[Für IT-Admins] Meine E-Mail-Domains im RA-Portal
Die E-Mail-Adressen des "eigenen" Einrichtungs-Mail-Domains müssen in das RA-Portal eingepflegt werden.
Nur die Mitglieder der primären Ansprechpartnergruppe für die E-Mail-Domain, aufgelistet unter https://noc-portal.rz.rwth-aachen.de/networks-view/domains, können im RA-Portal unter dem Reiter "Meine E-Mail-Domains" agieren.
Ablauf
Die E-Mail-Adressen, die über das RA-Portal Nutzerzertifikate erhalten sollen können:
- müssen im RA-Portal vom Netzansprechperson eingetragen werden;
- müssen eine Challenge-E-Mail erhalten;
- die Nutzer*in hinter der Challenge-E-Mail-Adresse muss die Challenge-E-Mail bestätigen, um Ihre Benutzerkennung mit der E-Mail-Adresse im RA-Portal zu verknüpfen;
- danach kann die Nutzer*in ein Zertifikat für die bestätigte E-Mail-Adresse im RA-Portal unter "Meine Client-Zertifikate" beantragen.
Die Netzansprechperson (NAP) kann die Liste der eingetragenen E-Mail-Adressen verwalten
- die Liste enthält Zeilen mit u.a. (Absender-E-Mail, Anzeigename, Alias-E-Mail-Adressen, persönliches/funktionales-Postfach)
- die Absender-E-Mail-Adresse (primäre) ist nicht editierbar
- die Absender-E-Mail-Adresse (und somit die ganze Zeile) ist löschbar, solange es keine Challenge-E-Mails ausgelöst worden sind
- nehmen Sie nur solche Alias-E-Mail-Adressen auf, die auch E-Mails verschicken sollen
- eine Challenge-E-Mail kann nur einmal bestätigt werden
- es wird eine Challenge-E-Mail pro E-Mail-Adresse einer Zeile verschickt
- es können beliebig oft Challenge-E-Mails für eine Zeile ausgelöst werden, die Nächste invalidiert die Vorherige
- editieren der Alias-E-Mail-Adressen bewirkt, dass ausstehende Challenges ungültig werden
- eine Zeile kann deaktiviert werden (z.B. Nutzer*in ausgeschieden, Postfach inaktiv)
- bei einer deaktivierten Zeile kann die Netzansprechperson das gültige Zertifikat sperren
- die Netzansprechperson sollte das Zertifikat einer ausgeschiedenen Nutzer*in sperren, sonst kann das weiter benutzt werden, um z.B. Dokumente zu signieren.
- bei einer deaktivierten Zeile darf die Nutzer*in keine weiteren Zertifikate für diese E-Mail-Adresse(n) beantragen.
- reaktivieren eine Zeile muss nicht mit neuen Challenges einhergehen, kann es aber.
- die Liste kann Zeile pro Zeile oder per CSV-Upload ergänzt/editiert werden.
E-Mail-Recycling ist ganz böse in der PKI-Welt. Aber wenn Sie es betreiben, machen Sie Folgendes:
- deaktivieren Sie die Zeile
- unbedingt das Zertifikat sperren
- editieren Sie die Zeile mit dem neuen Anzeigenamen
- aktivieren Sie die Zeile
- verschicken Sie neue Challenge-E-Mails
- neue Benutzerkennung wird mit alter E-Mail-Adresse verknüpft
Was tun bei Namensänderung der Nutzer*in:
- bei Änderung der Absender-E-Mail-Adresse der Nutzer*in
- alte Zeile deaktivieren
- Zertifikat sperren
- neue Zeile eintragen, mit neuer Absender-E-Mail-Adresse
- Challenges auslösen
- Alte Benutzerkennung wird mit neuer E-Mail-Adresse verknüpft
- bei gleicher Absender-E-Mail-Adresse
- Zeile deaktivieren
- Zertifikat sperren
- Admin-Friendly-User-Name anpassen (hat keine Wirkung auf CN, der kommt aus IdM)
- Zeile reaktivieren
- Alte Benutzerkennung bleibt mit E-Mail-Adresse verknüpft, man braucht keine neuen Challenges
Umgehen mit funktionalen Postfächern
In der CSV-Datei
- den Mailboxtype auf "functional" setzen
- die Spalte "Last Name" wird den Anzeigenamen des Postfachs in der Tabelle "Meine E-Mail-Domains" darstellen, "First Name" leer lassen
- die Spalte "Applicant E-Mail" ist die Zertifikatsantragsteller*in und erhält die einzige Challenge-E-Mail für die Zeile
Zertifikate für funktionale Postfächer enthalten seit dem 1.9.2023 keinen Common Name mehr, sondern nur die E-Mail-Adresse des Postfachs.
Das Bestätigen der Challenge-E-Mail verknüpft die Benutzerkennung der Antragstellerin*in mit der funktionalen E-Mail-Adresse im RA-Portal. Diese Person sieht dann unter "Meine Client-Zertfikate" auch die entsprechende funktionale E-Mail-Adresse und kann dafür Zertifikate beantragen.
Sollten sie die Antragsteller*in ändern wollen, gehen Sie wie folgt vor:
- deaktivieren Sie die Zeile
- editieren Sie die "Applicant E-Mail"
- sperren Sie eventuell das Zertifikat
- aktivieren Sie die Zeile
- verschicken Sie eine neue Challenge-E-Mail
- die neue Antragsteller*in verknüpft Ihre Benutzerkennung mit der E-Mail-Adresse des funktionales Postfachs im RA-Portal
- die bis dato ausgestellte Zertifikate für das Postfach werden nur der vorherigen Angtrasteller*in angezeigt
Relevante Anleitungen: