Sie befinden sich im Service: Public-Key-Zertifikate

CSR-Datei hochladen

CSR-Datei hochladen

Kurzinformation

Über das Webportal https://ra-portal.itc.rwth-aachen.de können RWTH-Angehörige Server Zertifikate der GÉANT/TCS beantragen.


Detailinformation

  • Zugriff auf das RA-Portal nur innerhalb der RWTH-Netzes.
  • Authentifizierung der Nutzer*in erfolgt via Single-Sign-On.
  • Berechtigung der Nutzer*in wird anhand von CN/SAN (und deren Auflösung im DNS) über Daten im right-manager ermittelt [1].
  • Ausstellung erfolgt
    • automatisiert, wenn die Berechtigung der Nutzer*in gegeben ist
    • mit Moderation durch die berechtigten Netzansprechpartner*innen (NAP)
    • mit Moderation durch die RWTH Registrierungsstelle (RWTH RA)
  • Benachrichtigungen erfolgen via E-Mail:
    • bei Ausstellung
    • beim Ablauf (28 und 14 Tage vor Ablauf)
    • bei Sperrung/Widerruf
    • bei Moderationsbedarf
  • Abholung des Zertifikats erfolgt über das RA-Portal.
  • Abholung der Zertifikatskette erfolgt über das RA-Portal.
  • Fragen oder Anregungen können an das IT-ServiceDesk adressiert werden.

Die Felder des Distinguished Names (Subject) für die GÉANT/TCS Serverzertifikate sind wie folgt in die CSR zu belegen:

  • C = DE
  • T = Nordrhein-Westfalen
  • L = Aachen
  • O = RWTH Aachen University
  • CN = <fqdn> im DNS auflösbar (IP ist theoretisch erlaubt, kann aber von der CA in der Regel nicht validiert werden daher nicht möglich)

SAN darf folgendes enthalten:

  • Der CN muss im SAN vorkommen (CA/Browser Forum Anforderung)
  • einen oder mehrere FQDN (muss im DNS auflösbar sein)
  • IP-Adresse, die im DNS reverse auflösbar ist (IP ist theoretisch erlaubt, kann aber von der CA in der Regel nicht validiert werden, daher ist IP im SAN/CN in der Praxis nicht möglich)
 

[1] NAP-Gruppen die im right-manager, und nicht im IdM, erstellt wurden werden dem RA-Portal über SSO nicht übermittelt. Als Folge können Mitglieder dieser Gruppen als solche im ra-portal nicht identifiziert werden. In solchen Fällen muss der Zertifikatsantrag von der RWTH-Registrierungsstelle moderiert werden, obwohl die NAP-Gruppe korrekt ermittelt wird, und obwohl die Nutzer*in Mitglied der NAP-Gruppe ist. Die ermittelte Gruppe wird im RA-Portal mit einem roten Warndreick gekennziechnet. Dieser Umstand hat auch Auswirkungen auf die Verwaltung der ausgestellten Zertifikaten, d.h. nur die Antragsteller*in, aber nicht die Mitglieder der NAP-Gruppe, kann das Zertifkat sehen, runterladen, erneuern oder sperren.

 

 Zusatzinformation

Links zum

 

zuletzt geändert am 18.01.2024

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz