chg: Remove sectigo user certificate instructions, add hint that certificate issuance is paused

c1c5b472 · Peter Oettig · 2c853839 · c1c5b472 · c1c5b472
Verified Commit c1c5b472 authored 2 months ago by Peter Oettig
--- a/geant-tcs/docs/de/user.md
+++ b/geant-tcs/docs/de/user.md
@@ -9,6 +9,11 @@ die wiederum auf [Sectigo](https://www.sectigo.com/){:target="_blank"} als Diens
 <a name="request-certificate"></a>
 ## Zertifikat beantragen

+!!! danger "Keine Zertifikatsausstellung möglich"
+    Sectigo, der Betreiber der Zertifizierungsstelle, über die wir Zertifikate erhalten, hat am 10.01.2025 unseren Zugang gesperrt.
+    Es können deshalb gerade keine Zertifikate beantragt werden, bis der neue Betreiber vollständig in unsere Prozesse integriert ist.
+    Dies kann einige Wochen dauern, wir bitten um Ihr Verständnis und entschuldigen uns für die Umstände.
+
 Loggen Sie sich im [CA-Portal](https://portal.ca.kit.edu){:target="_blank"} mit dem Account ein, für dessen
 E-Mail-Adressen Sie ein Zertifikat haben wollen. Nutzen Sie gegebenenfalls den privaten Modus ihres Browsers, wenn
 Sie bereits mit einem anderen Account eingeloggt sind.
@@ -65,109 +70,6 @@ korrekt ist:

