...
TCS Zusatzvereinbarung
- Informationen zu Beilage 1 (Nachweis der Rechtspersönlichkeit)
- Informationen zu Beilage 2 (Details zur Teilnehmerorganisation)
- Informationen zu Beilage 3 (Autorisierte Vertreter des Teilnehmers)
Admins im Harica Certificate Manager
...
Validierung der Organisation
Management von Domains
TLS/SSL Zertifikate
- ZertifikatsprofileZertifikatstypen
- Erstellen eines CSR (Certificate Signing Request)
- Beantragung von TLS-Zertifikaten
- EV (Extended Validation) Zertifikate
- Empfang und Verwendung der Zertifikate
...
Code Signing Zertifikate
Grid bzw. IGTF SSL Zertifikate
API Verwendung
- 'WS API use only' Verwendung
- Was ist der 'customerUri'
- Zertifikate per API beantragen
- einfaches curl Beispiel
Zertifikate
ACME Verwendung
API Verwendung
...
Allgemein
| Anker | ||||
|---|---|---|---|---|
|
...
Es wird ein hash erzeugt, der als DNS CNAME record für die Domain eingetragen werden muss und überprüft wird.
TCS Zusatzvereinbarung
Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.
...
- Bei Körperschaften öffentlichen Rechts und ähnlichen, auf Grund von Gesetzen (z.B. FOG) existierenden Organisationen, hier bitte einen Verweis auf das entsprechende Gesetz, wenn geht paragraphengenau, angeben.
- Für Kapitalgesellschaften ersuchen wir um einen aktuellen Firmenbuchauszug, aus dem die Zeichnungsberechtigung des Unterfertigers der Zusatzvereinbarung für den Teilnehmer hervorgeht. Bei Abweichungen der Zeichnungsberechtigungen vom Firmenbuch benötigen wir auch eine Kopie einer notariell beglaubigten Vollmacht, aus der die Zeichnungsberechtigung für den Abschluß eines derartigen Rechtsgeschäftes eindeutig hervorgeht.
- Bei Vereinen bitte um eine ZVR-Zahl.
...
Die Beilage 2 dient zum Anlegen einer Organisation bei Harica. Folgende Dinge sind dabei zu beachten:
- Die Informationen (Name, Adressdaten) müssen jenen Informationen entsprechen, die sich auch in den in Beilage 1 beigebrachten Dokumenten wiederfinden. Diese sollten auch als QIS (Qualified Information Source) dem Validierungsantrag der Organisation beigefügt werden.
Da das Organisations Feld im Subject eines X509 Zertifikats maximal 64 Zeichen lang sein darf , darf auch die Bezeichnung der Organisation in Beilage 2 nicht länger als 64 Zeichen sein, wobei Sonderzeichen, z.B. Umlaute, als 2 Zeichen zu zählen sind.
...
siehe auch Was ist ein TCS-Admin?
In der Beilage 3 sind uns die Organisations Administratoren zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:
- Validierung bzw. Revalidierung der Organisation anstossen
- Domains anlegen und DCV (siehe DCV) anstossen
- weitere zugehörige Administratoren berechtigen
- Zertifikatsanträge genehmigen
Admins im Harica Certificate Manager
RAOs
...
Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.
...
Für das Anlegen bzw. Berechtigen weiterer RAOs gibt es 3 Möglichkeiten:
- Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen RAOs. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
- Ein bestehender TCS Admin (RAO) schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren RAOs per Mail an tcs@aco.net.
- Ein bestehender 'Department Admin' (DRAO, siehe Anlegen von 'Department Admins') kann vom ACOnet Team die Berechtigungen konfiguriert bekommen, um als RAO zu funktionieren. Dazu genügt ebenfalls ein Mail eines bestehenden TCS Admin (RAO) an tcs@aco.net.
DRAOs
...
DRAOs, Admins auf Department Ebene, können RAOs selbst anlegen und berechtigen.
Management von Domains
...
Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.
Wenn sie Domains anlegen müssen sie immer die eigentliche Domain und die dazu gehörige 'Wildcard Domain' anlegen, z.B. example.at und *.example.at
Diese 'Eigenheit' bei Sectigo ist notwendig, um beliebige Subdomains bzw. Hostnamen in Zertifikaten verwenden zu können (z.B. foo.bar.example.at, aber auch www.example.at).
