Sie befinden sich im Service: Public-Key-Zertifikate

[Für IT-Admins] Meine E-Mail-Domains im RA-Portal

[Für IT-Admins] Meine E-Mail-Domains im RA-Portal

Kurzinformation

Die E-Mail-Adressen des "eigenen" Einrichtungs-Mail-Domains müssen in das RA-Portal eingepflegt werden.

Nur die Mitglieder der primären Ansprechpartnergruppe für die E-Mail-Domain, aufgelistet unter https://noc-portal.rz.rwth-aachen.de/networks-view/domains, können im RA-Portal unter dem Reiter "Meine E-Mail-Domains" agieren.


Detailinformation

Ablauf

Die E-Mail-Adressen, die über das RA-Portal Nutzerzertifikate erhalten sollen können:

  • müssen im RA-Portal vom Netzansprechperson eingetragen werden;
  • müssen eine Challenge-E-Mail erhalten;
  • die Nutzer*in hinter der Challenge-E-Mail-Adresse muss die Challenge-E-Mail bestätigen, um Ihre Benutzerkennung mit der E-Mail-Adresse im RA-Portal zu verknüpfen;
  • danach kann die Nutzer*in ein Zertifikat für die bestätigte E-Mail-Adresse im RA-Portal unter "Meine Client-Zertifikate" beantragen.

Die Netzansprechperson (NAP) kann die Liste der eingetragenen E-Mail-Adressen verwalten

  • die Liste enthält Zeilen mit u.a. (Absender-E-Mail, Anzeigename, Alias-E-Mail-Adressen, persönliches/funktionales-Postfach)
  • die Absender-E-Mail-Adresse (primäre) ist nicht editierbar
  • die Absender-E-Mail-Adresse (und somit die ganze Zeile) ist löschbar, solange es keine Challenge-E-Mails ausgelöst worden sind
  • nehmen Sie nur solche Alias-E-Mail-Adressen auf, die auch E-Mails verschicken sollen
  • eine Challenge-E-Mail kann nur einmal bestätigt werden
  • es wird eine Challenge-E-Mail pro E-Mail-Adresse einer Zeile verschickt
  • es können beliebig oft Challenge-E-Mails für eine Zeile ausgelöst werden, die Nächste invalidiert die Vorherige
  • editieren der Alias-E-Mail-Adressen bewirkt, dass ausstehende Challenges ungültig werden
  • eine Zeile kann deaktiviert werden (z.B. Nutzer*in ausgeschieden, Postfach inaktiv)
  • bei einer deaktivierten Zeile kann die Netzansprechperson das gültige Zertifikat sperren
  • die Netzansprechperson sollte das Zertifikat einer ausgeschiedenen Nutzer*in sperren, sonst kann das weiter benutzt werden, um z.B. Dokumente zu signieren.
  • bei einer deaktivierten Zeile darf die Nutzer*in keine weiteren Zertifikate für diese E-Mail-Adresse(n) beantragen.
  • reaktivieren eine Zeile muss nicht mit neuen Challenges einhergehen, kann es aber.
  • die Liste kann Zeile pro Zeile oder per CSV-Upload ergänzt/editiert werden.

E-Mail-Recycling ist ganz böse in der PKI-Welt. Aber wenn Sie es betreiben, machen Sie Folgendes:

  • deaktivieren Sie die Zeile
  • unbedingt das Zertifikat sperren
  • editieren Sie die Zeile mit dem neuen Anzeigenamen
  • aktivieren Sie die Zeile
  • verschicken Sie neue Challenge-E-Mails
  • neue Benutzerkennung wird mit alter E-Mail-Adresse verknüpft

Was tun bei Namensänderung der Nutzer*in:

  • bei Änderung der Absender-E-Mail-Adresse der Nutzer*in
    • alte Zeile deaktivieren
    • Zertifikat sperren
    • neue Zeile eintragen, mit neuer Absender-E-Mail-Adresse
    • Challenges auslösen
    • Alte Benutzerkennung wird mit neuer E-Mail-Adresse verknüpft
  • bei gleicher Absender-E-Mail-Adresse
    • Zeile deaktivieren
    • Zertifikat sperren
    • Admin-Friendly-User-Name anpassen (hat keine Wirkung auf CN, der kommt aus IdM)
    • Zeile reaktivieren
    • Alte Benutzerkennung bleibt mit E-Mail-Adresse verknüpft, man braucht keine neuen Challenges

Umgehen mit funktionalen Postfächern

In der CSV-Datei

  • den Mailboxtype auf "functional" setzen
  • die Spalte "Last Name" wird den Anzeigenamen des Postfachs in der Tabelle "Meine E-Mail-Domains" darstellen, "First Name" leer lassen
  • die Spalte "Applicant E-Mail" ist die Zertifikatsantragsteller*in und erhält die einzige Challenge-E-Mail für die Zeile

Zertifikate für funktionale Postfächer enthalten seit dem 1.9.2023 keinen Common Name mehr, sondern nur die E-Mail-Adresse des Postfachs.

Das Bestätigen der Challenge-E-Mail verknüpft die Benutzerkennung der Antragstellerin*in mit der funktionalen E-Mail-Adresse im RA-Portal. Diese Person sieht dann unter "Meine Client-Zertfikate"  auch die entsprechende funktionale E-Mail-Adresse und kann dafür Zertifikate beantragen.

Sollten sie die Antragsteller*in ändern wollen, gehen Sie wie folgt vor:

  • deaktivieren Sie die Zeile
  • editieren Sie die "Applicant E-Mail"
  • sperren Sie eventuell das Zertifikat
  • aktivieren Sie die Zeile
  • verschicken Sie eine neue Challenge-E-Mail
  • die neue Antragsteller*in verknüpft Ihre Benutzerkennung mit der E-Mail-Adresse des funktionales Postfachs im RA-Portal
  • die bis dato ausgestellte Zertifikate für das Postfach werden nur der vorherigen Angtrasteller*in angezeigt

  Zusatzinformation

Relevante Anleitungen:

zuletzt geändert am 07.03.2024

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz