38
szerkesztés
Módosítások
TCS
,nincs szerkesztési összefoglaló
== Szolgáltatás feltételei ==
A szolgáltatás kizárólag a [https://kifu.gov.hu/ Kormányzati Informatikai Fejlesztési Ügynökség] azon intézményei számára vehető igénybe, amelyek erre szerződést kötöttek a KIFÜ-vel. Amennyiben szeretné igénybevenni a KIFÜ tanúsítványszolgáltatását, kérjük írjon az [mailto:ugyfelszolgalat@kifu.hu emailcímre Ügyfélszolgálat emailcímére] vagy hívja a +3614503070 telefonszámot.
== Különbségek az előző (DigiCertes) szolgáltatóhoz képest ==
Az SCM-ben nem működik a divízió koncepciója, úgy ahogyan az a DigiCert CertCentralban volt.
* A KIFÜ-nek van egy [https://cert-manager.com/customer/KIFU SCM felülete], amelyet az összes KIFÜ adminisztrátor használ (az intézmények szintjén és a KIFÜ „superuser” szintjén), de a többi GEANT TCS tagország nem fér hozzá.
* Mivel nincs az a Divizió-rendszer, mint ami a Digicertnél volt, így arra sincs lehetőség, hogy a velünk szerződött intézmények szabadon alkossanak OrganizationSzervezet-objektumokat, amiket a Divizió fog össze. Ehelyett a KIFÜ intézményi szintjén hozunk létre egy szervezet objektumot a KIFÜ intézményei számára, és ehhez adunk meg egy intézményi adminisztrátort.
* Az Organization alatt lehetőség van kisebb szervezeti egységeket, Departmenteket létrehozni, és akár saját adminisztrátorokat rendelni hozzá.
# Válassza a '''''Settings → Domains → Delegations''''' menüpontot, és nyomja meg az Add gombot. Töltse ki a domain nevet (example.org) és az opcionális leírást. Válassza ki a domainhez engedélyezni kívánt tanúsítványok típusát (SSL, kliens, CS). A fő domainhez általában érdemes mindet engedélyezni, de a többi kiegészítő domainhez elegendő csak az SSL tanúsítványokat. Ha Departmenteket hozott létre, és ezt a tartományt az adott egység DRAO-jainak kell átruházni, nyissa le a választási sort, és engedélyezze a domaint a megfelelő egységnél és állítsa be a megfelelő típusokat is.
# Nyomja meg újra az Add gombot, és pontosan ugyanezeket a lépéseket kell megtenni a "*"-al kiegészített domainnév esetében is (a példánkban *.example.org).
# A '''''Delegations ''''' fülről váltson a '''''DCV (Domain Control Validation) ''''' fülre. Jelölje ki a megfelelő domaint, és a megjelenő DCV gomb segítségével indítsa el a DCV folyamatot. Válasszon metódust:
#* Az ''"Email"'' opcióval a tartomány öt lehetséges címe közül választható ki az, ami majd fogadja és kezeli az oda küldött e-maileket. Példánk esetében ez lehet az „admin@example.org”, „administrator@example.org”, „hostmaster@example.org”, „postmaster@example.org” vagy „webmaster@example.org”.
#* A ''"CNAME"'' opciót választva az SCM létrehoz egy DNS CNAME rekordot a választott domainhez, amit be kell tenni a DNS zónába. Javasolt egy külső névfeloldóval ellenőrizni, hogy a CNAME rekord a helyén van-e és kívülről valóban látható.
lapon az '''''Add''''' gombra. A meglévő adminisztrátorokat szerkesztheti is, ha kiválasztja, majd megnyomja az Edit gombot.
# Töltse ki a bejelentkezési adatokat (megfelelő felhasználói névvel), az e-mailt, az utónévet és a vezetéknevet. Javasoljuk, hogy hagyja üresen a többi kapcsolattartási információt, mivel erre nincs szükség.
# Válassza ki a ''"Your Institution"'' résznél az Identity Provider-ét (IdP), és töltse ki az admin ePPN-jét (''"SWAMID identity"'') az ''"IdP Person Id”''-ben, hogy az adminisztrátor be tudjon jelentkezni SWAMID-en keresztül, ha a SAML helyesen van beállítva.
# Az új rendszergazda számára jelszót kell megadni. Az első bejelentkezéskor meg kell azt változtatnia.
# Válassza ki a kívánt jogosultságokat a '''''Privileges''''' fül alatt. Ne jelölje be a ''"WS API use only"'' opciót!
Azt határozottan javasoljuk, hogy hozzon létre saját admin felhasználókat is, hogy képes legyen látni, ki mit csinált a rendszerben.
Úgy tűnik, hogy bizonyos privilégiumokat (társ-adminisztrátorok kezelése, DCV engedélyezése) jelenleg egyik RAO nem rendelhet hozzá a másikhoz. Ha ez előfordulna, írjon e-mailt az [mailto:ugyfelszolgalat@kifu.hu címreÜgyfélszolgálat emailcímére], hogy beállítsuk azokat.
