Sie befinden sich im Service: Public-Key-Zertifikate

[Für IT-Admins] Meine E-Mail-Domains im RA-Portal

[Für IT-Admins] Meine E-Mail-Domains im RA-Portal

Das Bild zeigt eine stilisierte Glühbirne, die in einem hellen Blauton dargestellt ist. Um die Glühbirne herum sind mehrere strahlenförmige Linien angedeutet, die das Licht symbolisieren, das von der Glühbirne ausgeht.

Die E-Mail-Adressen des "eigenen" Einrichtungs-Mail-Domains müssen in das RA-Portal eingepflegt werden.

Nur die Mitglieder der primären Ansprechpartnergruppe für die E-Mail-Domain, aufgelistet unter https://noc-portal.rz.rwth-aachen.de/networks-view/domains, können im RA-Portal unter dem Reiter "Meine E-Mail-Domains" agieren.


Das Bild zeigt ein Symbol, das einen hellblauen Umriss eines Dokuments darstellt. Auf dem Dokument befinden sich drei horizontale Linien, die jeweils von einem Häkchen begleitet werden. Diese Häkchen sind ebenfalls hellblau und symbolisieren eine Checkliste.

Ablauf

Die E-Mail-Adressen, die über das RA-Portal Nutzerzertifikate erhalten sollen können:

  • müssen im RA-Portal vom Netzansprechperson eingetragen werden;
  • müssen eine Challenge-E-Mail erhalten;
  • die Nutzer*in hinter der Challenge-E-Mail-Adresse muss die Challenge-E-Mail bestätigen, um Ihre Benutzerkennung mit der E-Mail-Adresse im RA-Portal zu verknüpfen;
  • danach kann die Nutzer*in ein Zertifikat für die bestätigte E-Mail-Adresse im RA-Portal unter "Meine Client-Zertifikate" beantragen.

Die Netzansprechperson (NAP) kann die Liste der eingetragenen E-Mail-Adressen verwalten

  • die Liste enthält Zeilen mit u.a. (Absender-E-Mail, Anzeigename, Alias-E-Mail-Adressen (maximal 2), persönliches/funktionales-Postfach)
  • die Absender-E-Mail-Adresse (primäre) ist nicht editierbar
  • die Absender-E-Mail-Adresse (und somit die ganze Zeile) ist löschbar, solange es keine Challenge-E-Mails ausgelöst worden sind
  • nehmen Sie nur solche Alias-E-Mail-Adressen auf (maximal 2), die auch E-Mails verschicken sollen
  • eine Challenge-E-Mail kann nur einmal bestätigt werden
  • es wird eine Challenge-E-Mail pro E-Mail-Adresse einer Zeile verschickt
  • es können beliebig oft Challenge-E-Mails für eine Zeile ausgelöst werden, die Nächste invalidiert die Vorherige
  • editieren der Alias-E-Mail-Adressen bewirkt, dass ausstehende Challenges ungültig werden
  • eine Zeile kann deaktiviert werden (z.B. Nutzer*in ausgeschieden, Postfach inaktiv)
  • bei einer deaktivierten Zeile kann die Netzansprechperson das gültige Zertifikat sperren
  • die Netzansprechperson sollte das Zertifikat einer ausgeschiedenen Nutzer*in sperren, sonst kann das weiter benutzt werden, um z.B. Dokumente zu signieren.
  • bei einer deaktivierten Zeile darf die Nutzer*in keine weiteren Zertifikate für diese E-Mail-Adresse(n) beantragen.
  • reaktivieren eine Zeile muss nicht mit neuen Challenges einhergehen, kann es aber.
  • die Liste kann Zeile pro Zeile oder per CSV-Upload ergänzt/editiert werden.

E-Mail-Recycling ist ganz böse in der PKI-Welt. Aber wenn Sie es betreiben, machen Sie Folgendes:

  • deaktivieren Sie die Zeile
  • unbedingt das Zertifikat sperren
  • editieren Sie die Zeile mit dem neuen Anzeigenamen
  • aktivieren Sie die Zeile
  • verschicken Sie neue Challenge-E-Mails
  • neue Benutzerkennung wird mit alter E-Mail-Adresse verknüpft

Was tun bei Namensänderung der Nutzer*in:

  • bei Änderung der Absender-E-Mail-Adresse der Nutzer*in
    • alte Zeile deaktivieren
    • Zertifikat sperren
    • neue Zeile eintragen, mit neuer Absender-E-Mail-Adresse
    • Challenges auslösen
    • Alte Benutzerkennung wird mit neuer E-Mail-Adresse verknüpft
  • bei gleicher Absender-E-Mail-Adresse
    • Zeile deaktivieren
    • Zertifikat sperren
    • Admin-Friendly-User-Name anpassen (hat keine Wirkung auf CN, der kommt aus IdM)
    • Zeile reaktivieren
    • Alte Benutzerkennung bleibt mit E-Mail-Adresse verknüpft, man braucht keine neuen Challenges

Umgehen mit funktionalen Postfächern

In der CSV-Datei

  • den Mailboxtype auf "functional" setzen
  • die Spalte "Last Name" wird den Anzeigenamen des Postfachs in der Tabelle "Meine E-Mail-Domains" darstellen, "First Name" leer lassen
  • die Spalte "Applicant E-Mail" ist die Zertifikatsantragsteller*in und erhält die einzige Challenge-E-Mail für die Zeile

Zertifikate für funktionale Postfächer enthalten seit dem 1.9.2023 keinen Common Name mehr, sondern nur die E-Mail-Adresse des Postfachs.

Das Bestätigen der Challenge-E-Mail verknüpft die Benutzerkennung der Antragstellerin*in mit der funktionalen E-Mail-Adresse im RA-Portal. Diese Person sieht dann unter "Meine Client-Zertfikate"  auch die entsprechende funktionale E-Mail-Adresse und kann dafür Zertifikate beantragen.

Sollten sie die Antragsteller*in ändern wollen, gehen Sie wie folgt vor:

  • deaktivieren Sie die Zeile
  • editieren Sie die "Applicant E-Mail"
  • sperren Sie eventuell das Zertifikat
  • aktivieren Sie die Zeile
  • verschicken Sie eine neue Challenge-E-Mail
  • die neue Antragsteller*in verknüpft Ihre Benutzerkennung mit der E-Mail-Adresse des funktionales Postfachs im RA-Portal
  • die bis dato ausgestellte Zertifikate für das Postfach werden nur der vorherigen Angtrasteller*in angezeigt

  Zusatzinformation

Relevante Anleitungen:

zuletzt geändert am 03.04.2025

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz