Wegen eines SW Fehlers ist das Hochladen einer im Browser generierten CSR-Datei für ein Client-Zertifikat mit mehreren E-Mail-Adressen z.Z. nicht möglich. Wir arbeiten an einer Lösung und werden den Fehler voraussichtlich am 28.10.2024 beheben können.
Das Erstellen von Client-Zertifikatsanträgen mit mehreren SANs ist im Browser wieder möglich.
Seit dem 21.10.2024 werden neu ausgestellte SSL-Zertifikate für Webseiten, die im Rahmen des Dienstes Webhosting des IT Centers bereitgestellt werden, mit einer neuen Zertifikatskette ausgeliefert. Alte Kette: 1a. C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services 2a. C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority 3a. C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA 4a. C = DE, ST = Nordrhein-Westfalen, O = RWTH Aachen University, CN = FQDN Neue Kette: 1b. C = GB, ST = Greater Manchester, L = Salford, O = Comodo CA Limited, CN = AAA Certificate Services 2b. C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority 3b. C = NL, O = GEANT Vereniging, CN = GEANT OV RSA CA 4 4b. C = DE, ST = Nordrhein-Westfalen, O = RWTH Aachen University, CN = FQDN Das "Sectigo RSA Organization Validation Secure Server CA"-Zertifikat (unter 3a) wurde durch das "GEANT OV RSA CA 4"-Zertifikat (unter 3b) ersetzt.
Im Reiter "Meine E-Mail-Domains" können Netzansprechpersonen die E-Mail-Adressen der jeweiligen Einrichtung im RA-Portal verwalten. Bei "E-Mail-Account hinzufügen" war das Eintragen einer Absender-E-Mail bis dato case sensitive. Dies haben wir auf case insensitive geändert. D.h. wenn z.B. der Eintrag "email@itc.rwth-aachen.de" existiert, dann kann der Eintrag "Email@itc.rwth-aachen.de" usw. nicht hinzugefügt werden. Das Editieren der Absender-E-Mail war immer unterbunden. D.h. wenn Sie eine fehlerhafte Absender-E-Mail eingetragen haben, löschen Sie einfach den Eintrag. Wenn Sie aber die Challenge-E-Mail(s) schon ausgelöst haben, melden Sie sich bei ra@rwth-aachen.de, da das Löschen nicht mehr möglich ist.
---english version below--- Im Zuge einer Systemaktualisierung müssen die Server neu gestartet werden. ---english version--- The servers must be restarted in the course of a system update.
Für eine kurze zeit gab es einen Fehler bei der Anmeldung über RWTH Single Sign-On kommen: Internal Server Error Das Problem konnte behoben werden. ---English--- For a short period of time, there was an error while using RWTH Single Sign-On. The problem has been solved.
Aufgrund von dem abgelaufenen Zertifikat für idm.rwth-aachen.de können keine IdM-Anwendungen und die Anwendungen, die über RWTH Single Sign-On angebunden sind, aufgerufen werden. - Beim Aufrufen von IdM-Anwendungen wird eine Meldung zur unsicheren Verbindung angezeigt. - Beim Aufrufen von Anwendungen mit dem Zugang über RWTH Single Sign-On wird eine Meldung zu fehlenden Berechtigungen angezeigt. Wir arbeiten mit Hochdruck an der Lösung des Problems. --- English --- Due to the expired certificate for idm.rwth-aachen.de, no IdM applications and the applications that use RWTH Single Sign-On can be accessed. We are working on a solution. - An insecure connection message is displayed when calling up IdM applications. - When calling up applications with access via RWTH Single Sign-On, a message about missing authorisations is displayed.
Das Zertifikat wurde aktualisiert und die Anwendungen können wieder aufgerufen werden. Bitte löschen Sie den Browsercache, bevor Sie die Seiten wieder aufrufen. /// The certificate has been updated and the applications can be accessed again. Please delete the browser cache before accessing the pages again.
---english version below--- Im Zuge einer Systemaktualisierung müssen die Server neu gestartet werden. ---english version--- The servers must be restarted in the course of a system update.
Wartung ist beendet
Wegen eines SW Fehlers waren im genannten Zeitraum auch für die Netzansprechpersonen aller Einrichtungen keine E-Mail-Domains unter dem Reiter "Meine E-Mail-Domains" sichtbar.
Aufgrund von kritischer Updates wird es durch einen Neustart des NOC-Portals zu einem kurzen Ausfall kommen. Durch Schnittstellen zwischen den System, sind kurzfristig ebenfalls das TK-Portal und RA-Portal betroffen.
Updates abgeschlossen und Neustart durchgeführt. Services laufen wieder wie gewohnt weiter.
---english version below--- Im Zuge einer Systemaktualisierung müssen die Server neu gestartet werden. ---english version--- The servers must be restarted in the course of a system update.
Aufgrund einer Störung des DNS liefern die Nameserver verschiedener Provider aktuell keine IP-Adresse für Hosts unter *.rwth-aachen.de zurück. Als Workaround können Sie alternative DNS-Server in Ihren Verbindungseinstellungen hinterlegen, wie z.B. die Level3-Nameserver (4.2.2.2 und 4.2.2.1) oder von Comodo (8.26.56.26 und 8.20.247.20). Ggf ist es auch möglich den VPN-Server der RWTH zu erreichen, dann nutzen Sie bitte VPN. // Due to DNS disruption, the name servers of various providers are currently not returning an IP address for hosts under *.rwth-aachen.de. As a workaround, you can store alternative DNS servers in your connection settings, e.g. the Level3-Nameserver (4.2.2.2 and 4.2.2.1) or Comodo (8.26.56.26 und 8.20.247.20). It may also be possible to reach the RWTH VPN server, in which case please use VPN.
Anleitungen zur Konfiguration eines alternativen DNS-Server unter Windows finden Sie über die folgenden Links: https://www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/ https://www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html Als Alternative können Sie auch VPN nutzen. Wenn Sie den VPN-Server nicht erreichen, können Sie nach der folgenden Anleitung die Host-Datei unter Windows anpassen. Dadurch kann der Server vpn.rwth-aachen.de erreicht werden. Dazu muss der folgenden Eintrag hinzugefügt werden: 134.130.5.231 vpn.rwth-aachen.de https://www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/ // Instructions for configuring an alternative DNS server under Windows can be found via the following links: https://www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/ https://www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html You can also use VPN as an alternative. If you cannot reach the VPN server, you can adjust the host file under Windows according to the following instructions. This will allow you to reach the server vpn.rwth-aachen.de. To do this, the following entry must be added: 134.130.5.231 vpn.rwth-aachen.de https://www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/
Die Host der RWTH Aachen sind nun wieder auch von ausserhalb des RWTH Netzwerkes erreichbar. // The hosts of RWTH Aachen University can now be reached again from outside the RWTH network.
Auch nach der Störungsbehebung am 25.8. um 21 Uhr kann es bei einzelnen Nutzer*innen zu Problemen gekommen sein. Am 26.8. um 9 Uhr wurden alle Nacharbeiten abgeschlossen, sodass es zu keinen weiteren Problemen kommen sollte. // Individual users may have experienced problems even after the fault was rectified on 25 August at 9 pm. On 26.8. at 9 a.m. all follow-up work was completed, so there should be no further problems.
Wegen einer Wartung des zugrundeliegenden Datenbankservers ist im Wartungszeitraum mit Ausfällen von Webdiensten zu rechnen: * NOC-Portal (z.B. DNS-Admin, DHCP-Admin, RADIUS-Admin, Interface-Admin, WLAN Gäste einrichten) * TK-Portal * RA-Portal Die Dienste laufen wie gewohnt weiter. Bitte versuchen Sie zu einem späteren Zeitpunkt Ihre gewünschten Änderungen einzutragen.
leider ist die Wartung noch nicht zum Abschluss gekommen, weswegen die Daten heute für ca 1h nicht zur Verfügung stehen.
Die Migration ist abgeschlossen
---english version below--- Im Zuge einer Systemaktualisierung müssen die Server neu gestartet werden. ---english version--- The servers must be restarted in the course of a system update.
Wartung ist beendet
Aufgrund von Erneuerung der SSL Zertifikate wird der vCenter Server im genannten Zeitraum teilweise kurzzeitig nicht erreichbar sein. Alle VMs laufen wie gewohnt weiter und die Erreichbarkeit der darauf laufenden Dienste wird NICHT durch diese Wartung beeinträchtigt werden. Lediglich die Funktionen des HTML5 Clients für das Management ihrer VMs werden nicht verfügbar sein, da Sie sich während der Wartung nicht am vCenter Server einloggen können.
Während der Wartung ist es zu Fehlern gekommen, sodass die Wartung verlängert werden muss.
---englisch version below--- Aufgrund der Wartung sind gerade einige Server nicht erreichbar. Es kommt daher kurzzeitig zu Verbindungsproblemen bei einigen Services. ---englisch version below--- Due to maintenance, some servers are currently unavailable. There are temporary connection problems with some services.
Das Abfragen der validierten Domains hat wegen eines SW Updates auf Sectigo Seite nicht funktioniert. Als Folge konnten während der Störung keine Zertifikate beantragt werden oder E-Mail-Adressen durch den Netzsprechpersonen in RA-Portal eingetragen werden.
---english version below--- Im Zuge einer Systemaktualisierung muss das RA-Portal neu gestartet werden, wodurch das Portal (u.a. Download von Zertifikaten oder Upload von Zertifikatsanträgen) temp. nicht erreichbar sein wird. ---english version--- Due to a system update, the RA portal must be restarted, which means that the portal (e.g. download of certificates or upload of certificate signing requests) will be temporarily unavailable.
---english version below--- Seit dem 2. Juli 2024 ist der RWTH Single Sign-On (SSO) und hiermit der Login aller SSO-angebundener Services mit einer Multifaktor-Authentifizierung geschützt. Nutzende müssen neben einem individuellen Kennwort von nun an einen weiteren Sicherheitsfaktor beim Login angeben. Den zweiten Faktor müssen Sie im Selfservice [1] über den Tokenmanager generieren. Weitere Informationen finden Sie auf IT Center Help [2] und dem IT Center Blog [3]. ---english version--- Since July 2, 2024, the RWTH Single Sign-On (SSO) and the login of all SSO-connected services is protected with multifactor-authentication (MFA). In addition to an individual password, users must now enter a second factor when logging in. The second factor must be generated in Selfservice [1] via the Token Manager. Further information can be found on IT Center Help [2] and the IT Center Blog [3]. [1] http://www.rwth-aachen.de/selfservice [2] https://help.itc.rwth-aachen.de/service/0f861f53818c44e9a5df6ea7b244dacd/article/b084004d1bcf40a3be00f456f3e4a543/ [3] https://blog.rwth-aachen.de/itc/en/tag/mfa/
--English Version Below-- Aktuell ist der Login über den RWTH Single Sign-On und somit in die dahinter eingebundenen Services leider nur in Einzelfällen erfolgreich. Bitte versuchen Sie im Falle einer Fehlermeldung den Login in ca. einer Stunde erneut. Personen, die bereits erfolgreich eingeloggt sind, sind von der Störung nicht betroffen. --English Version-- Unfortunately, the login via the RWTH Single Sign-On and thus into the connected services is currently only successful in individual cases. If you receive an error message, please try to log in again in about an hour. People who are already successfully logged in are not affected by the disruption.
Die Server sind aktuell ausgelastet. Wir bitten Sie deshlab weiterhin, den Login erst zu einem späteren Zeitpunkt (ca. in einer Stunde) zu versuchen. Wir arbeiten an einer nachhaltigen Lösung des Problems. // The servers are currently at full capacity. We therefore ask you to try to log in at a later time (approx. in one hour). We are working on a solution to the problem.
Durch diverse Maßnahmen, die insgesamt die Performanz der Server deutlich erhöhen haben, wurden die Ladeschwierigkeiten und Loginprobleme gegen 15 Uhr behoben. Die Meldung bleibt vorerst als Hinweis bestehen, da wir die Last des Systems weiterhin beobachten. // Through various measures, which have significantly increased the overall performance of the servers, the loading difficulties and login problems were resolved around 3 pm. For the time being, the message remains as a note, as we continue to monitor the load on the system.
Der Login in den RWTH Single Sign-On ist stabilisiert. Aus dem Grund beenden wir den Hinweis. // The login to the RWTH Single Sign-On is stabilized. For this reason, we are ending this notice.
---english version below--- Im Zuge einer Systemaktualisierung müssen die Server neu gestartet werden. ---english version--- The servers must be restarted in the course of a system update.
Wartung ist beendet
---english version below--- Im Zuge einer Systemaktualisierung müssen die Server neu gestartet werden. ---english version--- The servers must be restarted in the course of a system update.
Update ist erfolgt | update finished
Wegen einer fehlerhaften SW Implementierung konnten seit Oktober 2023 auch Mitglieder aller sekundären Admin-Gruppen für eine Domain diese unter "Meine E-Mail-Domains" sehen und verwalten. Die korrekte Implementierung der Admin-Reche ist aber, dass nur die Mitglieder der primären Domain-Kontakt-Gruppe diese verwalten sollen. Es gibt hier eine Ausnahme, Mitglieder einer sekundären Domain-Kontakt-Gruppe mit dem Extra-Recht "RA-Portal-Email-Domain" können auch die Domain unter "Meine E-Mail-Domains" verwalten. Die korrekte Implementierung wurde am 26.03.2024 umgesetzt.