=== Zárolt felhasználói fiók ===
Lezáródhat, ha többször rossz bejelentkezési információkat ad meg. Ezután egy "Helytelen bejelentkezési adatok, a fiók zárolva van, a jelszó lejárt vagy a forrás IP-je le van tiltva" üzenetet kap. üzenet, amikor megpróbál bejelentkezni, akkor is, ha immár a helyes jelszót használja. Ez akkor is így lesz, ha jelszavát megváltoztatta egy másik rendszergazda, aki erre egyébként jogosult. A lezárás feloldását csak egy MRAO jogosultságú adminisztrátor végezheti el, így jelezze az ilyen jellegű problémát az [mailto:ugyfelszolgalat@kifu.hu címenÜgyfélszolgálatnál].
== SSL (szerver) tanúsítványok ==
#* Csak akkor használja a "Generate ECC" elemet, ha ECC tanúsítványokat tesztel. Ha nem biztos benne, használja inkább az RSA-t.
#* Ha nem szerver-oldalon generált kulccsal szeretne igényelni, használja az "Upload CSR" opciót.
# Ha a CSR feltöltést választja, akkor először létre kell hoznia a kulcsot és a CSR-t helyileg, bármilyen szoftverrel, amelyet amúgy erre használ. OpenSSL esetén: </br><code>openssl req -new -newkey rsa:2048 -out usercert_request.pem -keyout userkey.pem -subj '/CN=Teszt'<br /br> chmod go = userkey.pem<br /br>
cat usercert_request.pem</code>
# Ha úgy dönt, hogy a tanúsítványt a szerver oldalon generálja, meg kell adnia a létrehozandó PKCS#12 fájl titkosításához használt jelszót.
# Rövid idő elteltével letöltheti a tanúsítványt. A formátum az alábbi választástól függ:
#* A ''"Generate RSA/ECC"'' funkcióval kap egy PKCS#12 fájlt certs.p12 névvel, ami tartalmazza a kulcsot és a tanúsítványt. Ezt importálhatja böngészőjébe a ''"Tanúsítvány importálása"'' opcióval.
#* Az ''"Upload CSR"'' funkcióval kap egy PEM-formátumú certs.pem fájlt, amely csak a tanúsítványt tartalmazza. Ha szükség van a böngészőbe importálásra, akkor saját magának kell létrehoznia egy PKCS#12 fájlt. Az OpenSSL-lel így lehet:</br>
<code>openssl pkcs12 -export -inkey userkey.pem -in certs.pem -out certs.p12</code>
# Ha az alábbi hibaüzenetet kapja miután a Submit gombra kattintott, és elfogadta a feltételeket: ''"Sectigo Certificate Manager enrollment request failed. Please contact your security administrator."'' annak az lehet az oka, hogy meghaladta a két érvényes tanúsítvány korlátját személyenként és tanúsítványprofilonként. Az új tanúsítvány kiállítása előtt vissza kell vonnia a két tanúsítvány közül legalább egyet. Ez hibaként lett leadva a Sectigo felé, remélhetőleg mielőbb javítják.
A SAML bejelentkezés engedélyezve van a KIFÜ SCM példányához, de az attribútumot manuálisan kell beállítania az Identity Providernél, mivel a metaadatokban lévő SCM entitásnak nincs előre definiált kategóriája.
A következő attribútumokat kell közzétenni az EntiyId-ben (https://cert-manager.com/shibboleth):
* eduPersonPrincipalName <nowiki>(urn:oid:1.3.6.1.4.1.5923.1.1.1.6)</nowiki>* mail <nowiki>(urn:oid:0.9.2342.19200300.100.1.3)</nowiki>* displayName <nowiki>(urn:oid:2.16.840.1.113730.3.1.241)</nowiki>* giveName <nowiki>(urna:oid:2.5.4.42)</nowiki>* sn <nowiki>(urn:oid:2.5.4.4)</nowiki>* schacHomeOrganization <nowiki>(urn:oid:1.3.6.1.4.1.25178.1.2.9)</nowiki>* eduPersonEntitlement <nowiki>(urn:oid:1.3.6.1.4.1.5923.1.1.1.7) </nowiki> az alábbi értékkel: <nowiki>urn:mace:terena.org:tcs:personal-user</nowiki>
=== Ellenőrizze, hogy az IdP megfelelően van-e konfigurálva ===
=== KIFÜ ügyfélszolgálat ===
Amennyiben ez a dokumentum nem tartalmazza a kérdésre a választ vagy megoldást a problémájára, kérjük írjon az alábbi email címre: [mailto: ugyfelszolgalat@kifu.huÜgyfélszolgálat]
=== Sectigo támogatás ===
Néhány javaslat:
* '''''"SCM - Sectigo® Certificate Manager Quick Start Guide"''''' - az SCM rendszer rövid bemutatása* '''''"SCM - Sectigo Certificate Manager Administrator’s Guide"''''' - lényegesen hosszabb, és alaposabb leírás a szolgáltatásról* '''''"SCM - Sectigo Certificate Manager REST API"''''' - a REST API leírása, automatizálási lehetőségek
=== GÉANT Trusted Certificate Service (TCS) ===
