Versionen im Vergleich

Alte Version 22

changes.mady.by.user Bauer Kurt

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Bauer Kurt

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Management von Domains

...

Code Signing Zertifikate

Grid bzw. IGTF SSL Zertifikate

ACME Verwendung

API Verwendung


...

Allgemein

Anker
tcs
tcs
Was ist TCS?

...

Der HARICA Support steht allen Teilnehmern unter support-tcs@harica.gr zur Verfügung.

Anker
portfolio
portfolio
Was ist im TCS Portfolio enthalten

...

  1. Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen Admins. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
  2. Ein bestehender TCS Admin schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren Admins per Mail an tcs@aco.net.
  3. Ein bestehender Admin berechtigt einen neuen Account selbst (siehe Enterprise Admin Guide Abschnitt B - 'Assign Enterprise Admin and Enterprise Approver Roles'.

...

Sollte nichts davon möglich sein beginnen sie mit einer einfachen Textdatei, in der sie die rechtmäßige Existenz der Organisation beschreiben. Harica wird dann versuchen entsprechende Dokumentation zu finden. Ist das nicht möglich werden sie von Harica kontaktiert, um gemeinsam eine Lösung zu finden.
Bei Problemen stehen wir ihnen natürlich auch hier unter tcs@aco.net hilfreich zur Seite.

...

Anker

...

ov_

...

change

...

ov_

...

change
Änderung des Organisationsnamen

Sollte eine Änderung des Organisationsnamen nötig sein, so ist das nur über den HARICA Support möglich. Eine Änderung ist an zwei Stellen nötig:

  1. Änderung des 'Enterprise Alias' - dazu ein Mail mit den gewünschten Änderungen an den HARICA Support senden.
  2. Änderung des Organisationsnamen ('O=...' im Zertifikat) für die Validierung - dazu eine neue Validierung mit entsprechender Dokumentation anstossen.

Management von Domains

Anker
create_domain
create_domain
Anlegen von Domains

Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.

Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf

Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.

Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Mit einem Klick auf das Globus-Symbol oben rechts gelangen Sie zu einem Dialog, mit dem Sie neue Domänen anlegen können.

...

Anker
cert_profiles
cert_profiles
Zertifikatstypen

Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:

  • DV Server Zertifikate
  • OV Server Zertifikate
  • E-Mail only S/MIME Zertifikate (Mailbox‐validated)
  • Individual & Organisation S/MIME Zertifikate (Sponsor‐validated)

Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..

Anker
keypair
keypair
AnkerkeypairkeypairErstellen eines CSR (Certificate Signing Request)

...

Info
titlemaximale SAN Anzahl im Zertifikat

Aktuell ist die maximale Anzahl von SANs in einem Zertifikat 10. Diese Zahl soll erhöht werden und sobald es hier Änderungen gibt werden wir das über die gewohnten Wege bekanntgeben.

...

100.

Info
titleBestätigung von Zertifikatsanträgen

Vor der Ausstellung eines Zertifikats muß der Zertifikatsantrag bestätigt werden. Dafür ist die Rolle 'Enterprise Approver' nötig.

Zu beachten ist, dass Zertifikatsanträge nicht vom selben Account bestätigt werden dürfen und können, der den Zertifikatsantrag gestellt hat, unabhängig von dessen Rolle. 


Anker
EV
EV
EV (Extended Validation) Zertifikate

EV Zertifikate EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (Google Chrome Announcement, Mozilla Firefox Announcement) keinen signifikanten Vorteil im Vergleich zu OV (Organization Validated) Zertifikaten mehr. EV Zertifikate sind auch nicht im TCS Portfolio enthalten. Sollten sie trotzdem ein Extended Validation Zertifikat beziehen wollen, kontaktieren sie bitte den Harica Support.

Anker
cert_delivery
cert_delivery
Empfang und Verwendung der Zertifikate

S/MIME (Email bzw. Client) Zertifikate

Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen die folgenden für das TCS relevant sind:

  • Sponsor-validated

  • Organization-validated
  • Domain-validated

Folgend sind Details zu den beiden Typen zu finden:

...

Sponsor-validated
Organization-validated
Domain-validated

Zertifikatsaustellung

Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.

...

tbd

...

