CSR-Datei hochladen
Über das Webportal https://ra-portal.itc.rwth-aachen.de können RWTH-Angehörige Server Zertifikate der GÉANT/TCS beantragen.
- Zugriff auf das RA-Portal nur innerhalb der RWTH-Netzes.
- Authentifizierung der Nutzer*in erfolgt via Single-Sign-On.
- Berechtigung der Nutzer*in wird anhand von CN/SAN (und deren Auflösung im DNS) über Daten im right-manager ermittelt [1].
- Ausstellung erfolgt
- automatisiert, wenn die Berechtigung der Nutzer*in gegeben ist
- mit Moderation durch die berechtigten Netzansprechpartner*innen (NAP)
- mit Moderation durch die RWTH Registrierungsstelle (RWTH RA)
- Benachrichtigungen erfolgen via E-Mail:
- bei Ausstellung
- beim Ablauf (28 und 14 Tage vor Ablauf)
- bei Sperrung/Widerruf
- bei Moderationsbedarf
- Abholung des Zertifikats erfolgt über das RA-Portal.
- Abholung der Zertifikatskette erfolgt über das RA-Portal.
- Fragen oder Anregungen können an das IT-ServiceDesk adressiert werden.
Die Felder des Distinguished Names (Subject) für die GÉANT/TCS Serverzertifikate sind wie folgt in die CSR zu belegen:
- C = DE
- T = Nordrhein-Westfalen
- L = Aachen
- O = RWTH Aachen University
- CN = <fqdn> im DNS auflösbar (IP ist theoretisch erlaubt, kann aber von der CA in der Regel nicht validiert werden daher nicht möglich)
SAN darf folgendes enthalten:
- Der CN muss im SAN vorkommen (CA/Browser Forum Anforderung)
- einen oder mehrere FQDN (muss im DNS auflösbar sein)
- IP-Adresse, die im DNS reverse auflösbar ist (IP ist theoretisch erlaubt, kann aber von der CA in der Regel nicht validiert werden, daher ist IP im SAN/CN in der Praxis nicht möglich)
[1] NAP-Gruppen die im right-manager, und nicht im IdM, erstellt wurden werden dem RA-Portal über SSO nicht übermittelt. Als Folge können Mitglieder dieser Gruppen als solche im ra-portal nicht identifiziert werden. In solchen Fällen muss der Zertifikatsantrag von der RWTH-Registrierungsstelle moderiert werden, obwohl die NAP-Gruppe korrekt ermittelt wird, und obwohl die Nutzer*in Mitglied der NAP-Gruppe ist. Die ermittelte Gruppe wird im RA-Portal mit einem roten Warndreick gekennziechnet. Dieser Umstand hat auch Auswirkungen auf die Verwaltung der ausgestellten Zertifikaten, d.h. nur die Antragsteller*in, aber nicht die Mitglieder der NAP-Gruppe, kann das Zertifkat sehen, runterladen, erneuern oder sperren.
Links zum
- Allgemeines zum Serverzertifikaten
- Serverzertifikat in der DFN-PKI Global (nur bis 30.12.2022 möglich)
- Serverzertifikat in der DFN-Verein Community PKI (nicht Browser verankerte PKI)
- Serverzertifikat in der DFN Grid-CA (für Grid-Computing)
- Sectigo Zertifizierungsrichtlinien