Frequently Asked Questions
Allgemein
TCS Zusatzvereinbarung
- Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)
- Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)
- Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)
Admins im Harica Certificate Manager
RAOs
Management von Domains
TLS/SSL Zertifikate
- Zertifikatstypen
- Erstellen eines CSR (Certificate Signing Request)
- Beantragung von TLS-Zertifikaten
- EV (Extended Validation) Zertifikate
- Empfang und Verwendung der Zertifikate
S/MIME (Email bzw. Client) Zertifikate
Code Signing Zertifikate
Grid bzw. IGTF SSL Zertifikate
API Verwendung
- 'WS API use only' Verwendung
- Was ist der 'customerUri'
- Zertifikate per API beantragen
- einfaches curl Beispiel
Allgemein
Was ist TCS?
TCS steht für Trusted Certificate Service.
GEANT, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Harica als CA (Certificate Authority) abgeschlossen und stellt dieses Service als Trusted Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.
ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können, auf Basis der Zusatzvereinbarung zur ACOnet‐Teilnahmevereinbarung betreffend die Nutzung des Trusted Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden, siehe auch http://tcs.aco.net/.
Was ist ein TCS-Admin?
Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eine/n, sollte aber mehr als eine/n, TCS Administrator/in angeben und diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen haben im Portal die Möglichkeit, beantragte Zertifikate ihrer eigenen Organisation zu sehen, zu bestätigen, abzulehnen oder zu widerrufen. Im Portal von Harica werden diese Admins als Enterprise Admins bezeichnet.
Was ist DCV (Domain Control Validation)?
Bei der Registrierung einer neuen Domain, wird mittels DCV automatisiert überprüft, ob die Person, die die Validierung einer Domain angestossen hat (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen hat.
Es gibt 2 Möglichkeiten:
- DNS CNAME
1. Email:
Hierzu sendet der DCV Mechanismus ein E-Mail mit einem jeweils eindeutigen Code an einen definierten Satz von Adressen. Dieser Code wird durch den/die Empfänger dieser DCV Mails zur Validierung auf einer Webseite validiert (Email Challenge-Response Verfahren).
Erst nach dieser Validierung (bei Multi-Domain-Zertifikaten je Domain) wird das Zertifikat ausgestellt.
Folgende 5 generischen Email-Adressen stehen immer zur Verfügung:
- hostmaster@domain_name
- postmaster@domain_name
- webmaster@domain_name
- administrator@domain_name
- admin@domain_name
2. DNS CNAME
Es wird ein hash erzeugt, der als DNS CNAME record für die Domain eingetragen werden muss und überprüft wird.
HARICA Support
Der HARICA Support steht allen Teilnehmern unter support-tcs@harica.gr zur Verfügung.
TCS Zusatzvereinbarung
Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.
Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)
- Bei Körperschaften öffentlichen Rechts und ähnlichen, auf Grund von Gesetzen (z.B. FOG) existierenden Organisationen, hier bitte einen Verweis auf das entsprechende Gesetz, wenn geht paragraphengenau, angeben.
- Für Kapitalgesellschaften ersuchen wir um einen aktuellen Firmenbuchauszug, aus dem die Zeichnungsberechtigung des Unterfertigers der Zusatzvereinbarung für den Teilnehmer hervorgeht. Bei Abweichungen der Zeichnungsberechtigungen vom Firmenbuch benötigen wir auch eine Kopie einer notariell beglaubigten Vollmacht, aus der die Zeichnungsberechtigung für den Abschluß eines derartigen Rechtsgeschäftes eindeutig hervorgeht.
- Bei Vereinen bitte um eine ZVR-Zahl.
Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)
Die Beilage 2 dient zum Anlegen einer Organisation bei Harica. Folgende Dinge sind dabei zu beachten:
- Die Informationen (Name, Adressdaten) müssen jenen Informationen entsprechen, die sich auch in den in Beilage 1 beigebrachten Dokumenten wiederfinden. Diese sollten auch als QIS (Qualified Information Source) dem Validierungsantrag der Organisation beigefügt werden.