Wegen eines SW-Fehlers wurden im Zeitraum vom 09. bis 23.04.2024 keine "SSL-Zertifikat [common_name] ausgestellt" und keine "SSL-Zertifikat [common_name] Ablauf am [ablaufdatum]" E-Mails versendet. Das RA-Portal hat das Absenden aller diesen fehlenden E-Mails am 24.04.2024 nachgeholt.
***english version below*** Beim Aufrufen des RA-Portals erscheint derzeit die Fehlermeldung "Server-Fehler (Fehler 500)" und das Portal kann nicht genutzt werden. Wir arbeiten bereits an einer Lösung des Problems. ***english version*** When accessing the RA portal, the error message "Server error (error 500)" currently appears and the portal cannot be used. We are already working on a solution to the problem.
Der Fehler in der Kommunikation mit der Datenbank wurde behoben. RA-Portal funktioniert wieder.
Aktuell kann es zu Problemen bei der IPv6-Adressvergabe durch die DHCP-Server kommen. Dies führt teilweise dazu, dass Geräte nicht oder nur teilweise erreichbar sind.
Wegen einer Störung im MailAdm ist z.Z. die Beantragung von Client-Zertifikaten im RA-Portal nicht möglich. Das RA-Portal fragt den MailAdm nach den E-Mail-Adressen der Nutzer*innen. Die E-Mail-Kollegen arbeiten an die Behebung der Ursache.
Die Kommunikation zum MailAdm wurde wiederhergestellt.
Wegen einer Störung der Konnektivität zum internen RWTH-Mail-System, ist die Beantragung von neuen Nutzerzertifikaten (+ CLIENT-ZERTIFIKAT BEANTRAGEN) z.Z. nicht möglich. Wir arbeiten an der Lösung.
Die Kommunikation zum RWTH-Mail-System wurde wiederhergestellt, danke Mail/Firewall-Kollegen.
Alle E-Mail-Domains werden den Netzansprechpartnern wieder als nicht validiert angezeigt, auch wenn die validiert sind. Wir untersuchen die Ursache.
Problem bei der Kommunikation mit Sectigo behoben
Alle E-Mail-Domains werden den Netzansprechpartnern als nicht validiert angezeigt, auch wenn die validiert sind. Wir untersuchen die Ursache.
Während der Dauer des neuesten SW-Updates der Zertifizierungsstelle wurden Antworten auf REST-API Anfragen im RA-Portal falsch interpretiert. Durch Umprogrammierung behoben.
Bei Einlösen des redeem-invitation-token aus der Challenge-E-Mail kommt es zu Error 500.
SW Fehler nach dem letzten SW Update des Frameworks. Wir arbeiten an einer Lösung.
SW Fehler wurde behoben.
Für die TLS-Kommunikation mit ra-portal.itc.rwth-aachen.de wird das aktuelle RSA-Zertifikat durch ein ECC-Zertifikat getauscht
Die Kolleginnen und Kollegen der DFN-PKI gehen "derzeit davon aus, dass es ab 28.08.2023 in GÉANT TCS zu einer Unterbrechung der Zertifikataustellung für Client-Zertifikate von schwer vorhersehbarer Dauer kommen kann. Für Server-Zertifikate sind keine Probleme zu erwarten."
wir bitten daher alle Nutzenden, die darauf hingewiesen wurden, dass ihr Client-Zertifikat in den kommenden Wochen ausläuft, ein neues Client-Zertifikat vor dem 28.8.2023 zu beziehen.
"Für eine Wiederaufnahme der S/MIME-Zertifikatausstellung nach *neuen* Regeln fehlen derzeit noch Voraussetzungen. Von Sectigo haben die DFN Kollegen bisher keine Informationen über Zeitpläne bekommen ... Da die Zertifikat-Profile noch unvollständig sind (s.u.), ist es derzeit aber noch nicht sinnvoll Zertifikate zu beantragen"
Es ist ab sofort wieder möglich, im RA-Portal Client-Zertifikate zu beantragen.
Im Zuge eines Updates wird der Dienst im hier angegebenen Zeitraum nicht zur Verfügung stehen. Es können u.a. weder Zertifikatsanträge eingereicht noch Zertifikate heruntergeladen werden.
Nach einer Umkonfiguration der Shibboleth-Einstellungen im RA-Portal kommt es zu einer Störung, d.h. kein Login möglich. Wir arbeiten an einer Lösung.
Problem behoben.
