Seitenhistorie

...

• Was ist TCS?
• Was ist ein TCS-Admin?
• Was ist DCV?
• HARICA Support
• Was ist im TCS Portfolio enthalten

TCS Zusatzvereinbarung

• Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)
• Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)
• Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)

Admins im Harica Certificate Manager

RAOs

• Anlegen der initialen Admins
• Anlegen weiterer Admins

Validierung der Organisation

• Organisationsvalidierung beantragen
• notwendige Dokumentation
• Änderung des Organisationsnamen

Management von Domains

• Anlegen von Domains
• Validieren von Domains
• Re-Validierung von Domains
• Löschen von Domains

...

Code Signing Zertifikate

Grid bzw. IGTF SSL Zertifikate

• Secondary Organization Name

Zertifikate

ACME Verwendung

API Verwendung

...

Der HARICA Support steht allen Teilnehmern unter support-tcs@harica.gr zur Verfügung.

Anker
portfolio portfolio

Was ist im TCS Portfolio enthalten

Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:

• DV Server Zertifikate
• OV Server Zertifikate
• E-Mail only S/MIME Zertifikate (Mailbox‐validated)
• Individual & Organisation S/MIME Zertifikate (Sponsor‐validated)

Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..

TCS Zusatzvereinbarung

Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.

...

1. Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen Admins. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
2. Ein bestehender TCS Admin schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren Admins per Mail an tcs@aco.net.
3. Ein bestehender Admin berechtigt einen neuen Account selbst (siehe Enterprise Admin Guide Abschnitt B - 'Assign Enterprise Admin and Enterprise Approver Roles'.

Validierung der Organisation

Anker
ov_apply ov_apply

Organisationsvalidierung beantragen

Um ihre Organisation zu validieren, gehen sie wie folgt vor:

Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Durch Klicken auf das Symbol 'Datei' oben rechts gelangen Sie zu einem Dialog, in dem Sie die entsprechenden Dokumente hochladen können.
Detailierte Informationen entnehmen sie bitte dem Enterprise Admin Guide Abschnitt E - 'Submit Legal Evidence for Identity Validation' .

Anker
ov_docs ov_docs

notwendige Dokumentation

Harica ist bemüht die Validierungen von Organisationen so einfach wie möglich zu gestalten.
Ausgangspunkt der Validierung sind entsprechende Dokumente, die die rechtmäßige Existenz der Organisation belegen.

Beispiele dafür:

• Firmenbuchauszug
• Vereinsregisterauszug
• entsprechendes Gesetz, z.B. Universitätsgesetz, Bundesministeriengesetz
• Legal Entity Identifier (LEI)
• Ergänzungsregister

Sollte nichts davon möglich sein beginnen sie mit einer einfachen Textdatei, in der sie die rechtmäßige Existenz der Organisation beschreiben. Harica wird dann versuchen entsprechende Dokumentation zu finden. Ist das nicht möglich werden sie von Harica kontaktiert, um gemeinsam eine Lösung zu finden.
Bei Problemen stehen wir ihnen natürlich auch hier unter tcs@aco.net hilfreich zur Seite.

Anker
ov_change ov_change

Änderung des Organisationsnamen

Sollte eine Änderung des Organisationsnamen nötig sein, so ist das nur über den HARICA Support möglich. Eine Änderung ist an zwei Stellen nötig:

1. Änderung des 'Enterprise Alias' - dazu ein Mail mit den gewünschten Änderungen an den HARICA Support senden.
2. Änderung des Organisationsnamen ('O=...' im Zertifikat) für die Validierung - dazu eine neue Validierung mit entsprechender Dokumentation anstossen.

Management von Domains

Anker
create_domain create_domain

Anlegen von Domains

Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.

Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Mit einem Klick auf das Globus-Symbol oben rechts gelangen Sie zu einem Dialog, mit dem Sie neue Domänen anlegen können.

Die anzulegenden Domains können nur mittels Textfile (CSV) hochgeladen werden. Sie können sich auf der Seite eine Beispieldatei herunterladen, das Format ist aber sehr simpel:

Domain
domain1.ac.at
domain2.at
domain3.gv.at
usw.

Anker
validate_domain validate_domain

Validieren von Domains

Starten der Validierung:

Klicken sie auf den Button sie unter 'Enterprise' auf 'Admin' um in die Organisations-Administration zu gelangen. Dann wählen sie ihre Organisation und im Reiter 'Domains' klicken sie auf 'Validate Domain' → Methode wählen → den Anweisungen folgen (zu den Methoden, siehe Was ist DCV?)neben der zu validierenden Domain.
Dann wählen sie den gewünschten 'Validation Type'.

Im Falle von  'Constructed Email to Domain Contact' wählen sie danach die gewünschte Email-Adresse und klicken Submit. Sie bekommen dann ein Email mit einem Validierungslink. Zu beachten ist , dass der Link im versendeten Email nur für jenen Account gilt, der die Validierung ausgelöst hat. Mit jedem anderen Account bekommen sie einen 404 Error.

Im Falle von 'DNS Change' wird ein Email mit dem im DNS einzutragenden TXT Record an die von ihnen angegebene Email-Adresse geschickt.

Anker
revalidate_domain revalidate_domain

Re-Validierung von Domains

...

Anker
cert_profiles cert_profiles

Zertifikatstypen

Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:

• DV Server Zertifikate
• OV Server Zertifikate
• E-Mail only S/MIME Zertifikate (Mailbox‐validated)
• Individual & Organisation S/MIME Zertifikate (Sponsor‐validated)

Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..

Anker
keypair keypair

Erstellen eines CSR (Certificate Signing Request)

...

Anker
EV EV

EV (Extended Validation) Zertifikate

...

Anker
cert_delivery cert_delivery

Empfang und Verwendung der Zertifikate

Die Zertifikate können unter 'My Dashboard' heruntergeladen werden. Dazu den 'download-Button' neben dem jeweiligen Zertifikat wählen, was folgenden Dialog öffnet:
Image Added

Am einfachsten ist es, das 'PEM bundle' zu verwenden, welches in der zur Verfügung gestellten Form ohne Änderungen am Webserver verwendet werden kann.

S/MIME (Email bzw. Client) Zertifikate

...

Anker
cs cs

Code Signing Zertifikate

Voraussetzungen:

Beantragung Zertifikat:

tbd

Anker
igtf igtf

Grid bzw. IGTF SSL Zertifikate

...

Die zu verwendende URL ist https://acme.harica.gr/TCS-DV/directory - für die Verwendung ist eine Key ID und ein HMAC Key nötig. Um diese zu erhalten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net

Eine erweiterte ACME Funktionalität, mit EAB und 'pre-validated' Domains ist voraussichtlich ab Anfang Q2/2025 verfügbar.

Anker
api api

API Verwendung

Infos zur verfügbaren API sind unter https://guides.harica.gr/docs/Guides/Developer/ und https://developer.harica.gr verfügbar.

Beispiele für die API Verwendung:

• Go

  • https://github.com/hm-edu/harica

• Java

  • https://poll.hs-kempten.de/harica/

• Perl

  • https://www.math.uni-bonn.de/people/ef/harica/

  • https://software.nikhef.nl/experimental/tcstools/tcsg5/

• PHP

  • https://www.uni-muenster.de/CA/harica-php.txt

• Python
  • https://github.com/utu/harica
  • https://github.com/ConsortiumGARR/tcs-garr