 ![](img/ca-portal_de_request_20_functional_submit.webp){ width="800" }

-<a name="sectigo-process"></a>
-## Den Sectigo-Prozess korrekt durchlaufen
-
-Sobald wir ihren Antrag beim aktuellen CA-Dienstleister (Sectigo) eingegeben haben,
-bekommen Sie von dort eine E-Mail (aktuell vom Absender
-`Sectigo Certificate Manager <support@cert-manager.com>`).
-
-!!! tip "Hinweis für Beantragende, die keinen Zugriff auf die Funktionspostfächer haben"
-    Diese E-Mail wird nur an die E-Mail-Adressen aus dem Antrag verschickt. Wenn Sie – beispielsweise
-    als IT-Beauftragter – ein Funktionszertifikat beantragen und __keinen__ Zugriff auf die
-    relevanten Postfächer haben, können Sie den Prozess ab hier nicht weiter betreuen.
-    Sie können entweder den weiteren Prozess den Benutzern des Funktionspostfachs überlassen oder
-    diese bitten, die Mail von Sectigo an Sie weiterzuleiten und auf keine Links zu klicken.
-
-Diese E-Mail sieht so aus:
-
-![](img/tcs_sectigo_personal_certificate_request_email.webp){ width="450" }
-
-### E-Mail-Validierung (nur manchmal nötig)
-
-<a name="sectigo-system-requirements"></a>
-!!! tip "Systemvoraussetzungen"
-    Der hier beschriebene Prozess funktioniert nur zuverlässig auf Desktop-Betriebssystemen mit einem
-    modernen Webbrowser, der uneingeschränkt Javascript ausführen kann.
-
-<a name="sectigo-link-is-single-use"></a>
-!!! warning
-    Der Link von Sectigo funktioniert nur genau ein Mal. Öffnen Sie ihn also nur auf dem Gerät, auf
-    dem Sie das Zertifikat auch tatsächlich Erzeugen und Speichern wollen.
-
-Wenn Sie dem Link in der E-Mail folgen, werden so unter bestimmten Umständen aufgefordert
-ihre E-Mail-Adresse zu validieren. Falls das bei Ihnen nicht der Fall ist, können Sie diesen
-Absatz einfach überspringen:
-
-![](img/tcs_sectigo_personal_certificate_request_validate_email_01.webp){ width="509" }
-
-Geben Sie in diesem Fall die exakte Empfänger-E-Mail-Adresse aus der initialen E-Mail
-von Sectigo ein:
-
-![](img/tcs_sectigo_personal_certificate_request_validate_email_02.webp){ width="532" }
-
-Nach dem Absenden bekommen sie eine zweite E-Mail mit dem korrekten Beantragungs-Link:
-
-![](img/tcs_sectigo_personal_certificate_request_validate_email_response_01.webp){ width="450" }
-
-### Formular zum Zertifikats-Beantragung öffnen
-
-Öffnen Sie den Link in der neuesten E-Mail von Sectigo. Sie landen dann auf einer
-solchen Webseite:
-
-![](img/tcs_sectigo_personal_certificate_request_certificate_enrollment_form_01.webp){ width="375" }
-
-### Zertifikat beantragen
-
-Ändern Sie bitte keine Einstellungen auf dieser Seite (die meisten Änderungen haben hier
-sowieso keinen Effekt). Akzeptieren Sie den Endbenutzer-Lizenzvertrag (EULA; leider nur
-auf Englisch verfügbar) und drücken Sie den `Submit`-Knopf.
-
-Ihr Webbrowser erzeugt jetzt einen neuen privaten Schlüssel und lässt dafür bei Sectigo
-ein neues Zertifikat erzeugen. Beides wird im nächsten Schritt dann heruntergeladen.
-
-<a name="do-not-interrupt"></a>
-!!! warning "Bitte nicht unterbrechen!"
-    Warten Sie unbedingt, bis der Prozess beendet ist. Das kann bei hoher Last durchaus
-    zehn Minuten dauern. Leider gibt es keine Anzeige des Prozess-Fortschritts oder
-    andere „Lebenszeichen“. Bitte die Seite weder schließen noch neu laden. Beides
-    sorgt für einen Abbruch des Beantragungsprozesses. Sie müssen dann nochmal ganz
-    von vorne beginnen.
-
-Falls hier Probleme (beispielsweise Timeouts) auftreten, ist der neue private Schlüssel
-für immer verloren und das zugehörige Zertifikat nicht benutzbar. Sie müssen dann den
-Prozess von vorne beginnen. Falls hier dauerhaft Probleme auftreten schicken Sie uns
-bitte eine genaue Problembeschreibung an [ca@kit.edu](mailto:ca@kit.edu?subject=TCS%20Certificate%20Request%20breaks%20on%20key%20generation).
-
-![](img/tcs_sectigo_personal_certificate_request_certificate_enrollment_form_02.webp){ width="375" }
-
-### Fertiges Zertifikat herunterladen
-
-Nach erfolgreicher Zertifikats-Erstellung werden Sie auf diese Seite weitergeleitet.
-
-<a name="p12-encryption-warning"></a>
-!!! info "Key protection algorithm nicht mehr umstellen"
-    Früher wurde hier eindringlich darauf hingewiesen, die Einstellung “Key protection algorithm” zu ändern. Sectigo hat
-    am 14.9.2024 ihre Software angepasst, so dass dies nicht mehr korrekt ist.
-    iOS < 18 kann **Secure AES256-SHA256** nicht importieren, hier empfiehlt es sich, 
-    **Compatible TripleDES-SHA1** zu verwenden oder ein Upgrade auf iOS 18 zu updaten. 
-    macOS-Versionen < 15 führen mit beiden beim Download verfügbaren Schlüsselvarianten zur Fehlermeldung "Passwort falsch", 
-    auch wenn das Passwort korrekt eingegeben wurde.
-    Bitte upgraden Sie in diesem Fall auf macOS 15 oder folgen Sie [dieser Anleitung](https://notes.desy.de/2nvU-OFiSwOzxhflv54LNw#).
-    
-    Die alte Anleitung zum Reparieren ist [hier](https://www.ca.kit.edu/p/faq/de/fix-tcs-p12){:target="_blank"} noch 
-    zu finden.
-
-Wählen Sie ein sicheres Passwort (Sie können [diesen Dienst](https://www.cert.kit.edu/p/PasswordGenerator){:target="_blank"}
-dafür benutzen) zum Verschlüsseln ihres neuen Schlüssels und Zertifikats.
-Der `Download`-Knopf starten den Download des neuen Zertifikats + privaten Schlüssels im
-[PKCS12-Format](https://en.wikipedia.org/wiki/PKCS_12){:target="_blank"} (Dateiendung `.p12` oder `.pfx`).
-
-!!! warning
-    Sie können diese Seite schliessen, nachdem Sie sichergestellt haben, dass ihr neues Zertifikat korrekt
-    heruntergeladen wurde. Wenn Sie die PKCS12-Datei __nicht__ finden können, ist der geheime Schlüssel für immer
-    verloren und Sie müssen den Prozess nochmal von vorne beginnen.
-
 <a name="backup-p12"></a>
 ## Backup erstellen


--- a/geant-tcs/docs/en/user.md
+++ b/geant-tcs/docs/en/user.md
@@ -9,6 +9,11 @@ which itself uses the services of [Sectigo](https://www.sectigo.com/){:target="_
 <a name="request-certificate"></a>
 ## Request a new certificate

+!!! danger "No certificate issuance possible"
+    Sectigo, the operator of the certification authority that issues our certificates, removed access for us on January 10, 2025.
+    Therefore, no certificates can be requested at the moment until the new operator is properly integrated.
+    This may take a few weeks, we ask for your understanding and are sorry for any inconvenience caused.
+
 Log in to the [CA-Portal](https://portal.ca.kit.edu){:target="_blank"} with the account owning the
 email addresses you want a certificate for. Use the private mode of your browser if
 you are already logged in with another account.
@@ -61,105 +66,6 @@ is correct:

