38
szerkesztés
Módosítások
TCS
,nincs szerkesztési összefoglaló
A DigiCert CertCentral-ban két alapvető felhasználófajta létezett: ''"Rendszergazdák"'', akik tanúsítványokat igényelhetnek/jóváhagyhatnak, validációs folyamatokat indíthatnak, megváltoztathatják a beállításokat és más adminisztrátori szintű dolgokat végezhetnek; valamint a ''"Felhasználók"'', akik csak tanúsítványokat kérhetnek (de mégis hitelesített felhasználói voltak a CertCentalnak, csakúgy, mint az adminisztrátorok).
Az SCM-ben alapvetően csak adminisztrátori felhasználók vannak. Ez azt jelenti, hogy elvileg nem lehetnek olyan felhasználók, akik bejelentkezhetnek az SCM-be, és csak tanúsítványokat kérhetnek. De az [[SSL tanúsítványokTCS#SSL_.28szerver.29_tan.C3.BAs.C3.ADtv.C3.A1nyok|SSL tanúsítványok]] részben kínálunk erre is megoldást.
=== Department (szervezeti egység) ===
A tanúsítványok kiállítása előtt érvényesítenie kell egy vagy több domaint. Ennek a folyamatnak több lépése van:
# Győződjön meg arról, hogy a DNS-zónájában nincs CAA-rekord, amely megtiltja a Sectigo számára, hogy tanúsítványokat állítson ki az adott domainra. Ebben az esetben a domain validálása kudarcot vallana. Ha hiányzik a CAA-rekord vagy ott van de tartalmazza a „sectigo.com”bejegyzést, akkor menni fog a validáció.
# Válassza a bal oldali menüből a '''''Settings → Domains → Delegations''''' menüpontot, és nyomja meg az a zöld színű + (''Add gombot'') jelet. Töltse ki a domain nevet (example.org) és az opcionális leírást. Válassza ki a domainhez engedélyezni kívánt tanúsítványok típusát (SSL, kliens, CS). A fő domainhez általában érdemes mindet engedélyezni, de a többi kiegészítő domainhez elegendő csak az SSL tanúsítványokat. A Client Certificate és a Code Signing-ot csak akkor szabad kijelölni, ha valóban használni szeretné azokat. Ha Departmenteket hozott létre, és ezt a tartományt az adott egység DRAO-jainak kell átruházni, nyissa le a választási sort, és engedélyezze a domaint a megfelelő egységnél és állítsa be a megfelelő típusokat is.
# Nyomja meg újra az Add gombot, és pontosan ugyanezeket a lépéseket kell megtenni a "*"-al kiegészített domainnév esetében is (a példánkban *.example.org). '''''Ezt mindenképpen tegye meg, hogy ne okozzon gondot az aldomainekre is igényelni tanúsítványt!'''''
# Amennyiben egy DRAO jogosultságú személy vagy egy szűkített jogosultsággal bíró RAO személy indította a domain validációt, szükség van egy megfelelő jogosultságokkal rendelkező RAO vagy egy MRAO engedélyezésére is a delegációkat illetően.
#* Az ''"Email"'' opcióval a tartomány öt lehetséges címe közül választható ki az, ami majd fogadja és kezeli az oda küldött e-maileket. Példánk esetében ez lehet az „admin@example.org”, „administrator@example.org”, „hostmaster@example.org”, „postmaster@example.org” vagy „webmaster@example.org”.
#* A ''"CNAME"'' opciót választva az SCM létrehoz egy DNS CNAME rekordot a választott domainhez, amit be kell tenni a DNS zónába. Javasolt egy külső névfeloldóval ellenőrizni, hogy a CNAME rekord a helyén van-e és kívülről valóban látható. <span style="color: red;">Ezt a metódust javasoljuk mindenki számára, stabilan, gyorsan működik a tapasztalataink alapján!</span>
#* <span style="color: red;">FIGYELEM! Ez a metódus kivezetésre kerül 2021. 11.15-én!</span> A ''"HTTP / HTTPS" opció esetében egy bizonyos tartalommal létre kell hozni egy fájlt egy megadott névvel a domain névhez tartozó webkiszolgálón.
# Kövesse a kiválasztott módszerre vonatkozó utasításokat.
# Ha az érvényesítési folyamat rendben lezajlott, akkor a DCV lapon a Validation Status állapota Validated-re változik. A Delegations lapon a domain állapotának is ''"Validated"''-nek kell lennie. A plusz sor a "*" előtaggal bizonyos esetekben továbbra is ''"Not validated"'' státuszban van, de ez általában csak egy bizonyos ideig (pár órától egy napig) tart mire frissül.
# Most már minden készen áll arra, hogy ezt a domaint és az aldomainjeit tanúsítványkérésekhez használja. Nem kell megvárni, hogy a "*" előtagú domain is érvényes állapotba kerüljön.
<span style="color: red;">2021. decemberétől kizárólag subdomainre is elvégezhető a validáció!</span>
==== Metódus módosítása ====
Amennyiben nem megfelelő metódus lett kiválasztva, illetve valamiért nem működik a választottnál a validáció, van lehetőség változtatni. Ehhez a '''''Settings → Domains → DCV''''' fülön ki kell jelölni az érintett domaint, ekkor megjelenik a domainlista fölött a DCV gomb, és arra kattintva felugrik egy kis ablak. Itt lehet visszalépni illetve bizonyos fázisban resetelni a választott metódust.
==== Domain lejárat ====
A domainvalidáció 1 évig érvényes. A lejárat előtt figyelmeztetést küld a rendszer. Az újra validálás lehetősége pár nappal a lejárat előtt lesz éles. A lépések teljesen megegyeznek az első alkalommal történő validációs folyamattal.
=== Departments (Szervezeti egységek) ===
Ha a probléma jellege megkívánja, vegye fel a kapcsolatot a Sectigo Ügyfélszolgálatával a https://sectigo.com/support-ticket webhelyen a kérdésével/problémájával kapcsolatban. Eltérő utasítás hiányában válassza az "SCM Support" pontot a jegy okának. A leírásban szerepeljen az alábbi sor: ''"We are a KIFÜ member of the GEANT TCS service, using the https://cert-manager.com/customer/KIFU SCM SCM instance."''
Javasolt átnézni a Sectigo support oldalát is, illetve jól használható az ottani kereső is, a gyakori hibákra általában írnak egy külön cikket, mint pl. az [https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l000000noiG Anchor Certificate details are different]
=== Sectigo dokumentáció ===
