Frequently Asked Questions

Allgemein

TCS Zusatzvereinbarung

Admins im Harica Certificate Manager

Validierung der Organisation

Management von Domains

TLS/SSL Zertifikate

S/MIME (Email bzw. Client) Zertifikate

Code Signing Zertifikate

Grid bzw. IGTF SSL Zertifikate

ACME Verwendung

API Verwendung


Allgemein

Was ist TCS?

TCS steht für Trusted Certificate Service.

GEANT, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Harica als CA (Certificate Authority) abgeschlossen und stellt dieses Service als Trusted Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.

ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können, auf Basis der Zusatzvereinbarung zur ACOnet­‐Teilnahmevereinbarung betreffend die Nutzung des Trusted Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden, siehe auch http://tcs.aco.net/.

Was ist ein TCS-Admin?

Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eine/n, sollte aber mehr als eine/n, TCS Administrator/in angeben und diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen haben im Portal die Möglichkeit, beantragte Zertifikate ihrer eigenen Organisation zu sehen, zu bestätigen, abzulehnen oder zu widerrufen. Im Portal von Harica werden diese Admins als Enterprise Admins bezeichnet.

Was ist DCV (Domain Control Validation)?

Bei der Registrierung einer neuen Domain, wird mittels DCV automatisiert überprüft, ob die Person, die die Validierung einer Domain angestossen hat (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen hat.

Es gibt 2 Möglichkeiten:

  1. Email
  2. DNS CNAME

1. Email:

Hierzu sendet der DCV Mechanismus ein E-Mail mit einem jeweils eindeutigen Code an einen definierten Satz von Adressen. Dieser Code wird durch den/die Empfänger dieser DCV Mails zur Validierung auf einer Webseite validiert (Email Challenge-Response Verfahren).
Erst nach dieser Validierung (bei Multi-Domain-Zertifikaten je Domain) wird das Zertifikat ausgestellt.

Folgende 5 generischen Email-Adressen stehen immer zur Verfügung:

  • hostmaster@domain_name
  • postmaster@domain_name
  • webmaster@domain_name
  • administrator@domain_name
  • admin@domain_name

2. DNS CNAME

Es wird ein hash erzeugt, der als DNS CNAME record für die Domain eingetragen werden muss und überprüft wird.

HARICA Support

Der HARICA Support steht allen Teilnehmern unter support-tcs@harica.gr zur Verfügung.

Was ist im TCS Portfolio enthalten

Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:

  • DV Server Zertifikate
  • OV Server Zertifikate
  • E-Mail only S/MIME Zertifikate (Mailbox‐validated)
  • Individual & Organisation S/MIME Zertifikate (Sponsor‐validated)

Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..

TCS Zusatzvereinbarung

Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.

Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)

  • Bei Körperschaften öffentlichen Rechts und ähnlichen, auf Grund von Gesetzen (z.B. FOG)  existierenden Organisationen, hier bitte einen Verweis auf das entsprechende Gesetz, wenn geht paragraphengenau, angeben.
  • Für Kapitalgesellschaften ersuchen wir um einen aktuellen Firmenbuchauszug, aus dem die Zeichnungsberechtigung des Unterfertigers der Zusatzvereinbarung für den Teilnehmer hervorgeht. Bei Abweichungen der Zeichnungsberechtigungen vom Firmenbuch benötigen wir auch eine Kopie einer notariell beglaubigten Vollmacht, aus der die Zeichnungsberechtigung für den Abschluß eines derartigen Rechtsgeschäftes eindeutig hervorgeht.
  • Bei Vereinen bitte um eine ZVR-Zahl.

Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)

Die Beilage 2 dient zum Anlegen einer Organisation bei Harica. Folgende Dinge sind dabei zu beachten:

  • Die Informationen (Name, Adressdaten) müssen jenen Informationen entsprechen, die sich auch in den in Beilage 1 beigebrachten Dokumenten wiederfinden. Diese sollten auch als QIS (Qualified Information Source) dem Validierungsantrag der Organisation beigefügt werden.
    (Warnung) Da das Organisations Feld im Subject eines X509 Zertifikats maximal 64 Zeichen lang sein darf , darf auch die Bezeichnung der Organisation in Beilage 2 nicht länger als 64 Zeichen sein, wobei Sonderzeichen, z.B. Umlaute, als 2 Zeichen zu zählen sind. (Warnung)

Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)

siehe auch Was ist ein TCS-Admin?

In der Beilage 3 sind uns die Organisations Administratoren zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:

  • Validierung bzw. Revalidierung der Organisation anstossen
  • Domains anlegen und DCV (siehe DCV) anstossen
  • weitere zugehörige Administratoren berechtigen
  • Zertifikatsanträge genehmigen

Admins im Harica Certificate Manager

User können und müssen im Harica Portal selbst angelegt werden. Die initiale Zuordnung zu einer Organisation erfolgt anhand des Domainteils der angegebenen E-Mail-Adresse. Diese muss mit einer in der Organisation registrierten Domain übereinstimmen.

Anlegen der initialen Admins

Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.

Anlegen weiterer Admins

Für das Anlegen bzw. Berechtigen weiterer Admins gibt es 3 Möglichkeiten:

  1. Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen Admins. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
  2. Ein bestehender TCS Admin schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren Admins per Mail an tcs@aco.net.
  3. Ein bestehender Admin berechtigt einen neuen Account selbst (siehe Enterprise Admin Guide Abschnitt B - 'Assign Enterprise Admin and Enterprise Approver Roles'.

Validierung der Organisation

Organisationsvalidierung beantragen

Um ihre Organisation zu validieren, gehen sie wie folgt vor:

Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Durch Klicken auf das Symbol 'Datei' oben rechts gelangen Sie zu einem Dialog, in dem Sie die entsprechenden Dokumente hochladen können.
Detailierte Informationen entnehmen sie bitte dem Enterprise Admin Guide Abschnitt E - 'Submit Legal Evidence for Identity Validation' .

notwendige Dokumentation

Harica ist bemüht die Validierungen von Organisationen so einfach wie möglich zu gestalten.
Ausgangspunkt der Validierung sind entsprechende Dokumente, die die rechtmäßige Existenz der Organisation belegen.

Beispiele dafür:

  • Firmenbuchauszug
  • Vereinsregisterauszug
  • entsprechendes Gesetz, z.B. Universitätsgesetz, Bundesministeriengesetz
  • Legal Entity Identifier (LEI)
  • Ergänzungsregister

Sollte nichts davon möglich sein beginnen sie mit einer einfachen Textdatei, in der sie die rechtmäßige Existenz der Organisation beschreiben. Harica wird dann versuchen entsprechende Dokumentation zu finden. Ist das nicht möglich werden sie von Harica kontaktiert, um gemeinsam eine Lösung zu finden.
Bei Problemen stehen wir ihnen natürlich auch hier unter tcs@aco.net hilfreich zur Seite.

Änderung des Organisationsnamen

Sollte eine Änderung des Organisationsnamen nötig sein, so ist das nur über den HARICA Support möglich. Eine Änderung ist an zwei Stellen nötig:

  1. Änderung des 'Enterprise Alias' - dazu ein Mail mit den gewünschten Änderungen an den HARICA Support senden.
  2. Änderung des Organisationsnamen ('O=...' im Zertifikat) für die Validierung - dazu eine neue Validierung mit entsprechender Dokumentation anstossen.

Management von Domains

Anlegen von Domains

Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.

Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Mit einem Klick auf das Globus-Symbol oben rechts gelangen Sie zu einem Dialog, mit dem Sie neue Domänen anlegen können.

Die anzulegenden Domains können nur mittels Textfile (CSV) hochgeladen werden. Sie können sich auf der Seite eine Beispieldatei herunterladen, das Format ist aber sehr simpel:

Domain
domain1.ac.at
domain2.at
domain3.gv.at
usw.


Validieren von Domains

CAA record

Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Harica für diese Domain verhindert. Falls dem so ist, können keine Zertifikate für diese Domain ausgestellt werden.

Einfacher check: dig caa <domain> oder diverse online tools

Starten der Validierung:

Klicken sie unter 'Enterprise' auf 'Admin' um in die Organisations-Administration zu gelangen. Dann wählen sie ihre Organisation und im Reiter 'Domains' klicken sie auf 'Validate Domain' neben der zu validierenden Domain.
Dann wählen sie den gewünschten 'Validation Type'.