Die Zertifikate können unter 'My Dashboard' heruntergeladen werden. Dazu den 'download-Button' neben dem jeweiligen Zertifikat wählen, was folgenden Dialog öffnet:
Image Added

Am einfachsten ist es, das 'PEM bundle' zu verwenden, welches in der zur Verfügung gestellten Form ohne Änderungen am Webserver verwendet werden kann.

Info
titleKompatibilität mit älteren Clients

Ältere Clients haben möglicherweise nicht das aktuelle 'Root Zertifikat' aus 2021 von Harica im 'Truststore', was dazu führt, das dem Zertifikat nicht vertraut wird.
Im 'PEM bundle' ist dieses 'Root Zertifikat' 'cross-signed' mit dem älteren 'Root Zertifikat' aus 2015 enthalten, wodurch auch ältere Clients Zertifikaten vertrauen, die mit dem neueren 'Root Zertifikat' ausgestellt wurden. 


S/MIME (Email bzw. Client) Zertifikate

Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen die folgenden für das TCS relevant sind:

  • Sponsor-validated

  • Organization-validated
  • Domain-validated

Folgend sind Details zu den beiden Typen zu finden:

Anker
client_types
client_types
Zertifikatstypen

Sponsor-validated
Organization-validated
Domain-validated

Zertifikatsaustellung

Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.

Anker
client_selfenroll
client_selfenroll
Self Enrollment

tbd

Anker
SAML_SSP
SAML_SSP
SAML Self Service

Harica betreibt kein spezielles SAML Self Service Portal für S/MIME Zertifikate, sondern integriert die Funktionalität in den Harica Certificate Manager.

Um den Usern die Möglichkeit zu geben, Email-Zertifikate auszustellen, die sowohl individuelle als auch organisatorische Eigenschaften beinhalten (IV+OV bzw. Sponsor Validated (SV) S/MIME), muss diese Funktionalität erst aktiviert werden:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' – 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Dort sehen sie rechts oben das 'Brief' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität aktivieren.

Image Added


Wenn sich nun ein User föderiert anmeldet ('Academic Login') und ein Email-Zertifikat ('For enterprises or organizations (IV+OV)' (ganz unten in der Auswahl)) beantragt, ist das Hochladen eines Ausweisdokuments nicht mehr notwendig und die entsprechenden Felder sind auf Grund der Attribute, die vom IdP übertragen werden, vorausgefüllt.
Zu beachten ist, dass aktuell – auch wenn mehrere Email-Adressen übertragen werden, nur die erste Email-Adressen für das Zertifikat verwendet wird. In Zukunft werden bis zu 3 Adressen erlaubt sein, wobei der User wählen kann, welche davon im Zertifikat verwendet werden sollen.

Im weiteren Verlauf können die Informationen nur bestätigt, aber nicht verändert werden. Nach Validierung der Gültigkeit der Email-Adresse (Bestätigungs-Email) gibt es im Dashboard einen neuen Abschnitt 'Ready Certificates'. Dort kann dann das tatsächliche Zertifikat mit einem Klick auf 'Enroll your Certificate' ausgestellt werden.

Folgende Attribute müssen vom IdP gesendet werden:
  • givenName (oid:2.5.4.42)
  • surname (oid:2.5.4.4)
  • mail (oid:0.9.2342.19200300.100.1.3)
  • edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
  • eduPersonEntitlement  (oid:1.3.6.1.4.1.5923.1.1.1.7), mit einem der folgenden Werte:

(Warnung)  Im Profil des angemeldeten Users (Klick auf den Namen rechts oben) können unter 'View Login Information' die gesendeten Attribute angesehen werden. (Warnung) 

Anker
cs
cs
Code Signing Zertifikate

Code Signing Zertifikate sind nicht im TCS Portfolio enthalten. CS Zertifikate können aber bei Harica zum angezeigten Preis erworben werden.

Anker
igtf
igtf
Grid bzw. IGTF SSL Zertifikate

Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net

Anker
acme
acme
ACME Verwendung

Anker
acme_ea
acme_ea
Enterprise Accounts

ACME Enterprise Accounts können nur von einem 'Enterprise Admin' erstellt werden. Diese Accounts verwenden ausschliesslich bereits validierte Domains, weshalb auch keine ACME-Challenges notwendig sind.
Weiters ist eine sehr granulare Einschränkung auf Domains und/oder Hostnamen, für die im jeweiligen Account Zertifikate ausgestellt werden können, möglich. Auch der Typ des Zertifikats, also OV oder DV, ist in der Konfiguration des Accounts möglich.

