Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:dfnpki:tcs:usercert [2023/10/12 13:02] – [E-Mail-Einladung] Reimer Karlsen-Masur | de:dfnpki:tcs:usercert [2024/04/24 15:55] (aktuell) – [Gruppenzertifikate] Internen Link korrigiert Reimer Karlsen-Masur | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | =====Nutzerzertifikate===== | + | =====Client-Zertifikate===== |
- | **Achtung: Seit 28.08.23 ist aufgrund der Umstellung auf neue Richtlinien (" | + | ====Verfügbare Typen von Client-Zertifikaten===== |
- | die Erstellung von Nutzerzertifikaten gestört. Einrichtungen werden schrittweise wieder in den Dienst eingebunden.** | + | |
- | + | ||
- | ====Verfügbare Typen von Nutzerzertifikaten===== | + | |
Es stehen verschiedene Typen von Zertifikaten mit unterschiedlichen Eigenschaften zur Verfügung. | Es stehen verschiedene Typen von Zertifikaten mit unterschiedlichen Eigenschaften zur Verfügung. | ||
+ | |||
+ | **Achtung: | ||
+ | |||
+ | |||
====Zertifikate für sichere E-Mail - S/MIME==== | ====Zertifikate für sichere E-Mail - S/MIME==== | ||
Zeile 64: | Zeile 65: | ||
=====Identifizierung und Dokumentation===== | =====Identifizierung und Dokumentation===== | ||
- | Die Anforderungen an die Identifizierung und die Dokumentation für persönliche Zertifikate (client certificates, Nutzerzertifikate) sind im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates festgehalten: | + | Die Anforderungen an die Identifizierung und die Dokumentation für persönliche Zertifikate (Client-Zertifikate, Nutzerzertifikate) sind im TCS Certification Practice Statement - Personal, eScience Personal and Document Signing Certificates festgehalten: |
Die dort für "TCS eScience Personal" | Die dort für "TCS eScience Personal" | ||
Zeile 72: | Zeile 73: | ||
* Vor der Ausstellung eines Zertifikats soll eine persönliche | * Vor der Ausstellung eines Zertifikats soll eine persönliche | ||
* Alternativ ist auch eine Video-Identifizierung oder eine Identifizierung über einen Notar möglich. | * Alternativ ist auch eine Video-Identifizierung oder eine Identifizierung über einen Notar möglich. | ||
- | * Alternativ genügt auch eine bestehende andauernde Beziehung zum Zertifikatnehmer, | + | * Alternativ genügt auch eine bestehende andauernde Beziehung zum Zertifikatnehmer, |
Im Unterschied zur DFN-PKI " | Im Unterschied zur DFN-PKI " | ||
Zeile 89: | Zeile 90: | ||
- | =====Wege zur Ausstellung von Nutzerzertifikaten===== | + | =====Wege zur Ausstellung von Client-Zertifikaten===== |
- | Es stehen verschiedene Wege zur Verfügung, um User-Zertifikate auszustellen. | + | Es stehen verschiedene Wege zur Verfügung, um Client-Zertifikate auszustellen. |
====E-Mail-Einladung==== | ====E-Mail-Einladung==== | ||
- | Die Erstellung von Nutzerzertifikaten | + | Die Erstellung von Client-Zertifikaten |
1. Zunächst muss ein '' | 1. Zunächst muss ein '' | ||
Zeile 147: | Zeile 148: | ||
* Die Person unterhalb von ☰-> | * Die Person unterhalb von ☰-> | ||
* Mit dem Button " | * Mit dem Button " | ||
- | * Dabei genau den " | + | * Dabei genau den " |
* Abschließend auf den " | * Abschließend auf den " | ||
* Mit der Einladungs-E-Mail kann die Person direkt mit einem Klick das Zertifikat beziehen. | * Mit der Einladungs-E-Mail kann die Person direkt mit einem Klick das Zertifikat beziehen. | ||
Zeile 157: | Zeile 158: | ||
- | Hinweise zur [[de: | + | Hinweise zur [[de: |
==Erneuerung== | ==Erneuerung== | ||
Zeile 166: | Zeile 167: | ||
====Über die AAI==== | ====Über die AAI==== | ||
- | Unter der URL https:// | + | Unter der URL https:// |
Zeile 205: | Zeile 206: | ||
- | ====REST-API für Nutzerzertifikate==== | + | ====REST-API für Client-Zertifikate==== |
- | Über das REST API können mit selbst erstellter Software oder Skripten | + | Über das REST API können mit selbst erstellter Software oder Skripten |
Die Schlüsselerzeugung findet stets auf Seiten des Clients und nicht bei Sectigo statt. | Die Schlüsselerzeugung findet stets auf Seiten des Clients und nicht bei Sectigo statt. | ||
Zeile 215: | Zeile 216: | ||
in TCS mit Zertifkaten vom Typ '' | in TCS mit Zertifkaten vom Typ '' | ||
- | Zunächst die [[de: | + | Zunächst die [[de: |
* ☰-> | * ☰-> | ||
Zeile 226: | Zeile 227: | ||
* Im neuen Dialog Reiter " | * Im neuen Dialog Reiter " | ||
* Dort hinter " | * Dort hinter " | ||
- | * Das gewünschte '' | + | * Das gewünschte '' |
* Dann den im ersten Schritt vorbereiteten '' | * Dann den im ersten Schritt vorbereiteten '' | ||
