To Organisation Assurer - To Organisation Assurers List - To Prospective Organisation Assurers List

deutsch | english | français | netherlands | …

Handbuch für Organisationsadministratoren

Aufgaben eines CAcert-Organisations-Administrators

Die primäre Aufgabe eines CAcert-Organisations-Administrators(OrgAdmin) ist es für die Organisation, für die er als OrgAdmin eingetragen wurde, Client- und Server-Zertifikate anzulegen und zu verwalten.

. Menu-DE.png

Zu der Verwaltung stehen dem OrgAdmin in der Menüleiste des Web-Interfaces von CAcert zwei weitere Bereiche zur Verfügung. Die Organisations-Client-Zertifikate, hier werden die Client- / Mail-Zertifikate für die Organisation verwaltet, und die Organisations-Server-Zertifikate, hier werden die Server-Zertifikate der Organisation verwaltet. Die Masken für die Verwaltung entsprechen weitestgehend den Masken, die jedem CAcert-Anwender zur Verfügung stehen.

Verwalten der Client-Zertifikate

Schritt 1

Im Prinzip entspricht die Verwaltung der Organisations-Client-Zertifikaten der Verwaltung der normalen Client-Zertifikate. Die Erstellungsmaske sieht etwas anders aus.

. Client-Certificate-DE.png Im dargestellten Bild sind die erweiterten Optionen ausgewählt.

Die eingegebene E-Mail-Adresse muss zu den für die Organisation hinterlegten Domänen passen. Andere E-Mail-Adressen werden vom System nicht zugelassen.

Falls ein anderer Benutzer eine E-Mail-Adresse mit der Organisationsdomäne in seinem Account hinterlegt hat, sollte dies zuerst dort gelöscht werden, bevor der OrgAdmin diese für die Organisation einträgt.

Der Name der Person, für die das Client-Zertifikat ausgestellt wird, sollte eingegeben werden. Dieser erscheint neben der Organisation im Zertifikat.

Die Abteilung kann eingegeben werden. Falls hier ein Eintrag erfolgt, wird dieser auch im Zertifikat als OU-Eintrag sichtbar.

In den Optionen kann ausgwählt werden, ob die Signatur mit dem Class1- oder Class3-Stammzertifikat signiert werden soll. Class3 wird hier empfohlen.

Des Weiteren kann noch zwischen verschiedensten Hash-Algorithmen gewählt werden, wobei SHA-256 der Standard ist.

Wenn der Orgnanisationsadministrator die Möglichkeit hat, Codesigning-Zertifikate auszustellen, so kann er auch für die Organisation Codesigning Zertifikate ausstellen (Ist im Screenshot nicht dargestellt.

Alle Daten, die in diesem Formular angegeben sind, werden zur Erstellung des signierten Zertifikats genutzt, unabhängig welche Art der Zertifikatserstellung im 2. Schritt gewnutzt wird. Im Falle der CSR-Methode (Certificate Signing Request) werden nur die Daten des öffentlichen Schlüssels verwendet. Alle anderen Informationen werden aus diesem Formular und dem Organisationskonto entnommen.

Schritt 2

. Client-Certificate-DE-Step2.png

Im zweiten Schritt kann entschieden werden, ob die Signierung mit einem neue, im Browser generierten, Schlüssel oder durch einfügen eines CSR generiert werden soll.

Im Falle der CSR-Methode entsteht der Vorteil, dass der Organisationsadministrator das User-Zertifikat nicht in seinem eigenen Browser-Truststore hat. On the second step you can decide wether you create a new private key within the browser or to paste the CSR into the form.

Ergebnis der browser-basierten Variante

. Client-Certificate-DE-Browser.png

Im nächsten Schritt muss das Zertifikat in den Truststore des browser geldaen und von dort exportiert werden.

=== Ergebnis der CSR-Methode ===

. Client-Certificate-DE-CSR.png

Hier muss lediglich der öffentliche Schlüssel kopiert und dem Nutzer zur verfügung gestellt werden.

Verwalten der Server-Zertifikate

Im Prinzip entspricht die Verwaltung der Organisations-Server-Zertifikaten der Verwaltung der normalen Server-Zertifikate.

. Server-Certificate-DE.png

Fügen sie in das Textfeld die Zertifikatsanfrage (CSR) ein. Mehr Informationen zur Erstellung des CSR finden sie unter http://wiki.cacert.org/HELP/4 und http://wiki.cacert.org/CSR. Bis auf die Organisationseinheit (Organisational Unit, OU) werden alle Informationen aus dem Zertifikat entfernt und durch die bei CAcert hinterlegten Daten ersetzt.

Hinweise

Der OrgAdmin ist verantwortlich für die richtige Eingabe der Daten.
Dies gilt insbesondere für die Namen der Personen für die Client-Zertifikate ausgestellt werden. Hier gilt zu prüfen, ob die Person wirklich der Verantwortliche der E-Mail-Adresse ist.
Er kann keine weiteren Organisationsadministratoren und keine weiteren Domänen der Organisation hinzufügen. Dies muss immer über die Organisations-Assurer erfolgen. Diese können über <support AT SPAMFREEFOREVER cacert DOT org> erreicht werden.
Falls für die Organsiation ein Zertifikat für das Codesigning ausgestellt werden soll, muss der OrgAdmin zuerst für sich die Codesigning-Ability beantragen, da dieses Recht auf den OrgAdmin Account übertragen wird. Die Codesigning-Ability kann mit einer formlosen Mail an <support AT SPAMFREEFOREVER cacert DOT org> beantragt werden.



Sprachversionen

Deutsch
Englisch
Französich
Niederländisch


OrganisationAssurance/OA/OrgAdmin/Handbook/DE (last edited 2015-01-10 13:41:59 by MarcusMängel)