crt/certificate.key
  • certificate.pem ist Ihr neu ausgestelltes und unterschriebenes Zertifikat
  • chain.pem ist die Datei mit den benötigten Intermediate-Zertifikaten. Die Intermediate-Zertifikate finden sie auf der selben Webseite, wo sie auch ihr Zertifikat abholen. Das Root CA Zertifikat sollte Ihr SSL CLient (Browser, Mailprogramm, etc) bereits kennen und dieses ist daher nur der Vollständigkeit halber angegeben.
  • certificate.key ist Ihr anfangs erstelltes Keyfile.
Verwendung des Zertifikats mit Microsoft IIS

Falls das Intermediate Certificate unter Windows IIS nicht mitausgeliefert wird, hat Comodo eine Anleitung dazu verfasst: Comodo Support

Widerruf (Revoke) von Zertifikaten

TCS-Administratoren können bereits ausgestellte Zertifikate auch schon vor deren Ablaufdatum widerrufen, ie. für ungültig erklären ("revoken"), z.B. nach Kompromittierung eines Servers. Es wird daraufhin eine entsprechende Benachrichtigung an die Mailadresse des Antragstellers gesendet. Ein widerrufenes Zertifikat wird auch sofort im OCSP-Responder als solches markiert. Soferne ein Browser dies berücksichtigt (z.B. Firefox ab Version 3.5), werden Web-Seiten, die mit einem widerrufenen Zertifikat signiert sind, nicht mehr (bzw. mit einer entsprechenden Warnung) angezeigt.

Durch den Wechsel auf ein neues Portal am 01.06.2012 gibt es abhängig vom Ausstellungsdatum des Zertifikats zwei unterschiedliche Stellen an denen ein Zertifikat vom TCS-Administrator widerrufen werden kann:

  • Zertifikate, die bis zum 31.05.2012 ausgestellt wurden müssen in der TCS Administration im internen Bereich des ACOnet-Portals widerrufen werden.
  • Zertifikate, die ab dem 01.06.2012 ausgestellt wurden, müssen im ACOnet TCS-Portal widerrufen werden.

Code Signing Zertifikate

Email Zertifikate

  • No labels