* An die eingetragene E-Mail-Adresse wird nun eine Einladungs-Mail geschickt, und das Zertifikat kann von der für die Gruppe verantwortlichen Person erstellt werden. | * An die eingetragene E-Mail-Adresse wird nun eine Einladungs-Mail geschickt, und das Zertifikat kann von der für die Gruppe verantwortlichen Person erstellt werden. | ||
Zeile 232: | Zeile 233: | ||
**Achtung: | **Achtung: | ||
+ | Sofern Sie in einer Anwendung (z.B. MS Outlook) Probleme haben, mehrere Ihrer //eigenen// Gruppenzertifikate dieser Art von einander zu unterscheiden, | ||
=====ECC oder RSA?===== | =====ECC oder RSA?===== | ||
Zeile 241: | Zeile 242: | ||
- | =====Automatische Sperrung von Nutzerzertifikaten===== | + | =====Automatische Sperrung von Client-Zertifikaten===== |
===Sperrung bei Datenänderung=== | ===Sperrung bei Datenänderung=== | ||
Sectigo führt eine Liste aller Personen, die ein Zertifikat erhalten haben. Personen werden anhand ihrer primären E-Mail-Adresse identifiziert. Dieselbe natürliche Person kann also verschiedene primäre E-Mail-Adressen verwenden und gilt dann für Sectigo als verschiedene Personen. | Sectigo führt eine Liste aller Personen, die ein Zertifikat erhalten haben. Personen werden anhand ihrer primären E-Mail-Adresse identifiziert. Dieselbe natürliche Person kann also verschiedene primäre E-Mail-Adressen verwenden und gilt dann für Sectigo als verschiedene Personen. | ||
Zeile 256: | Zeile 257: | ||
- | ===Beschränkung der Anzahl der Zertifikate pro Nutzer=== | + | ===Beschränkung der Anzahl der Zertifikate pro Nutzendem=== |
- | Zusätzlich kennt das System eine Beschränkung der Anzahl der gleichzeitig gültigen | + | Zusätzlich kennt das System eine Beschränkung der Anzahl der gleichzeitig gültigen |
- | Pro Person können maximal fünf Nutzerzertifikate | + | Pro Person können maximal fünf Client-Zertifikate |
Wenn für ein Zertifikatprofil weitere Zertifikate beantragt werden, werden die jeweils ältesten Zertifikate mit diesem Zertifikatprofil automatisch **gesperrt**. Auch hier erfolgt keine Rückfrage und es gibt keinen Hinweis an den Zertifikatinhaber! | Wenn für ein Zertifikatprofil weitere Zertifikate beantragt werden, werden die jeweils ältesten Zertifikate mit diesem Zertifikatprofil automatisch **gesperrt**. Auch hier erfolgt keine Rückfrage und es gibt keinen Hinweis an den Zertifikatinhaber! | ||
Zeile 266: | Zeile 267: | ||
=====Auswahl des "Key protection Algorithms" | =====Auswahl des "Key protection Algorithms" | ||
- | Sofern bei der Beantragung von Nutzerzertifikaten | + | Sofern bei der Beantragung von Client-Zertifikaten |
Vorausgewählt ist dabei die modernere und sicherere Methode '' | Vorausgewählt ist dabei die modernere und sicherere Methode '' | ||
- | Bei '' | + | Bei '' |
* "//Das eingegebene Kennwort ist falsch.//" | * "//Das eingegebene Kennwort ist falsch.//" | ||
* "// | * "// | ||
- | * Aufforderung zum Einstecken einer Smartcard | + | * Aufforderung zum Einstecken einer Smartcard |
+ | * Das Zertifikat aus dem .p12-Import landet unter Windows im Zertifikatspeicher unter der Kategorie " | ||
+ | * "//Die Nachrichtenschnittstellen haben einen unbekannten Fehler zurückgeliefert//" | ||
+ | * Die Zertifikate können im Adobe Acrobat zwar ausgewählt werden, der Vorgang der Unterschrift lässt sich aber nicht abschließen. | ||
- | + | In so einem Fehlerfall hilft es, die betroffene .p12-Datei zunächst in den Zertifikat-Manager vom Firefox-Browser zu importieren und dann von dort direkt wieder in eine //neue// .p12-Datei zu exportieren. Sofern das User-Zertifikat | |
- | In so einem Fehlerfall hilft es, die betroffene .p12-Datei zunächst in den Zertifikat-Manager vom Firefox-Browser zu importieren und dann von dort direkt wieder in eine //neue// .p12-Datei zu exportieren. Sofern das Nutzerzertifikat | + | |
Die neue .p12-Datei ist dann nach unserer Erfahrung problemlos in die betroffenen Systeme zu importieren. Alternativ zu dieser Konvertierung der .p12-Datei kann auch ein neues Zertifikat beantragt werden, wobei dann bereits bei der Beantragung auf den Antrags-Web-Seiten die Methode '' | Die neue .p12-Datei ist dann nach unserer Erfahrung problemlos in die betroffenen Systeme zu importieren. Alternativ zu dieser Konvertierung der .p12-Datei kann auch ein neues Zertifikat beantragt werden, wobei dann bereits bei der Beantragung auf den Antrags-Web-Seiten die Methode '' | ||
- | Die organisations-spezifische Dokumentation und Anleitung zur Nutzerzertifikatbeantragung sollte ggf. einen Hinweis auf diese möglichen Inkompatibilitäten enthalten. | + | Unter macOS kann auf der Kommandozeile mittels '' |
+ | Die organisations-spezifische Dokumentation und Anleitung zur Beantragung von Client-Zertifikaten sollte ggf. einen Hinweis auf diese möglichen Inkompatibilitäten enthalten. | ||