TCS – KIFÜ Wiki

Opciós tanúsítvány és opció, Feliratkozás a SSL.com hírlevele

A KIFÜ tanúsítványszolgáltatás A TCS rendszerben a tanúsítványokat kiállító CA a Sectigo az igénylők azonosításának és a tanúsítványigénylések elbírálásának jogát és felelősségét átruházza a TCS rendszert használó intézmények erre felhatalmazott adminisztrátorai számára. Az igényléseket a Sectigo validálja. Igényelhető tanúsítványok Igényelhető tanúsítvány típusok Szolgáltatás feltételei A szolgáltatás kizárólag a Kormányzati Informatikai Fejlesztési Ügynökség azon intézményei számára vehető igénybe, amelyek erre szerződést kötöttek a KIFÜ-vel.

A további részben bemutatjuk a legfontosabb változásokat. A Sectigo SCM platformről törölni nem lehet.

Tudásbázis

Mivel nincs az a Divizió-rendszer, mint ami a Digicertnél volt, így arra sincs lehetőség, hogy a velünk szerződött intézmények szabadon alkossanak Szervezet-objektumokat, amiket a Divizió fog össze. Ehelyett a KIFÜ intézményi szintjén hozunk létre egy szervezet objektumot a KIFÜ intézményei számára, és ehhez adunk meg egy intézményi adminisztrátort.

Az Organization alatt lehetőség van kisebb szervezeti egységeket, Departmenteket létrehozni, és akár saját adminisztrátorokat rendelni hozzá. Az SCM-ben alapvetően csak adminisztrátori felhasználók vannak. Ez azt jelenti, hogy elvileg nem lehetnek olyan felhasználók, akik bejelentkezhetnek az SCM-be, és csak tanúsítványokat kérhetnek. De az SSL tanúsítványok részben kínálunk erre is megoldást. Department szervezeti egység Az SCM lehetővé teszi a szervezetek alatt kisebb szervezeti egységek - departmentek - létrehozását.

A tanúsítványok jóváhagyásának átruházásával a Department adminisztrátorainak. A legtöbb esetben ez összekapcsolódik egy aldomain vagy egy teljesen más domain regisztrálásával, és annak használatára korlátozza a szervezeti egységet. RAO: szervezeti adminisztrációs szint, egy szervezet működtetéséhez, valamint a szervezethez tartozó osztályok, tartományok, tanúsítványok, adminok stb.

Csak ha a validáció sikeresen lezárult, akkor tudják az intézmény adminisztrátorai érdemben használni a felületet. Az Organization adatait a RAO jogosultságú adminisztrátorok tudják szerkeszteni, viszont bizonyos mezők átírása a szervezet újbóli validációját teszi szükségessé. Ebben az esetben értesíteni kell az MRAO adminisztrátorokat, hogy indítsák el a folyamatot.

Domain validáció A tanúsítványok kiállítása előtt érvényesítenie kell egy vagy több domaint. Ennek a folyamatnak több lépése van: Győződjön meg arról, hogy a DNS-zónájában nincs CAA-rekord, amely megtiltja a Sectigo számára, hogy opciós tanúsítvány és opció állítson ki az adott domainra.

TCS – KIFÜ Wiki

Ebben az esetben a domain validálása kudarcot vallana. Töltse ki a domain nevet example. A fő domainhez általában érdemes mindet engedélyezni, de a többi kiegészítő domainhez elegendő csak az SSL tanúsítványokat. A Client Certificate és a Code Signing-ot csak akkor szabad kijelölni, ha valóban használni szeretné azokat.

Ha Departmenteket hozott létre, és ezt a tartományt az adott egység DRAO-jainak kell átruházni, nyissa le a választási sort, és engedélyezze a domaint a megfelelő egységnél és állítsa be a megfelelő típusokat is. Ezt mindenképpen tegye meg, hogy ne okozzon gondot az aldomainekre is igényelni tanúsítványt! Válasszon metódust: Az "Email" opcióval a tartomány öt lehetséges címe közül választható ki az, ami majd fogadja és kezeli az oda küldött e-maileket.

Javasolt egy külső névfeloldóval ellenőrizni, hogy a CNAME rekord a helyén van-e és kívülről valóban látható.

Ezt a metódust javasoljuk mindenki számára, stabilan, gyorsan működik a tapasztalataink alapján! Kövesse a kiválasztott módszerre vonatkozó utasításokat.

A Delegations lapon a domain állapotának is "Validated"-nek kell lennie. Most már minden készen áll arra, hogy ezt a domaint és az aldomainjeit tanúsítványkérésekhez használja.

Metódus módosítása Amennyiben nem megfelelő metódus lett kiválasztva, illetve valamiért nem működik a választottnál a validáció, van lehetőség változtatni. Itt lehet visszalépni illetve bizonyos fázisban resetelni a választott metódust.

A név többi része megegyezik a szervezetével. Az egyéb opciókkal nem kell most foglalkozni, mivel ezek később is beállíthatóak. A befejezéshez nyomja meg az OK gombot. Departmenthez tartozó adminok Most már létrehozhat olyan adminisztrátorokat, akik DRAO jogosultsággal rendelkeznek és csak ehhez az egységhez kapcsolódnak, nem pedig az egész szervezethez.

A Departmenthez kapcsolódó domainek Ha olyan department adminisztrátorokat DRAO ad hozzá, akik jóváhagyhatják a részleg tanúsítványait, akkor érdemes korlátozni őket a szervezeti egység saját domainjeire department-example. Az első esetben, amennyiben egy teljesen új domain van a részleg számára, akkor kövesse a fenti szokásos domain validálási eljárást a department-example.

Eszköztanúsítvány telepítése

A második esetben, amikor az aldomainhez tartozó fő domain már hitelesítve van, adja hozzá a department. Amint a fő domain esetében, itt is meg kell várni a department. A meglévő adminisztrátorokat szerkesztheti is, ha kiválasztja, majd megnyomja az Edit gombot.

Töltse ki a bejelentkezési adatokat megfelelő felhasználói névvelaz e-mailt, az utónévet és a vezetéknevet.

opciós tanúsítvány és opció

Javasoljuk, hogy hagyja üresen a többi kapcsolattartási információt, mivel erre nincs szükség. Az új rendszergazda számára jelszót kell megadni. Az első bejelentkezéskor meg kell azt változtatnia.

Let's Encrypt ingyenes SSL használata - Tudásbázis - Magyar Hosting Kft.

Válassza ki a kívánt jogosultságokat a Privileges fül alatt. Válassza ki a kívánt szerepeket a Roles alatt, azaz RAO-t az egész szervezet számára vagy DRAO-t a létrehozott szervezeti egység számára, valamint azon tanúsítványtípust SSL, kliens vagy kód aláírás amely igénylését lehetővé kívánjuk tenni a számára.

Ha kész, akkor a kiválasztott jelszót közölnie kell az új adminisztrátorral a rendszer nem küld e-mailt. Azt határozottan javasoljuk, hogy hozzon létre saját admin felhasználókat is, hogy képes legyen látni, ki mit csinált a rendszerben.

Úgy tűnik, hogy bizonyos privilégiumokat társ-adminisztrátorok kezelése, DCV engedélyezése jelenleg egyik RAO nem opciós tanúsítvány és opció hozzá a másikhoz. Ha ez előfordulna, írjon e-mailt az Ügyfélszolgálat emailcímérehogy beállítsuk azokat. Zárolt felhasználói fiók Lezáródhat, ha többször rossz bejelentkezési információkat ad meg.

Ezután egy "Helytelen bejelentkezési adatok, a fiók zárolva van, a jelszó lejárt vagy a forrás IP-je le van tiltva" üzenetet kap. Ez akkor is így lesz, ha jelszavát megváltoztatta egy másik rendszergazda, aki erre egyébként jogosult.

A lezárás feloldását csak egy MRAO jogosultságú adminisztrátor végezheti el, így jelezze az ilyen jellegű problémát az Ügyfélszolgálatnál. Válassza ki a "Manual creation of CSR" opciót. Válassza ki és töltse ki a megfelelő információkat a "Basic info" lépésben.

Győződjön meg arról, hogy egy több domaint tartalmazó tanúsítványhoz a megfelelő típust választotta, hogy egy szöveges mezőt kapjon, ahol szükség esetén megadhatja a "Subject Alternative Names" - alternatív domainneveket.

opciós tanúsítvány és opció

Ha valaki más nevében kéri, felveheti az e-mail címét külső igénylőként. További beállítási lehetőségekhez kattintson a "Click here for advanced options" feliratra, hogy hozzáférjen egy megjegyzés mezőhöz, ahol megadhatja azokat az információkat, amelyeket később a tanúsítványban szeretne látni.

Ne távolítsa el a címmezőket a "Remove" jelölőnégyzetek használatával, mivel ez úgy tűnik, hogy a tanúsítvány elakad, mivel az információ nem egyezik az előzetesen validált szervezet adataival.