Es kann sein, dass die Validierung der 'Wildcard Domain' länger braucht, sobald jedoch die Hauptdomain erfolgreich validiert ist, können sofort Zertifikate beantragt werden, auch für Subdomains bzw. beliebige Hostnamen.
Wählen sie im SCM 'linkes Menü' → Domains → '+'. Sie können an dieser Stelle auch gleich die Delegierung der Domain erledigen.
...
Wählen sie im SCM 'linkes Menü' → Domains, Domain wählen → Delegate Button klicken und Organisation bzw. Department für den jeweiligen Zertifikatstyp anhaken.
...
Vor der Validierung der Domain, muss die Delegierung bestätigt werden
Die Bestätigung der Delegierung von Domains kann nur von einem MRAO aus dem ACOnet Team durchgeführt werden. Das ACOnet Team wird automatisch notifiziert, sollte es zu Verzögerungen kommen, bitte ein Mail an tcs@aco.net schicken.
...
| Info | ||
|---|---|---|
| ||
Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Sectigo für diese Domain verhindert. Falls dem so ist, kann Sectigo keine Zertifikate für diese Domain ausstellen. Einfacher check: siehe auch Sectigo CAA info |
Starten der Validierung:
Wählen sie im SCM 'linkes Menü' → Domains, Domain wählen, die sie validieren wollen → Validate Button → Methode wählen (zu den Methoden, siehe Was ist DCV?)
...
Ab 90 Tagen vor dem Ablauf der Validierung kann die DCV erneut angestossen werden. Eine automatische Re-Validierung von Domains durch Sectigo passiert nicht, diese muss also manuell (oder per API) angestossen werden.
Bis wann die Validierung gültig ist, finden sie im SCM 'linkes Menü' → Domains, Domain wählen, im DCV Bereich ('Expires')
...
Domains können nur selbst gelöscht werden, bevor sie bestätigt sind (siehe Bestätigen von Domains).
Sobald die Bestätigung erfolgt ist, können Domains nicht mehr selbst gelöscht werden. Falls eine Domain gelöscht werden soll, kann ein dem ACOnet bekannter RAO ('organizational admin') den bzw. die Namen der zu löschenden Domains an tcs@aco.net senden und ein MRAO aus dem ACOnet Team wird die Domain(s) löschen.
TLS/SSL Zertifikate
...
GÉANT OV Multi-Domain
→ wenn SANs gebraucht werden. Wir empfehlen allerdings, auch ohne SANs dieses Profil zu nehmen, Erklärung siehe GÉANT OV SSL
GÉANT OV SSL
→ wenn nur CN, kein(e) SAN(s) gebraucht werden - allerdings wird bei diesem Profil automatisch ein SAN in der Form www.<CN> hinzugefügt. Wenn man das nicht will, auch für diesen Fall GÉANT OV Multi-Domain verwenden
GÉANT Wildcard SSL
→ wenn sie ein Zertifikat für *.domain brauchen
GÉANT Unified Communications Certificate
→ speziell für Microsoft Exchange und/oder Microsoft Office Communication Server (OCS) Umgebungen
GÉANT EV Multi-Domain
→ können bzw. sollten nicht direkt beantragt werden, siehe EV (Extended Validation) Zertifikate
GÉANT EV SSL
→ können bzw. sollten nicht direkt beantragt werden, siehe EV (Extended Validation) Zertifikate
optionale Profile
für die Aktivierung/Freischaltung dieser Profile kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
GÉANT IGTF Multi-Domain
→ spezielles Zertifikat zur Verwendung im "Grid Computing Umfeld", siehe auch Secondary Organization Name
...
Um Probleme bei der Beantragung von Zertifikaten zu vermeiden, empfielt es sich, nur den CN bei der Erstellung des CSR anzugeben. Sollten nämlich die anderen Felder angegeben sein, aber nicht mit den validierten Daten bei Sectigo übereinstimmen, kann es zu Fehlern und der Ablehnung des Zertifikatsantrags führen.
Beispiele für das Erstellen des CSR
...
| Anker | ||||
|---|---|---|---|---|
|
Der HARICA Support steht allen Teilnehmern unter support-tcs@harica.gr zur Verfügung.
| Anker | ||||
|---|---|---|---|---|
|
Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:
- DV Server Zertifikate
- OV Server Zertifikate
- E-Mail only S/MIME Zertifikate (Mailbox‐validated)
- Individual & Organisation S/MIME Zertifikate (Sponsor‐validated)
Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..
