Sectigo spezifische Sektionen in MPKI
Abschnitte auf dieser Seite:
Je nach Vertrag sind hier die erforderlichen Einstellungen vorzunehmen. Diese werden von Sectigo bereit gestellt.
Parameter |
Beschreibung |
|
|---|---|---|
Angabe der URI, auf welche über die MPKI zugegriffen werden soll. Wird von Sectigo vorgegeben. |
||
Wird von Sectigo vorgegeben. |
||
Wird von Sectigo vorgegeben. |
||
Wird von Sectigo bezogen, sofern die Verbindung etabliert ist und valide Login Daten angegeben wurden. Die Anzahl der angezeigten Organisationen und Zertifikatstypen ist von den Einstellungen in der Sectigo WebGUI abhängig. |
||
Wird von Sectigo bezogen, sofern die Verbindung etabliert ist und valide Login Daten angegeben wurden. Bei den wie folgt angezeigten möglichen Typen kann zusätzlich jeweils die Zertifikatslaufzeit angegeben werden.
|
||
|
Sectigo Persona Validated Certificate. Term |
Beispiel Zertifikatstyp aus dem Sectigo Portfolio. Weitere Informationen zu den Unterschieden der Zertifikatstypen sind beim Anbieter Sectigo zu erfragen. |
|
GEANT Personal Certificate |
Dies sind Beispiel Zertifikatstypen für allgemeinnützige Organisationen (siehe auch Anbinden an Sectigo /erster Hinweis)
|
GEANT IGTF-MICS Personal |
||
GEANT IGTF-MICS-Robot Personal |
||
GEANT IGTF-Classic-Robot Email |
||
Bedingt durch die Art und Weise, wie Users angelegt werden, können beim Beziehen von Zertifikaten Probleme auftauchen, sofern im Feld Name des Users eine E-Mail Adresse enthalten ist (siehe auch Warnung in der Beschreibung des Feldes Name) oder der angegebene Name nicht den Konventionen der CA für den erfolgreichen Bezug eines Zertifikates entspricht.
Für diesen Fall besteht die Möglichkeit über Reguläre Ausdrücke den Eintrag im Feld Name des Users so zu zerlegen, dass ein CA konformes Format entsteht.
Der Standard Eintrag (?<GN>.+) (?<SN>.+) zerlegt den Eintrag aus dem Feld Name des Users in Given Name (GN) also dem Vornamen und Surname (SN) also dem Nachnamen. Ausgehend von einem Eintrag Max Mustermann würde dieser in GN=Max SN=Mustermann zerlegt. Bei mehreren Vornamen im Feld Name 1.Vorname 2.Vorname Nachname würde der zerlegte Ausdruck wie folgt aussehen GN=1.Vorname 2.Vorname SN=Nachname
Sollten im Feld Name der Users E-Mail-Adressen stehen, so könnten auch diese zerlegt werden. Sofern das übliche E-Mail Format vorname.nachname@firma.tld verwendet wird, müsste der Reguläre Ausdruck wie folgt lauten (?<GN>.*)\.(?<SN>.*)@.* Am Beispiel max.mustermann@meinefirma.tld würde dieser ebenfalls in GN=Max SN=Mustermann zerlegt. |
||
(neu in 13.0.8) Unter bestimmten Umständen ist es erforderlich, den Validierungsstatus im Sectigo MPKI Connector auf 'HIGH' zu setzen, wenn ein Zertifikat für den Benutzer ausgestellt wird, für den das Zertifikat in Sectigo gespeichert ist. Dies ist eigentlich eine Einstellung im Sectigo-Profil für die auszustellenden Zertifikate. |
||
|
Zusätzlich zu den oben genannten Eingaben, muss im Sectigo Kunden-Portal die IP Adresse des SEPPmail Secure E-Mail Gateways für den automatischen Bezug der Zertifikate freigeschaltet werden! |
Sektion Domain specific parameters (optional)
Diese Parameter sind für wenigstens eine Organization ID zu setzen. Existieren zum Customer aus den Default parameters mehrere Organization IDs, so erscheint pro Organization ID ein Domain entry.
Nach dem Speichern der Domänen spezifischen Option via Save entries, erscheint jeweils ein weiteres Eingabefeld.
Parameter |
Beschreibung |
||
|---|---|---|---|
Wird, beziehungsweise werden jeweils von Sectigo bezogen, sofern das Login (siehe Default parameters) erfolgreich war. |
|||
Angabe der E-Mail Domänen, für welche die folgenden Parameter gültig sein sollen. Nur Domänen, welche beim Stellen des Antrags bei der Zertifizierungsstelle auch benannt, beziehungsweise später separat validiert wurden, dürfen eingetragen werden.
|
|||
siehe Default parameters. |
|||
Einstellungen für das automatische Erneuern von Zertifikaten.
|
Die Laufzeit der Zertifikate der einzelnen Benutzers kann gegebenenfalls der Datei user-stats.csv, welche mit dem Daily Report (siehe auch Groups statisticsadmin) mitkommt, entnommen werden. Dies ist insbesondere hilfreich, sofern kein automatisches Erneuern von Zertifikaten eingestellt wurde. |
Parameter |
Beschreibung |
|||
|---|---|---|---|---|
|
Diese Option ist im Standard inaktiv und mit dem Wert 30 vorbelegt. Initiiert das automatische Erneuern von Zertifikaten aktiver Benutzer (Users), sofern die eingestellte Restlaufzeit unterschritten ist. Voraussetzung hierfür ist, dass der entsprechende Benutzer innerhalb der eingestellten Überschneidungszeit eine E-Mail sendet. Damit wird vermieden, dass für „Leichen“ im Menü Users gegebenenfalls kostenpflichtig Zertifikate bezogen werden. Der so initiierte Prozess wird über Nacht (!) abgearbeitet.
|
|||
|
Diese Option ist im Standard inaktiv. Bezieht für alle existenten, aktiven Users, welche nicht im Besitz eines gültigen (!) Zertifikates sind, automatisiert über Nacht (!) ein Zertifikat.
Als aktive Users werden diejenigen bezeichnet, welche innerhalb der letzten 30 Tage eine E-Mail gesendet haben und nicht den State inactive haben.
|
|||
Durch Klicken von Add or update... werden unter X.509 Root Certificates die Zwischen-(Intermediate-)Zertifikate hinzugefügt/aktualisiert, welche für das Ergänzen der Zertifikatskette beim Signieren benötigt werden.
|
||||
Die vorgenommenen Änderungen werden über die Schaltfläche Save gespeichert.