Da das Organisations Feld im Subject eines X509 Zertifikats maximal 64 Zeichen lang sein darf , darf auch die Bezeichnung der Organisation in Beilage 2 nicht länger als 64 Zeichen sein, wobei Sonderzeichen, z.B. Umlaute, als 2 Zeichen zu zählen sind.
Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)
siehe auch Was ist ein TCS-Admin?
In der Beilage 3 sind uns die Organisations Administratoren zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:
- Validierung bzw. Revalidierung der Organisation anstossen
- Domains anlegen und DCV (siehe DCV) anstossen
- weitere zugehörige Administratoren berechtigen
- Zertifikatsanträge genehmigen
Admins im Harica Certificate Manager
User können und müssen im Harica Portal selbst angelegt werden. Die initiale Zuordnung zu einer Organisation erfolgt anhand des Domainteils der angegebenen E-Mail-Adresse. Diese muss mit einer in der Organisation registrierten Domain übereinstimmen.
Anlegen der initialen Admins
Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.
Anlegen weiterer Admins
Für das Anlegen bzw. Berechtigen weiterer Admins gibt es 3 Möglichkeiten:
- Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen Admins. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
- Ein bestehender TCS Admin schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren Admins per Mail an tcs@aco.net.
- Ein bestehender Admin berechtigt einen neuen Account selbst.
Management von Domains
Anlegen von Domains
Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.
Validieren von Domains
CAA record
Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Harica für diese Domain verhindert. Falls dem so ist, können keine Zertifikate für diese Domain ausgestellt werden.
Einfacher check: dig caa <domain>
oder diverse online tools
Starten der Validierung:
Klicken sie auf den Button 'Validate Domain' → Methode wählen → den Anweisungen folgen (zu den Methoden, siehe Was ist DCV?)
Re-Validierung von Domains
DCV kann jederzeit erneut angestossen werden. Eine automatische Re-Validierung von Domains durch Harica passiert nicht, diese muss also manuell angestossen werden.
Das Datum, bis wann die Validierung gültig ist, finden sie neben der Domain.
Löschen von Domains
Domains können nicht selbst gelöscht werden. Falls eine Domain gelöscht werden soll, kontaktieren sie bitte den Harica Support.
TLS/SSL Zertifikate
Zertifikatstypen
Erstellen eines CSR (Certificate Signing Request)
Um Probleme bei der Beantragung von Zertifikaten zu vermeiden, empfielt es sich, nur den CN bei der Erstellung des CSR anzugeben. Die anderen Felder werden beim Zertifikatsantrag ignoriert.
Beispiele für das Erstellen des CSR
Beantragung von TLS-Zertifikaten
maximale SAN Anzahl im Zertifikat
Aktuell ist die maximale Anzahl von SANs in einem Zertifikat 10. Diese Zahl soll erhöht werden und sobald es hier Änderungen gibt werden wir das über die gewohnten Wege bekanntgeben.
EV (Extended Validation) Zertifikate
EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (Google Chrome Announcement, Mozilla Firefox Announcement) keinen signifikanten Vorteil im Vergleich zu OV (Organization Validated) Zertifikaten mehr. EV Zertifikate sind auch nicht im TCS Portfolio enthalten. Sollten sie trotzdem ein Extended Validation Zertifikat beziehen wollen, kontaktieren sie bitte den Harica Support.
Empfang und Verwendung der Zertifikate
S/MIME (Email bzw. Client) Zertifikate
Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen die folgenden für das TCS relevant sind:
Sponsor-validated
- Organization-validated
- Domain-validated
Folgend sind Details zu den beiden Typen zu finden:
Zertifikatstypen
Sponsor-validated
Organization-validated
Domain-validated
Zertifikatsaustellung
Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.
Self Enrollment
tbd
SAML Self Service Portal
tbd
Code Signing Zertifikate
Voraussetzungen:
Beantragung Zertifikat:
Grid bzw. IGTF SSL Zertifikate
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net