 ![](img/ca-portal_en_request_20_functional_submit.webp){ width="800" }

-<a name="sectigo-process"></a>
-## Navigate the certificate generation process by Sectigo
-
-Please wait until you get an email from Sectigo (the current sender
-is `Sectigo Certificate Manager <support@cert-manager.com>`).
-
-!!! tip "Note for applicants who do not have access to the function mailboxes"
-    This email is only sent to the email addresses from the application. If you - for example
-    as an IT officer - apply for a functional certificate and __don't__ have access to the relevant
-    mailboxes, you will no longer be able to manage the process from this point on.
-    You can either leave the rest of the process to the users of the functional mailbox or
-    ask them to forward the e-mail from Sectigo to you and not to click on any links.
-
-It looks like this:
-
-![](img/tcs_sectigo_personal_certificate_request_email.webp){ width="450" }
-
-### Validate yourself (sometimes necessary)
-
-<a name="sectigo-system-requirements"></a>
-!!! tip "System Requirements"
-    To work reliably, this process requires a desktop operating system with a modern
-    web browser that can execute Javascript without restrictions.
-
-<a name="sectigo-link-is-single-use"></a>
-!!! warning
-    The link from sectigo may only be used once. Make sure to only open it on the
-    device where you actually plan to create and save your new certificate.
-
-The link in this mail **may** lead to a page that ask you to verify and enter your
-email address. Skip this paragraph it this does not apply to you:
-
-![](img/tcs_sectigo_personal_certificate_request_validate_email_01.webp){ width="509" }
-
-If this happens make sure to enter the exact email address
-that the initial email was sent to:
-
-![](img/tcs_sectigo_personal_certificate_request_validate_email_02.webp){ width="532" }
-
-Entering the correct address will generate a second email like the first one:
-
-![](img/tcs_sectigo_personal_certificate_request_validate_email_response_01.webp){ width="450" }
-
-### Open the certificate request form
-
-Open the link in the latest email from Sectigo. You will land on a webpage
-similar to this:
-
-![](img/tcs_sectigo_personal_certificate_request_certificate_enrollment_form_01.webp){ width="375" }
-
-### Request a certificate
-
-Please keep all settings as shown on the screenshot above (most settings are
-readonly or have no effect on the final certificate). Accept the EULA
-(only available in English) and press `Submit`.
-
-Your web browser will now generate a new private key and ask Sectigo
-to generate a new matching certificate. Both will be downloaded in the next step.
-
-<a name="do-not-interrupt"></a>
-!!! warning "Do not interrupt!"
-    Please wait patiently for the next page to load. This may take up to ten
-    minutes. Unfortunately there is no progress indicator or other "signs of life".
-    Please do not close or reload the page. Both will abort the application process
-    force you to start all over from the beginning.
-
-Encountering any problems in this step usually results in a loss of the private key
-for your new certificate, which renders it unusable. You must then start the process
-from the beginning. If the issue persists, please email us at [ca@kit.edu](mailto:ca@kit.edu?subject=TCS%20Certificate%20Request%20breaks%20on%20key%20generation).
-
-![](img/tcs_sectigo_personal_certificate_request_certificate_enrollment_form_02.webp)
-
-### Download the issued certificate
-
-You will be redirected to this page after your certificate was successfully created:
-
-<a name="p12-encryption-warning"></a>
-!!! info "do not change key protection algorithm (as before Sep 2024)"
-    Prior to 14. September 2024, this document instructed its readers to change the key protection algorithm
-    setting during export. After the changes made by Sectigo on 14. September 2024, almost all operating
-    systems and mail user agents work with the **Secure AES256-SHA256**. 
-    iOS < 18 cannot import **Secure AES256-SHA256**, please use **Compatible TripleDES-SHA1** or upgrade to iOS 18.
-    macOS versions < 15 lead to the error message "Password incorrect" with both key variants available during download,
-    even if the password was entered correctly.
-    In this case, please upgrade to macOS 15 or follow [these instructions](https://notes.desy.de/2nvU-OFiSwOzxhflv54LNw#).
-
-    The old repair guide can still be found [here](https://www.ca.kit.edu/p/faq/de/fix-tcs-p12){:target="_blank"}
-    if needed.
-
-Choose a secure password (use may use [this tool](https://www.cert.kit.edu/p/PasswordGenerator){:target="_blank"}
-to generate a proper password) to encrypt your new key and certificate. Press `Download`. This starts a download with
-your new certificate and private key ([PKCS12 format](https://en.wikipedia.org/wiki/PKCS_12){:target="_blank"}, usually ends in `.p12` or `.pfx`).
-
-!!! warning
-    You may close this page after verifying that your new certificate has been downloaded successfully.
-    The certificate's private key exists __only__ in the PKCS12 file that you just downloaded. If you __can not__
-    locate the file, the private key is lost forever and you can not use the certificate. In that case, you have to
-    start again from the beginning.
-
 <a name="backup-p12"></a>
 ## Create a Backup