Zur Erstellung eines Account ist folgendermaßen vorzugehen:

Unter 'Enterprise' - 'Admin' findet sich der Tab 'ACME'
Image Added

Mit dem Button 'Create +' kann ein neuer Account hinzugefügt werden. Hier (falls mehrere verfügbar) die Organisation wählen, ebenso den Zertifikatstyp und einen Namen für den Account vergeben. (Warnung) Diese Auswahl kann nachträglich nicht mehr geändert werden. (Warnung)
An dieser Stelle kann noch keine Auswahl der verfügbaren Domains gemacht werden. Nach Zustimmung zu den Richtlinien kann der Account mit 'Create' erstellt werden.

Nach einem Klick auf den erstellten Account öffnet sich dessen Detailansicht:

Image Added

In dieser Ansicht sind neben den notwendigen Zugriffsdaten unter dem Tab 'Details', auch die ausgestellten Zertifikate unter dem Tab 'Certificates', sowie der Tab 'Domains' zur Konfiguration der verfügbaren bzw. erlaubten Domains ersichtlich.

Anker
acme_domain
acme_domain

Info
titleDomainzuordnung

Ohne definierte Regeln für die Domains ist die Ausstellung von Zertifikaten nicht möglich, auch nicht wenn der ACME Account für alle vorhandenen Domains gelten soll.

Dafür im Tab 'Domains' die gewünschten Domains aus der linken Tabelle ('Available Domains') mit dem kleinen grauen '+' wählen, Details festlegen und hinzufügen.

Erst wenn die gewünschten Domains in der rechten, oberen Tabelle ('Active Rules') aufscheinen, können dafür per ACME Zertifikate ausgestellt werden.


Beispiele für die Verwendung des so erstellten Accounts:

certbot certonly --standalone --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>

oder

lego --accept-tos --server <Server URL> --email <eigene Mailadresse> --domains <FQDN des Zertifikats> --eab --kid <Key ID> --hmac <HMAC Key> --http run

Info
titleACME details

<Key ID>, <HMAC Key> und <Server URL> bitte genauso eingeben, wie sie im Tab 'Details' angegeben sind.

Auch die Angabe einer Mailadresse ist zwingend notwendig.


Anker
acme_pa
acme_pa
Personal Accounts

Nur verfügbar wenn ein Enterprise Admin diese Funktion freischaltet, dann aber für alle dieser Enterprise zugeordneten User. Diese ACME Accounts müssen für die Ausstellung von Zertifikaten eine ACME-Challenge (DNS-01 oder HTTP-01) verwenden und es werden ausschliesslich DV Zertifikate ausgestellt.

Freischaltung der ACME Personal Accounts:

Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.

Dort sehen sie rechts oben das 'Tags' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität '#ACME-Personal' aktivieren.

Image Added


Diese Einstellung bewirkt einen neuen Menüpunkt 'ACME' im Harica Certificate Manager:

Image Added

Hier können nun bis zu 3 ACME Accounts pro User erstellt werden.

Beispiel für die Verwendung des so erstellten Accounts:

certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>

(Warnung) Die Angabe einer Mailadresse ist zwingend notwendig (Warnung)

Anker
api
api
API Verwendung

Infos zur verfügbaren API sind unter https://guides.harica.gr/docs/Guides/Developer/ und https://developer.harica.gr verfügbar.

Beispiele für die API Verwendung:

tbd

...

Voraussetzungen:
Beantragung Zertifikat:

...

Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net

...

Aktuell ist ACME nur für DV Zertifikate verfügbar. Ausserdem ist es notwendig eine ACME-Challenge, HTTP-01 oder DNS-01, zu verwenden.

Die zu verwendende URL ist https://acme.harica.gr/TCS-DV/directory - für die Verwendung ist eine Key ID und ein HMAC Key nötig. Um diese zu erhalten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net

Eine erweiterte ACME Funktionalität, mit EAB und 'pre-validated' Domains ist voraussichtlich ab Anfang Q2/2025 verfügbar.

...