Im Falle von  'Constructed Email to Domain Contact' wählen sie danach die gewünschte Email-Adresse und klicken Submit. Sie bekommen dann ein Email mit einem Validierungslink. Zu beachten ist , dass der Link im versendeten Email nur für jenen Account gilt, der die Validierung ausgelöst hat. Mit jedem anderen Account bekommen sie einen 404 Error.

Im Falle von 'DNS Change' wird ein Email mit dem im DNS einzutragenden TXT Record an die von ihnen angegebene Email-Adresse geschickt.

Re-Validierung von Domains

DCV kann jederzeit erneut angestossen werden. Eine automatische Re-Validierung von Domains durch Harica passiert nicht, diese muss also manuell angestossen werden.

Das Datum, bis wann die Validierung gültig ist, finden sie neben der Domain.

Löschen von Domains

Domains können nicht selbst gelöscht werden. Falls eine Domain gelöscht werden soll, kontaktieren sie bitte den Harica Support.

TLS/SSL Zertifikate

Zertifikatstypen

Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:

  • DV Server Zertifikate
  • OV Server Zertifikate
  • E-Mail only S/MIME Zertifikate (Mailbox‐validated)
  • Individual & Organisation S/MIME Zertifikate (Sponsor‐validated)

Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..

Erstellen eines CSR (Certificate Signing Request)

Um Probleme bei der Beantragung von Zertifikaten zu vermeiden, empfielt es sich, nur den CN bei der Erstellung des CSR anzugeben. Die anderen Felder werden beim Zertifikatsantrag ignoriert.

Beispiele für das Erstellen des CSR

Beantragung von TLS-Zertifikaten

maximale SAN Anzahl im Zertifikat

Aktuell ist die maximale Anzahl von SANs in einem Zertifikat 20. Diese Zahl soll erhöht werden und sobald es hier Änderungen gibt werden wir das über die gewohnten Wege bekanntgeben.

Bestätigung von Zertifikatsanträgen

Vor der Ausstellung eines Zertifikats muß der Zertifikatsantrag bestätigt werden. Dafür ist die Rolle 'Enterprise Approver' nötig.

Zu beachten ist, dass Zertifikatsanträge nicht vom selben Account bestätigt werden dürfen und können, der den Zertifikatsantrag gestellt hat, unabhängig von dessen Rolle. 


EV (Extended Validation) Zertifikate

EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (Google Chrome Announcement, Mozilla Firefox Announcement) keinen signifikanten Vorteil im Vergleich zu OV (Organization Validated) Zertifikaten mehr. EV Zertifikate sind auch nicht im TCS Portfolio enthalten. Sollten sie trotzdem ein Extended Validation Zertifikat beziehen wollen, kontaktieren sie bitte den Harica Support.

Empfang und Verwendung der Zertifikate

S/MIME (Email bzw. Client) Zertifikate

Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen die folgenden für das TCS relevant sind:

  • Sponsor-validated

  • Organization-validated
  • Domain-validated

Folgend sind Details zu den beiden Typen zu finden:

Zertifikatstypen

Sponsor-validated
Organization-validated
Domain-validated

Zertifikatsaustellung

Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.

Self Enrollment

tbd

SAML Self Service Portal

tbd

Code Signing Zertifikate

tbd

Grid bzw. IGTF SSL Zertifikate

Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net

ACME Verwendung

Aktuell ist ACME nur für DV Zertifikate verfügbar. Ausserdem ist es notwendig eine ACME-Challenge, HTTP-01 oder DNS-01, zu verwenden.

Die zu verwendende URL ist https://acme.harica.gr/TCS-DV/directory - für die Verwendung ist eine Key ID und ein HMAC Key nötig. Um diese zu erhalten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net

Eine erweiterte ACME Funktionalität, mit EAB und 'pre-validated' Domains ist voraussichtlich ab Q2/2025 verfügbar.

API Verwendung

Infos zur verfügbaren API sind unter https://guides.harica.gr/docs/Guides/Developer/ und https://developer.harica.gr verfügbar.

Beispiele für die API Verwendung:


  • Keine Stichwörter