A következő képernyőn fogadja el opciós tanúsítvány és opció utasítsa el az automatikus megújítást, és fejezze be az OK gombbal. Ha az igénylő rendelkezik az "Allow SSL auto approve" jogosultsággal, akkor a tanúsítvány automatikusan jóváhagyásra kerül, és megjelenik mellette az "Applied" felirat. Ha az adminisztrátor nem rendelkezik ezzel a jogosultsággal, akkor a tanúsítvány "Requested" állapotba kerül, és manuálisan kell elfogadni a tanúsítvány szeretnék munkát találni otthonról és az Approve megnyomásával.

Amikor a tanúsítvány kiadásra kerül, annak státusza "Issued" lesz, és e-mailt kap opciós tanúsítvány és opció az igénylő. Ha szükséges, akkor is letöltheti a tanúsítványt, ha rákattint annak kijelöléséhez, és használja a Details gombot, majd a Select gombot a "Certificate download" jobb oldalán.

opciós tanúsítvány és opció

Figyelem: A Sectigo ellenőrzi, hogy a Subjectben megadott adatok egyeznek-e az SCM felületén szereplő szervezeti adatokkal! Azaz minden a kereskedő központról szól ST tagot akkor fogadja el, ha a szervezeti adatoknál ki van töltve a megye; valamint az OU-t csak akkor, ha az Organization alatt van Department is létrehozva. Ez utóbbi esetben ráadásul a CSR-ben szereplő domain ek delegálva kell legyen ek az adott Departmenthez!

Nem adminisztrátor jogosultságú igénylések engedélyezése Lehetőség van nem adminisztrátori jogkörrel rendelkező személyeknek is engedélyezni, hogy tanúsítványkérelmet nyújtsanak be az SCM felületén. Vagy ha csak egy szervezeti egységhez szeretné rendelni, akkor a szervezet kiválasztása után kattintson a Department gombra, válassza ki az egységet, és itt használja az Edit lehetőséget.

Most elküldheti ezt az URL-t azoknak, akiket nyilak a bináris opciókhoz, hogy beléphessenek a nem adminisztrátorok számára fenntartott tanúsítvány igénylő felületre. Mint teszteléskor opciós tanúsítvány és opció, hozzávetőlegesen ugyanazokat a mezőket tartalmazza ez az oldal, mint maga opciós tanúsítvány és opció SCM "Add certificate" része.

Ne felejtse opciós tanúsítvány és opció az emailcímet amire elküldi a hozzáférést, illetve alakítson ki egy saját metódust a kérelmezők autentikálására!

Ezután a SAML használatával hitelesíteniük kell magukat mielőtt a fentiekkel megegyező igénylő űrlapra belépnének. Mivel az e-mail cím most az IdP-től érkezik a SAML-en keresztül, biztos lehet abban, hogy helyes, de eldöntheti, hogy szükség lesz-e további autentikációra az igénylést megelőzően.

Legalább manuálisan jóvá kell hagyatni az ezen a módon érkező tanúsítványkéréseket!

Az SCM felületén továbbra is megőrizheti a választási lehetőséget a fenti felület bal oldali részén. EV tanúsítványok Amennyiben nem feltétlenül szükséges, nem javasolt EV tanúsítványok használata.

Ezek után indítható az EV tanúsítvány igénylése. Lásd a SAML konfiguráció pontnál.

opciós tanúsítvány és opció

Ez általában a fő domain, de ezt egyeztesse le az IdP rendszergazdáival. Mivel a grid tanúsítvány objektumokat "felhasználónévként" használják a rendszerekben, elengedhetetlen, hogy a teljes tárgysorozatot úgy tárolják, ahogy korábban is történt a felhasználók számára.

Küldjön a fentiekről az ugyfelszolgalat kifu.

opciós tanúsítvány és opció

Lehet, hogy ki kell bővítenie ezt, amikor utasításokat ad a végfelhasználóknak, például megmutatni nekik, hová importálják a tanúsítványokat a támogatott böngészőkben, stb. Válassza ki, hogy a kulcsot a kiszolgáló oldalán vagy helyileg generálja.

Eszköztanúsítvány telepítése

Noha az előbbi sokkal kényelmesebb, policy vagy technikai okokból kifolyólag kellhet esetenként az utóbbi: Használja a "Generate RSA" elemet, ha szerver-oldalon generált kulccsal szeretne tanúsítványt igényelni. Ha nem biztos benne, használja inkább az RSA-t. Ha nem szerver-oldalon generált kulccsal szeretne igényelni, használja az "Upload CSR" opciót. Ha a CSR feltöltést választja, akkor először létre kell hoznia a kulcsot és a CSR-t helyileg, bármilyen szoftverrel, amelyet amúgy erre használ.