TCS Zusatzvereinbarung
Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.
| Anker | ||||
|---|---|---|---|---|
|
- Bei Körperschaften öffentlichen Rechts und ähnlichen, auf Grund von Gesetzen (z.B. FOG) existierenden Organisationen, hier bitte einen Verweis auf das entsprechende Gesetz, wenn geht paragraphengenau, angeben.
- Für Kapitalgesellschaften ersuchen wir um einen aktuellen Firmenbuchauszug, aus dem die Zeichnungsberechtigung des Unterfertigers der Zusatzvereinbarung für den Teilnehmer hervorgeht. Bei Abweichungen der Zeichnungsberechtigungen vom Firmenbuch benötigen wir auch eine Kopie einer notariell beglaubigten Vollmacht, aus der die Zeichnungsberechtigung für den Abschluß eines derartigen Rechtsgeschäftes eindeutig hervorgeht.
- Bei Vereinen bitte um eine ZVR-Zahl.
| Anker | ||||
|---|---|---|---|---|
|
Die Beilage 2 dient zum Anlegen einer Organisation bei Harica. Folgende Dinge sind dabei zu beachten:
- Die Informationen (Name, Adressdaten) müssen jenen Informationen entsprechen, die sich auch in den in Beilage 1 beigebrachten Dokumenten wiederfinden. Diese sollten auch als QIS (Qualified Information Source) dem Validierungsantrag der Organisation beigefügt werden. Da das Organisations Feld im Subject eines X509 Zertifikats maximal 64 Zeichen lang sein darf , darf auch die Bezeichnung der Organisation in Beilage 2 nicht länger als 64 Zeichen sein, wobei Sonderzeichen, z.B. Umlaute, als 2 Zeichen zu zählen sind.
| Anker | ||||
|---|---|---|---|---|
|
siehe auch Was ist ein TCS-Admin?
In der Beilage 3 sind uns die Organisations Administratoren zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:
- Validierung bzw. Revalidierung der Organisation anstossen
- Domains anlegen und DCV (siehe DCV) anstossen
- weitere zugehörige Administratoren berechtigen
- Zertifikatsanträge genehmigen
Admins im Harica Certificate Manager
User können und müssen im Harica Portal selbst angelegt werden. Die initiale Zuordnung zu einer Organisation erfolgt anhand des Domainteils der angegebenen E-Mail-Adresse. Diese muss mit einer in der Organisation registrierten Domain übereinstimmen.
| Anker | ||||
|---|---|---|---|---|
|
Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.
| Anker | ||||
|---|---|---|---|---|
|
Für das Anlegen bzw. Berechtigen weiterer Admins gibt es 3 Möglichkeiten:
- Sie schicken uns eine weitere, ausgefüllte und unterschrieben Beilage 3 der TCS-Zusatzvereinbarung (https://www.aco.net/tcs.html) mit den neuen Admins. Hier genügt eine elektronische Version per Mail an tcs@aco.net.
- Ein bestehender TCS Admin schickt uns per Mail die notwendigen Informationen (wie in Beilage 3) zum Anlegen eines weiteren Admins per Mail an tcs@aco.net.
- Ein bestehender Admin berechtigt einen neuen Account selbst (siehe Enterprise Admin Guide Abschnitt B - 'Assign Enterprise Admin and Enterprise Approver Roles'.
Validierung der Organisation
| Anker | ||||
|---|---|---|---|---|
|
Um ihre Organisation zu validieren, gehen sie wie folgt vor:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Durch Klicken auf das Symbol 'Datei' oben rechts gelangen Sie zu einem Dialog, in dem Sie die entsprechenden Dokumente hochladen können.
Detailierte Informationen entnehmen sie bitte dem Enterprise Admin Guide Abschnitt E - 'Submit Legal Evidence for Identity Validation' .
| Anker | ||||
|---|---|---|---|---|
|
Harica ist bemüht die Validierungen von Organisationen so einfach wie möglich zu gestalten.
Ausgangspunkt der Validierung sind entsprechende Dokumente, die die rechtmäßige Existenz der Organisation belegen.
Beispiele dafür:
- Firmenbuchauszug
- Vereinsregisterauszug
- entsprechendes Gesetz, z.B. Universitätsgesetz, Bundesministeriengesetz
- Legal Entity Identifier (LEI)
- Ergänzungsregister
Sollte nichts davon möglich sein beginnen sie mit einer einfachen Textdatei, in der sie die rechtmäßige Existenz der Organisation beschreiben. Harica wird dann versuchen entsprechende Dokumentation zu finden. Ist das nicht möglich werden sie von Harica kontaktiert, um gemeinsam eine Lösung zu finden.