Am Montag 26.06.2023 werden zwischen 18:00 und 21:00 Uhr Wartungsarbeiten an den PKI-Systemen des DFN vorgenommen. In dem Zeitraum ist das Erstellen von Zertifikat- und Sperranträgen sowie das Bearbeiten und Genehmigen bereits eingereichter Anträge nicht möglich. Dies betrifft die Zertifikate für die "DFN-PKI Global" bzw. "DFN-Verein Community PKI" wie sie auf der nachstehenden Seite beschrieben werden https://help.itc.rwth-aachen.de/service/81a55cea5f2b416892901cf1736bcfc7/ Das LDAP-Verzeichnis (aka DFN-Adressbuch) sowie der CRLs und OCSP sind nicht betroffen Anfragen, die über das RA-Portal gestellt werden, sind ebenfalls nicht (!) betroffen.
Downtime für pki.pca.dfn.de/ra.pca.dfn.de
Das SSO (Single-Sign-On) liefert seit 09:45 Uhr falsche Nutzerattribute, somit ist das Login auf das ra-portal nicht möglich. Wir arbeiten an einer Lösung.
Die SSO-Daten wurden korrigiert, Login am ra-portal geht wieder.
Aktuell kann es zu Timeouts bzw. Fehlern (500) auf den Webportalen noc-portal.rz.rwth-aachen.de, ra-portal.itc.rwth-aachen.de und tk-portal.itc.rwth-aachen.de kommen. Wir arbeiten an einer Lösung.
Die Störung wurde behoben. Es sollte wieder alles wie gewohnt funktionieren.
Aufgrund technischer Probleme kommt es seit einiger Zeit vor, dass E-Mails, die automatisch vom RA-Portal versendet werden sollten, in seltenen Fällen nicht bzw. teilweise verzögert (einige Stunden bis Tage später) versendet werden. Daher empfehlen wir Personen, die bspw. auf die Ausstellung von Zertifikaten warten, ab und zu manuell auf der Website nachzuschauen anstatt auf eine entsprechende E-Mail zu warten. Wir arbeiten an der Behebung der Unannehmlichkeiten.
Wir haben vor ein paar Wochen ein Software-Update eingespielt, um das Problem zu beheben und seitdem keine weiteren Verzögerungen im E-Mail-Versand festgestellt. Daher betrachten wir die Teilstörung als erledigt.
Ab dem 20.01.2023 werden Anträge (CSRs) die hochgeladen sind und - keine Moderation benötigen - oder genehmigt worden sind nach 90 Tagen ohne "absenden" automatisch gelöscht. Seit dem 20.01.2023 besteht auch die Möglichkeit, dass der Uploader/Antragsteller nicht abgesendete Anträge per Click löscht (Mülleimer-Symbol). Diese Änderung soll der besseren Übersichtlichkeit der eigenen/Gruppen Anträge dienen, und wurde auf Wunsch von End-Nutzern implementiert.
Da keine Server-Zertifikate (!) mit Browser- und Betriebssystemverankerung (Sicherheitsniveau "Global") der DFN-PKI ausgestellt werden, wurde der bereits im DNS eingetragene CAA record für den Trusted Certificate Services von GÉANT (aktuell Sectigo) als Standard-Zertifizierungsstelle definiert - dadurch ist dieser über den DNS-Admin nicht löschbar bzw. wurde in den Zonen, wo dieser noch nicht eingetragen war, hinzugefügt. Dies betrifft nur neu auszustellende Server-Zertifikate, bereits ausgestellte Zertifikate werden nicht tangiert, auch bestehende Einträge für andere CA wurden beibehalten.
Einige Nutzer des ra-portal haben im benannten Zeitfenster beim Einloggen die Fehlermeldung "500 Internal Server Error" erhalten und konnten als Folge das Portal nicht bedienen.
Die Nutzerauthentifizierung im ra-portal erfolgt über Single-Sign-On. Die Anzahl der gelieferten Shibboleth Atrributen ist Nutzerabhängig. Nach einem SW-Update konnten einige Shibboleth Attribute nicht korrekt geparsed werden. Der Server hat eine "500 Internal Server Error"-Meldung geliefert. Als Folge dieses SW-Fehlers konnten die betroffenen Nutzer im Zeitfenster von 10.01.23 12:30 CET bis 12.01.23 07:00 CET nicht autorisiert werden und somit das Portal nicht nutzen.
Der Serverzertifikat Download-Button "Zertifikat inklusive Kette" hat bis zum 16.12.2022 13:53 CET folgendes geliefert: 1. Root, 2. Intermediate, 3. Intermediate, 4. Serverzertifikat Am 16.12.2022 um 13:54 CET haben wir den Download auf folgendes umgestellt: 1. Serverzertifikat, 2. Intermediate, 3. Intermediate. Das Root-Zertifikat wird nicht mehr geliefert. Weitere Infos zur benuzten Zertifikatsketten im GÉANT/TCS auf help.itc.rwth-aachen.de.