Inhaltsverzeichnis

Sectigo Certificate Manager - Rollen und Anmeldung

Admins, Rollen & Privilegien

Im linken Seitenmenü können unter ☰→Settings→Admins weitere (D)RAO-Accounts über das grüne „+“-Symbol angelegt werden:

Es wird zwischen verschiedenen Rollen unterschieden, die in sich noch einmal mit unterschiedlichen Privilegien versehen werden können.

Der erste RAO-Account einer Einrichtung wird von der DFN-PCA angelegt. Dieser erste RAO-Account erhält automatisch die von uns vergebenen höchstmöglichen Privilegien im SCM. Weitere RAOs oder DRAOs können dann eigenständig angelegt und verwaltet werden.

Für andere/neue RAO-Accounts können die meisten Privilegien nur dann durch einen RAO-Account selbst verwaltet werden, wenn dieser RAO-Account das Privileg Allow editing of peer admin users/Allow creation of peer admin users besitzt und das zu vergebene Privileg selbst bereits besitzt.

Die meisten Privilegien können für DRAO-Accounts mit einem RAO-Account selbst verwaltet werden. Um einen DRAO-Account anzulegen, muss allerdings vorher bereits ein Department eingerichtet worden sein.

Für andere/neue DRAO-Accounts können die meisten Privilegien nur dann durch einen DRAO-Account selbst verwaltet werden, wenn dieser DRAO-Account das Privileg Allow editing of peer admin users/Allow creation of peer admin users besitzt und das zu vergebene Privileg selbst bereits besitzt.

DRAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen RAOs oder bei einem „Peer“-DRAO mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben.

RAOs melden sich zum Umsetzen von Privilegien, die sie selbst nicht umsetzen können bei den zuständigen „Peer“-RAOs mit den entsprechenden Änderungsprivilegien, die das zu vergebene Privileg bereits haben.

Falls das aus Gründen nicht möglich ist, melden Sie sich zum Umsetzen von Privilegien bitte per E-Mail bei dfnpca@dfn-cert.de. Wir klären die Situation dann mit den benannten handlungsberechtigten Personen für DFN-PKI-Belange in Ihrer Einrichtung oder mit den bestehenden RAOs der Einrichtung mit den höchsten Privilegien im SCM.

Passworte

Vorsicht bei der Vergabe von Passworten: Zeichen außerhalb von 7-bit ASCII können zwar beim Setzen des Passwortes genutzt werden, das Einloggen schlägt aber fehl. D.h., Standard-Sonderzeichen wie #$%& usw. können verwendet werden, Umlaute oder 8-Bit-Zeichen wie § oder aber nicht.

Anmeldung mit Zertifikat

Unter ☰→Settings→Admins→<Auswahl>→Edit kann für jeden RAO oder DRAO, der ein GÉANT Nutzerzertifikat besitzt, eine zertifikatbasierte Authentifizierung eingestellt werden. Diese Anmeldung ist zusätzlich zu dem vorhandenen Nutzername/Passwort erforderlich.

Achtung: Geht das Zertifikat verloren, wird es gesperrt oder läuft es ab, ist für den RAO oder DRAO kein Zugriff mehr möglich. Eine andere Person mit gleichen oder größeren Rechten muss in dem Fall die zertifikatbasierte Authentifizierung abschalten oder ändern.

Besonders tückische Falle: Die automatische Sperrung, wenn bereits Nutzerzertifikate existieren, siehe Beschränkung der Anzahl der Zertifikate

Anmeldung mit SAML

Über den Button „Sign in with your Institution“ unterhalb der Eingabefelder für Nutzername und Passwort können sich RAOs oder DRAOs in cert-manager.com über die AAI einloggen. Eine Beschreibung der Voraussetzungen ist zu finden unter: https://wiki.geant.org/display/TCSNT/TCS+2020+FAQ#TCS2020FAQ-ToenableSAMLforadminaccesstoSCM:

Weitere Voraussetzungen finden Sie unter Zugriff per AAI

Um einen Account für das Einloggen mittels SAML/AAI vorzubereiten, gibt es zwei verschiedene Wege:

  1. Bei einem per ☰→Settings→Admins, Button „Add“, manuell angelegten Standard-Account mit Passwort kann zusätzlich das Feld „Identity Provider“ auf „Your Institution“ gesetzt werden, und „EPPN“ auf den Wert des Attributes eduPersonPrincipalName. Anschließend kann sich dieser Account per Nutzername/Password und alternativ auch per SAML über den einrichtungseigenen IdP einloggen.
  2. Mit dem Weg ☰→Settings→Admins, grünes „+“-Symbol, kann ein IdP-Account ohne Passwort angelegt werden, der sich nur über den IdP einloggen kann.

Ihr IdP muss mindestens schacHomeOrganization, eduPersonPrincipalName (ePPN) und mail an Sectigo übertragen. Die übertragenen Attribute können Sie einsehen unter: https://cert-manager.com/customer/DFN/ssocheck/

Departments

Zur weiteren Strukturierung der Organisation können RAOs Abteilungen anlegen. Hierzu im linken Seiten-Menü „Organizations“ die eigene Organisation anwählen, und dann den Button Departments betätigen.

Bitte beim Eintragen des Secondary Organization Names darauf achten, dass dessen Länge unter 64 Zeichen bleibt. Es wird sonst zu mysteriösen Fehlern bei der Zertifikatbeantragung kommen.

Wichtig: Unter „Client Certificates“ bitte unbedingt alle Punkte „Allow Key Recovery by…“ herausnehmen! Es kommt sonst zu mysteriösen Fehlern bei der Zertifikatbeantragung.

Im Anschluss können über ☰→Settings→Admins weitere Zugänge („DRAOs“) angelegt werden, die innerhalb der zugewiesenen Abteilung Zertifikate verwalten können.

Entgegen der Intuition unterliegen DRAOs keiner besonderen Beschränkung in der Domain-Verwaltung.