Quelle: Freepik
Gestern, 15. August 2023, wurde das RA-Portal (ra-portal.itc.rwth-aachen.de) zusätzlich für die Ausstellung von Nutzerzertifikaten in der GÉANT/TCS (PKI) freigeschaltet. Ab dem 30. August 2023 können keine neuen Nutzerzertifikate mehr über die DFN-PKI Global beantragt werden, da diese ihren Betrieb einstellt.
Bis zum 29. August 2023 wird es somit einen Parallelbetrieb mit dem bekannten Dienst „DFN-PKI Global“ geben. Alle bis dahin ausgestellten Zertifikate behalten dennoch ihren Gültigkeitsstatus von maximal 3 Jahren nach Zertifikatsausstellung. Welche Aufgaben sich nun für IT-Administrierende ergeben, erfahrt ihr in diesem Blogbeitrag.
Um welche E-Mail-Domain handelt es sich?
Für die Beantragung von Nutzerzertifikaten über GÉANT/TCS (PKI) sind zwei Arten von E-Mail-Domains zu unterscheiden:
Für E-Mail-Adressen mit der Domain @rwth-aachen.de können die Nutzenden ihre Nutzerzertifikate eigenständig im RA-Portal beantragen. Die Berechtigung jedes Nutzenden mit diesen E-Mail-Adressen wird automatisch über das Identity Management abgefragt. Damit entfällt das persönliche Erscheinen und die Identitätsprüfung vor Ort im IT-ServiceDesk.
Für dienstliche E-Mail-Adressen (zum Beispiel name@institut.rwth-aachen.de) muss die Eintragung dieser Adressen im RA-Portal durch die IT-Administrierenden der jeweiligen Einrichtung erfolgen. Nützliche Anleitungen dazu haben wir euch auf IT Center Help zur Verfügung gestellt. Erst wenn die Eintragung der entsprechenden E-Mail-Adresse im RA-Portal erfolgt ist und die Nutzenden diese E-Mail-Adresse bestätigt haben, können Mitarbeitende der RWTH Aachen ihr Nutzerzertifikat beantragen.
Funktionen im RA-Portal für IT-Administrierende
Im RA-Portal haben die IT-Administrierenden eurer Einrichtungen außerdem die Möglichkeit, die Nutzerzertifikate für E-Mail-Adressen ihrer Einrichtung zu verwalten. So können sie bestimmen, wer ein Zertifikat für ein funktionales Postfach beantragen darf, Bestätigungs-E-Mails an neue Postfächer auslösen oder Zertifikate von ausgeschiedenen Mitarbeitenden sperren.
Um unter dem neuen RA-Portal Reiter „Meine E-Mail-Domains“ die E-Mail-Adressen der eigenen Einrichtung verwalten zu können, muss man zur primären Ansprechpersonengruppe für die jeweilige Domain gehören. Die Ansprechpersonen sind im NOC-Portal ersichtlich.
Umstellung auf dem LDAP-Server (ldappv.rwth-aachen.de)
Weder die GÉANT/TCS noch der DFN betreiben für die Nutzerzertifikate der GÉANT/TCS einen LDAP-Server (Adressbuch). Da die RWTH Aachen bereits über einen eigenen LDAP-Server als Personenverzeichnis verfügt, wird dort ein eigener Zweig für Nutzerzertifikate der RWTH erzeugt. Im neuen LDAP-Zweig
„o=RWTH Aachen University,ou=GEANT/TCS,dc=rwth-aachen,dc=de“
werden alle gültigen Nutzerzertifikate aufgenommen.
Der Server ldappv.rwth-aachen.de ist ausschließlich innerhalb des RWTH-Netzes erreichbar. Pro Suche werden nur drei Ergebnisse geliefert. Es kann nach Common Name, E-Mail-Adresse oder dem Nachnamen gesucht werden. Alle drei Felder werden aus dem Betreff des Nutzerzertifikats befüllt.
Die Nutzung eines LDAP-Servers mit Nutzerzertifikaten als Adressbuch in der eigenen E-Mail-Anwendung ermöglicht den verschlüsselten Austausch von E-Mails ohne vorherigen Handshake. Das bedeutet, dass man keine digital signierte E-Mail von den Absendenden erhalten muss, um anschließend mit einer verschlüsselten E-Mail antworten zu können.
Über DFN-PKI Global ausgestellte Zertifikate
Neue Anträge für Nutzerzertifikate in der DFN-PKI Global, die bis spätestens zum 25. August 2023 im IT-ServiceDesk im Seffenter Weg 23 beziehungsweise bis zum 22. August 2023 im SuperC eingehen, werden noch berücksichtigt und die passenden Zertifikate ausgestellt. Alle bereits über die DFN-PKI Global ausgestellten Nutzerzertifikate behalten auch über den 30. August hinaus bis zu ihrem Ablaufdatum (3 Jahre nach Ausstellung) ihre Gültigkeit.
Was muss ich noch wissen?
Gruppenzertifikate sind in der PKI-Welt Nutzerzertifikate, die von einer Person beantragt wurden und von allen berechtigten Nutzenden des funktionalen Postfachs genutzt werden. Die Beantragung von Zertifikaten für funktionale Postfächer erfolgt ebenfalls über das RA-Portal.
- Für funktionale Postfächer innerhalb der eigenen Mail-Domain bestimmen die IT-Admins im RA-Portal, wer den Antrag stellen darf.
- Für funktionale Postfächer unter @rwth-aachen.de erfolgt die Berechtigung der antragstellenden Person im RA-Portal über ihre Funktion als Eigentümer des Postfachs im zentralen Mailsystem der RWTH. Eine Übersicht ihrer @rwth-aachen.de Postfächer können alle RWTH-Angehörigen im Selfservice
Code-Signing-Zertifikate sind auch von der Umstellung auf GÉANT/TCS betroffen. Dies umfasst jedoch eine geringe Anzahl an Nutzenden an der RWTH. GÉANT/TCS stellt Code-Signing-Zertifikate aus, jedoch nur auf Hardware Tokens. Betroffene Nutzende wurden bereits im März 2023 über die Umstellung informiert. Eine Erinnerung erfolgte am 24. Juli 2023.
Grid-Zertifikate sind von der Umstellung nicht betroffen, da die „DFN-PKI Grid“ nicht zu der DFN-PKI Global gehört.
Bei Fragen oder Problemen sind die Kolleginnen und Kollegen vom IT-ServiceDesk gerne für Sie da.
Verantwortlich für die Inhalte dieses Beitrags sind Jelena Ćulum, Bernd Kohler und Ekaterini Papachristou.
Ist ja klasse, dass das doch noch geklappt hat mit dem LDAP-Server.
Hallo Jakob,
vielen Dank für deine positive Rückmeldung!
Viele Grüße
Das IT Center Blog Team