---english version below--- Im Zuge einer Systemaktualisierung müssen die Server neu gestartet werden. ---english version--- The servers must be restarted in the course of a system update.
Update ist erfolgt | update finished
Wegen einer fehlerhaften SW Implementierung konnten seit Oktober 2023 auch Mitglieder aller sekundären Admin-Gruppen für eine Domain diese unter "Meine E-Mail-Domains" sehen und verwalten. Die korrekte Implementierung der Admin-Reche ist aber, dass nur die Mitglieder der primären Domain-Kontakt-Gruppe diese verwalten sollen. Es gibt hier eine Ausnahme, Mitglieder einer sekundären Domain-Kontakt-Gruppe mit dem Extra-Recht "RA-Portal-Email-Domain" können auch die Domain unter "Meine E-Mail-Domains" verwalten. Die korrekte Implementierung wurde am 26.03.2024 umgesetzt.
Wegen eines SW-Fehlers wurden im Zeitraum vom 09. bis 23.04.2024 keine "SSL-Zertifikat [common_name] ausgestellt" und keine "SSL-Zertifikat [common_name] Ablauf am [ablaufdatum]" E-Mails versendet. Das RA-Portal hat das Absenden aller diesen fehlenden E-Mails am 24.04.2024 nachgeholt.
***english version below*** Beim Aufrufen des RA-Portals erscheint derzeit die Fehlermeldung "Server-Fehler (Fehler 500)" und das Portal kann nicht genutzt werden. Wir arbeiten bereits an einer Lösung des Problems. ***english version*** When accessing the RA portal, the error message "Server error (error 500)" currently appears and the portal cannot be used. We are already working on a solution to the problem.
Der Fehler in der Kommunikation mit der Datenbank wurde behoben. RA-Portal funktioniert wieder.
Aktuell kann es zu Problemen bei der IPv6-Adressvergabe durch die DHCP-Server kommen. Dies führt teilweise dazu, dass Geräte nicht oder nur teilweise erreichbar sind.
Wegen einer Störung im MailAdm ist z.Z. die Beantragung von Client-Zertifikaten im RA-Portal nicht möglich. Das RA-Portal fragt den MailAdm nach den E-Mail-Adressen der Nutzer*innen. Die E-Mail-Kollegen arbeiten an die Behebung der Ursache.
Die Kommunikation zum MailAdm wurde wiederhergestellt.
Wegen einer Störung der Konnektivität zum internen RWTH-Mail-System, ist die Beantragung von neuen Nutzerzertifikaten (+ CLIENT-ZERTIFIKAT BEANTRAGEN) z.Z. nicht möglich. Wir arbeiten an der Lösung.
Die Kommunikation zum RWTH-Mail-System wurde wiederhergestellt, danke Mail/Firewall-Kollegen.
Alle E-Mail-Domains werden den Netzansprechpartnern wieder als nicht validiert angezeigt, auch wenn die validiert sind. Wir untersuchen die Ursache.
Problem bei der Kommunikation mit Sectigo behoben
Alle E-Mail-Domains werden den Netzansprechpartnern als nicht validiert angezeigt, auch wenn die validiert sind. Wir untersuchen die Ursache.
Während der Dauer des neuesten SW-Updates der Zertifizierungsstelle wurden Antworten auf REST-API Anfragen im RA-Portal falsch interpretiert. Durch Umprogrammierung behoben.
Bei Einlösen des redeem-invitation-token aus der Challenge-E-Mail kommt es zu Error 500.
SW Fehler nach dem letzten SW Update des Frameworks. Wir arbeiten an einer Lösung.
SW Fehler wurde behoben.
Für die TLS-Kommunikation mit ra-portal.itc.rwth-aachen.de wird das aktuelle RSA-Zertifikat durch ein ECC-Zertifikat getauscht
Die Kolleginnen und Kollegen der DFN-PKI gehen "derzeit davon aus, dass es ab 28.08.2023 in GÉANT TCS zu einer Unterbrechung der Zertifikataustellung für Client-Zertifikate von schwer vorhersehbarer Dauer kommen kann. Für Server-Zertifikate sind keine Probleme zu erwarten."
wir bitten daher alle Nutzenden, die darauf hingewiesen wurden, dass ihr Client-Zertifikat in den kommenden Wochen ausläuft, ein neues Client-Zertifikat vor dem 28.8.2023 zu beziehen.
"Für eine Wiederaufnahme der S/MIME-Zertifikatausstellung nach *neuen* Regeln fehlen derzeit noch Voraussetzungen. Von Sectigo haben die DFN Kollegen bisher keine Informationen über Zeitpläne bekommen ... Da die Zertifikat-Profile noch unvollständig sind (s.u.), ist es derzeit aber noch nicht sinnvoll Zertifikate zu beantragen"
Es ist ab sofort wieder möglich, im RA-Portal Client-Zertifikate zu beantragen.
Im Zuge eines Updates wird der Dienst im hier angegebenen Zeitraum nicht zur Verfügung stehen. Es können u.a. weder Zertifikatsanträge eingereicht noch Zertifikate heruntergeladen werden.
Nach einer Umkonfiguration der Shibboleth-Einstellungen im RA-Portal kommt es zu einer Störung, d.h. kein Login möglich. Wir arbeiten an einer Lösung.
Problem behoben.
Am Montag 26.06.2023 werden zwischen 18:00 und 21:00 Uhr Wartungsarbeiten an den PKI-Systemen des DFN vorgenommen. In dem Zeitraum ist das Erstellen von Zertifikat- und Sperranträgen sowie das Bearbeiten und Genehmigen bereits eingereichter Anträge nicht möglich. Dies betrifft die Zertifikate für die "DFN-PKI Global" bzw. "DFN-Verein Community PKI" wie sie auf der nachstehenden Seite beschrieben werden https://help.itc.rwth-aachen.de/service/81a55cea5f2b416892901cf1736bcfc7/ Das LDAP-Verzeichnis (aka DFN-Adressbuch) sowie der CRLs und OCSP sind nicht betroffen Anfragen, die über das RA-Portal gestellt werden, sind ebenfalls nicht (!) betroffen.
Downtime für pki.pca.dfn.de/ra.pca.dfn.de
Das SSO (Single-Sign-On) liefert seit 09:45 Uhr falsche Nutzerattribute, somit ist das Login auf das ra-portal nicht möglich. Wir arbeiten an einer Lösung.
Die SSO-Daten wurden korrigiert, Login am ra-portal geht wieder.
Aktuell kann es zu Timeouts bzw. Fehlern (500) auf den Webportalen noc-portal.rz.rwth-aachen.de, ra-portal.itc.rwth-aachen.de und tk-portal.itc.rwth-aachen.de kommen. Wir arbeiten an einer Lösung.
Die Störung wurde behoben. Es sollte wieder alles wie gewohnt funktionieren.
Aufgrund technischer Probleme kommt es seit einiger Zeit vor, dass E-Mails, die automatisch vom RA-Portal versendet werden sollten, in seltenen Fällen nicht bzw. teilweise verzögert (einige Stunden bis Tage später) versendet werden. Daher empfehlen wir Personen, die bspw. auf die Ausstellung von Zertifikaten warten, ab und zu manuell auf der Website nachzuschauen anstatt auf eine entsprechende E-Mail zu warten. Wir arbeiten an der Behebung der Unannehmlichkeiten.
Wir haben vor ein paar Wochen ein Software-Update eingespielt, um das Problem zu beheben und seitdem keine weiteren Verzögerungen im E-Mail-Versand festgestellt. Daher betrachten wir die Teilstörung als erledigt.
Ab dem 20.01.2023 werden Anträge (CSRs) die hochgeladen sind und - keine Moderation benötigen - oder genehmigt worden sind nach 90 Tagen ohne "absenden" automatisch gelöscht. Seit dem 20.01.2023 besteht auch die Möglichkeit, dass der Uploader/Antragsteller nicht abgesendete Anträge per Click löscht (Mülleimer-Symbol). Diese Änderung soll der besseren Übersichtlichkeit der eigenen/Gruppen Anträge dienen, und wurde auf Wunsch von End-Nutzern implementiert.
Da keine Server-Zertifikate (!) mit Browser- und Betriebssystemverankerung (Sicherheitsniveau "Global") der DFN-PKI ausgestellt werden, wurde der bereits im DNS eingetragene CAA record für den Trusted Certificate Services von GÉANT (aktuell Sectigo) als Standard-Zertifizierungsstelle definiert - dadurch ist dieser über den DNS-Admin nicht löschbar bzw. wurde in den Zonen, wo dieser noch nicht eingetragen war, hinzugefügt. Dies betrifft nur neu auszustellende Server-Zertifikate, bereits ausgestellte Zertifikate werden nicht tangiert, auch bestehende Einträge für andere CA wurden beibehalten.
Einige Nutzer des ra-portal haben im benannten Zeitfenster beim Einloggen die Fehlermeldung "500 Internal Server Error" erhalten und konnten als Folge das Portal nicht bedienen.
Die Nutzerauthentifizierung im ra-portal erfolgt über Single-Sign-On. Die Anzahl der gelieferten Shibboleth Atrributen ist Nutzerabhängig. Nach einem SW-Update konnten einige Shibboleth Attribute nicht korrekt geparsed werden. Der Server hat eine "500 Internal Server Error"-Meldung geliefert. Als Folge dieses SW-Fehlers konnten die betroffenen Nutzer im Zeitfenster von 10.01.23 12:30 CET bis 12.01.23 07:00 CET nicht autorisiert werden und somit das Portal nicht nutzen.
Der Serverzertifikat Download-Button "Zertifikat inklusive Kette" hat bis zum 16.12.2022 13:53 CET folgendes geliefert: 1. Root, 2. Intermediate, 3. Intermediate, 4. Serverzertifikat Am 16.12.2022 um 13:54 CET haben wir den Download auf folgendes umgestellt: 1. Serverzertifikat, 2. Intermediate, 3. Intermediate. Das Root-Zertifikat wird nicht mehr geliefert. Weitere Infos zur benuzten Zertifikatsketten im GÉANT/TCS auf help.itc.rwth-aachen.de.