38
szerkesztés
Módosítások
TCS
,nincs szerkesztési összefoglaló
== A KIFÜ tanúsítványszolgáltatás ==
<span style="color: red;">[https://sectigo.status.io/pages/maintenance/5938a0dbef3e6af26b001921/5f0e30f3aab0e604b91214a0 --->LINK]</span>
<span style="color: red;">[https://sectigo.com/resource-library/sectigo-to-remove-street-address-and-postal-code-from-certificates --->LINK]</span>
---------------------------------------------------------------------
A DigiCert CertCentral-ban két alapvető felhasználófajta létezett: ''"Rendszergazdák"'', akik tanúsítványokat igényelhetnek/jóváhagyhatnak, validációs folyamatokat indíthatnak, megváltoztathatják a beállításokat és más adminisztrátori szintű dolgokat végezhetnek; valamint a ''"Felhasználók"'', akik csak tanúsítványokat kérhetnek (de mégis hitelesített felhasználói voltak a CertCentalnak, csakúgy, mint az adminisztrátorok).
Az SCM-ben alapvetően csak adminisztrátori felhasználók vannak. Ez azt jelenti, hogy elvileg nem lehetnek olyan felhasználók, akik bejelentkezhetnek az SCM-be, és csak tanúsítványokat kérhetnek. De az [[SSL tanúsítványokTCS#SSL_.28szerver.29_tan.C3.BAs.C3.ADtv.C3.A1nyok|SSL tanúsítványok]] részben kínálunk erre is megoldást.
=== Department (szervezeti egység) ===
A tanúsítványok kiállítása előtt érvényesítenie kell egy vagy több domaint. Ennek a folyamatnak több lépése van:
# Győződjön meg arról, hogy a DNS-zónájában nincs CAA-rekord, amely megtiltja a Sectigo számára, hogy tanúsítványokat állítson ki az adott domainra. Ebben az esetben a domain validálása kudarcot vallana. Ha hiányzik a CAA-rekord vagy ott van de tartalmazza a „sectigo.com”bejegyzést, akkor menni fog a validáció.
# Válassza a bal oldali menüből a '''''Settings → Domains → Delegations''''' menüpontot, és nyomja meg az a zöld színű + (''Add gombot'') jelet. Töltse ki a domain nevet (example.org) és az opcionális leírást. Válassza ki a domainhez engedélyezni kívánt tanúsítványok típusát (SSL, kliens, CS). A fő domainhez általában érdemes mindet engedélyezni, de a többi kiegészítő domainhez elegendő csak az SSL tanúsítványokat. A Client Certificate és a Code Signing-ot csak akkor szabad kijelölni, ha valóban használni szeretné azokat. Ha Departmenteket hozott létre, és ezt a tartományt az adott egység DRAO-jainak kell átruházni, nyissa le a választási sort, és engedélyezze a domaint a megfelelő egységnél és állítsa be a megfelelő típusokat is.
# Nyomja meg újra az Add gombot, és pontosan ugyanezeket a lépéseket kell megtenni a "*"-al kiegészített domainnév esetében is (a példánkban *.example.org). '''''Ezt mindenképpen tegye meg, hogy ne okozzon gondot az aldomainekre is igényelni tanúsítványt!'''''
# Amennyiben egy DRAO jogosultságú személy vagy egy szűkített jogosultsággal bíró RAO személy indította a domain validációt, szükség van egy megfelelő jogosultságokkal rendelkező RAO vagy egy MRAO engedélyezésére is a delegációkat illetően.
#* Az ''"Email"'' opcióval a tartomány öt lehetséges címe közül választható ki az, ami majd fogadja és kezeli az oda küldött e-maileket. Példánk esetében ez lehet az „admin@example.org”, „administrator@example.org”, „hostmaster@example.org”, „postmaster@example.org” vagy „webmaster@example.org”.
#* A ''"CNAME"'' opciót választva az SCM létrehoz egy DNS CNAME rekordot a választott domainhez, amit be kell tenni a DNS zónába. Javasolt egy külső névfeloldóval ellenőrizni, hogy a CNAME rekord a helyén van-e és kívülről valóban látható. <span style="color: red;">Ezt a metódust javasoljuk mindenki számára, stabilan, gyorsan működik a tapasztalataink alapján!</span>
#* <span style="color: red;">FIGYELEM! Ez a metódus kivezetésre kerül 2021. 11.15-én!</span> A ''"HTTP / HTTPS" opció esetében egy bizonyos tartalommal létre kell hozni egy fájlt egy megadott névvel a domain névhez tartozó webkiszolgálón.
# Kövesse a kiválasztott módszerre vonatkozó utasításokat.
# Ha az érvényesítési folyamat rendben lezajlott, akkor a DCV lapon a Validation Status állapota Validated-re változik. A Delegations lapon a domain állapotának is ''"Validated"''-nek kell lennie. A plusz sor a "*" előtaggal bizonyos esetekben továbbra is ''"Not validated"'' státuszban van, de ez általában csak egy bizonyos ideig (pár órától egy napig) tart mire frissül.
# Most már minden készen áll arra, hogy ezt a domaint és az aldomainjeit tanúsítványkérésekhez használja. Nem kell megvárni, hogy a "*" előtagú domain is érvényes állapotba kerüljön.
<span style="color: red;">2021. decemberétől kizárólag subdomainre is elvégezhető a validáció!</span>
==== Metódus módosítása ====
Amennyiben nem megfelelő metódus lett kiválasztva, illetve valamiért nem működik a választottnál a validáció, van lehetőség változtatni. Ehhez a '''''Settings → Domains → DCV''''' fülön ki kell jelölni az érintett domaint, ekkor megjelenik a domainlista fölött a DCV gomb, és arra kattintva felugrik egy kis ablak. Itt lehet visszalépni illetve bizonyos fázisban resetelni a választott metódust.
==== Domain lejárat ====
A domainvalidáció 1 évig érvényes. A lejárat előtt figyelmeztetést küld a rendszer. Az újra validálás lehetősége pár nappal a lejárat előtt lesz éles. A lépések teljesen megegyeznek az első alkalommal történő validációs folyamattal.
=== Departments (Szervezeti egységek) ===
felületén. Ehhez válassza a '''''Settings → Organizations''''' menüpontot, válassza ki a szervezetet, majd kattintson az '''''Edit''''' gombra. (Vagy ha csak egy szervezeti egységhez szeretné rendelni, akkor a szervezet kiválasztása után kattintson a '''''Department''''' gombra, válassza ki az egységet, és itt használja az '''''Edit''''' lehetőséget).
* Az '''''SSL certificate''''' lapon engedélyezze a ''"Self enrollment"'' opciót, és írjon egy titkos értéket az ''"Access Code"'' mezőbe, majd másolja ki a mező alatt található URL-t. Most elküldheti ezt az URL-t azoknak, akiket szeretné, hogy beléphessenek a nem adminisztrátorok számára fenntartott tanúsítvány igénylő felületre. Mint teszteléskor láthatja, hozzávetőlegesen ugyanazokat a mezőket tartalmazza ez az oldal, mint maga az SCM '''''"Add certificate"''''' része. Ne felejtse ellenőrizni az emailcímet amire elküldi a hozzáférést, illetve alakítson ki egy saját metódust a kérelmezők autentikálására!
* Amennyiben működik a SAML attribútum átadása a Sectigo felé (lásd a [[SAML konfigurációTCS#SAML_konfigur.C3.A1ci.C3.B3|SAML konfiguráció]] szekciót), akkor engedélyezheti a '''''"Self enrollment via SAML"''''' funkciót is, titkosítva tarthatja a hozzáférési kódot, és elküldheti a felhasználók számára a Token mező alatti URL-t. Ezután a SAML használatával hitelesíteniük kell magukat mielőtt a fentiekkel megegyező igénylő űrlapra belépnének. Mivel az e-mail cím most az IdP-től érkezik a SAML-en keresztül, biztos lehet abban, hogy helyes, de eldöntheti, hogy szükség lesz-e további autentikációra az igénylést megelőzően.
* ''Nem javasoljuk'' az ''"Automatically Approve Self Enrollment Requests"'' opció bejelölését! Legalább manuálisan jóvá kell hagyatni az ezen a módon érkező tanúsítványkéréseket!
* Érdemes lehet testreszabnia a választható SSL típusokat az igénylő űrlaphoz ('''''SSL types → Customize''''', jobb oldali rész), hogy megakadályozza a felhasználót abban, hogy olyan tanúsítványtípusokat is igényeljen, melyeket nem kíván engedélyezni a számára. Az SCM felületén továbbra is megőrizheti a választási lehetőséget (a fenti felület bal oldali részén).
Az önkiszolgáló portál a következő címen található: https://cert-manager.com/customer/KIFU/idp/clientgeant
Ahhoz, hogy működjön a felhasználók számára, a következőket kell tenni:
* Helyesen be kell konfigurálni az IdP-t a Sectigo-hoz. Lásd a [[TCS#SAML_konfigur.C3.A1ci.C3.B3|SAML konfiguráció]] pontnál.
* Szerkessze a szervezeti objektumot, és állítsa az ''"Academic code (SCHAC Home Organization)"'' értéket ugyanarra az értékre, mint amit az IdP küld mint ''"schacHomeOrganization"''. Ez általában a fő domain, de ezt egyeztesse le az IdP rendszergazdáival.
Miután ellenőrizte, hogy az IdP helyesen van-e beállítva, folytathatja a SAML-hitelesítés használatának konfigurálását:
* Ahhoz, hogy használni lehessen a föderációs bejelentkezést az SCM portálon, be kell lépni az összes meglévő RAO és DRAO admin felhasználói fiókját tartalmazó oldalra ('''''Admins''''') és módosítani az '''''Identity provider''''' mezőt a saját intézményre, valamint az '''''IdP person ID''''' mezőt az ''admin ePPN'' (''eduPersonPrincipalName'') értékére.
* Az SSL-tanúsítványokról a "Self Enrollment via SAML" leírásnál olvashat fentebb a [[TCS#Nem_adminisztr.C3.A1tor_jogosults.C3.A1g.C3.BA_ig.C3.A9nyl.C3.A9sek_enged.C3.A9lyez.C3.A9se|Nem adminisztrátor jogosultságú igénylések engedélyezése]] részben.
== A REST API használata ==
Ha a probléma jellege megkívánja, vegye fel a kapcsolatot a Sectigo Ügyfélszolgálatával a https://sectigo.com/support-ticket webhelyen a kérdésével/problémájával kapcsolatban. Eltérő utasítás hiányában válassza az "SCM Support" pontot a jegy okának. A leírásban szerepeljen az alábbi sor: ''"We are a KIFÜ member of the GEANT TCS service, using the https://cert-manager.com/customer/KIFU SCM SCM instance."''
Javasolt átnézni a Sectigo support oldalát is, illetve jól használható az ottani kereső is, a gyakori hibákra általában írnak egy külön cikket, mint pl. az [https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l000000noiG Anchor Certificate details are different]
=== Sectigo dokumentáció ===