Bei Problemen stehen wir ihnen natürlich auch hier unter tcs@aco.net hilfreich zur Seite.
| Anker | ||||
|---|---|---|---|---|
|
Sollte eine Änderung des Organisationsnamen nötig sein, so ist das nur über den HARICA Support möglich. Eine Änderung ist an zwei Stellen nötig:
- Änderung des 'Enterprise Alias' - dazu ein Mail mit den gewünschten Änderungen an den HARICA Support senden.
- Änderung des Organisationsnamen ('O=...' im Zertifikat) für die Validierung - dazu eine neue Validierung mit entsprechender Dokumentation anstossen.
Management von Domains
| Anker | ||||
|---|---|---|---|---|
|
Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.
Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Mit einem Klick auf das Globus-Symbol oben rechts gelangen Sie zu einem Dialog, mit dem Sie neue Domänen anlegen können.
Die anzulegenden Domains können nur mittels Textfile (CSV) hochgeladen werden. Sie können sich auf der Seite eine Beispieldatei herunterladen, das Format ist aber sehr simpel:
| Codeblock | ||
|---|---|---|
| ||
Domain
domain1.ac.at
domain2.at
domain3.gv.at
usw. |
| Anker | ||||
|---|---|---|---|---|
|
| Info | ||
|---|---|---|
| ||
Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Harica für diese Domain verhindert. Falls dem so ist, können keine Zertifikate für diese Domain ausgestellt werden. Einfacher check: |
Starten der Validierung:
Klicken sie unter 'Enterprise' auf 'Admin' um in die Organisations-Administration zu gelangen. Dann wählen sie ihre Organisation und im Reiter 'Domains' klicken sie auf 'Validate Domain' neben der zu validierenden Domain.
Dann wählen sie den gewünschten 'Validation Type'.
Im Falle von 'Constructed Email to Domain Contact' wählen sie danach die gewünschte Email-Adresse und klicken Submit. Sie bekommen dann ein Email mit einem Validierungslink. Zu beachten ist , dass der Link im versendeten Email nur für jenen Account gilt, der die Validierung ausgelöst hat. Mit jedem anderen Account bekommen sie einen 404 Error.
Im Falle von 'DNS Change' wird ein Email mit dem im DNS einzutragenden TXT Record an die von ihnen angegebene Email-Adresse geschickt.
| Anker | ||||
|---|---|---|---|---|
|
DCV kann jederzeit erneut angestossen werden. Eine automatische Re-Validierung von Domains durch Harica passiert nicht, diese muss also manuell angestossen werden.
Das Datum, bis wann die Validierung gültig ist, finden sie neben der Domain.
| Anker | ||||
|---|---|---|---|---|
|
Domains können nicht selbst gelöscht werden. Falls eine Domain gelöscht werden soll, kontaktieren sie bitte den Harica Support.
TLS/SSL Zertifikate
| Anker | ||||
|---|---|---|---|---|
|
Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:
- DV Server Zertifikate
- OV Server Zertifikate
- E-Mail only S/MIME Zertifikate (Mailbox‐validated)
- Individual & Organisation S/MIME Zertifikate (Sponsor‐validated)
Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..
| Anker | ||||
|---|---|---|---|---|
|
Um Probleme bei der Beantragung von Zertifikaten zu vermeiden, empfielt es sich, nur den CN bei der Erstellung des CSR anzugeben. Die anderen Felder werden beim Zertifikatsantrag ignoriert.
Beispiele für das Erstellen des CSR
| Anker | ||||
|---|---|---|---|---|
|
| Info | ||
|---|---|---|
| ||
Aktuell ist die maximale Anzahl von SANs in einem Zertifikat 100. |
| Info | ||
|---|---|---|
| ||
Vor der Ausstellung eines Zertifikats muß der Zertifikatsantrag bestätigt werden. Dafür ist die Rolle 'Enterprise Approver' nötig. Zu beachten ist, dass Zertifikatsanträge nicht vom selben Account bestätigt werden dürfen und können, der den Zertifikatsantrag gestellt hat, unabhängig von dessen Rolle. |
| Anker | ||||
|---|---|---|---|---|
|
EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (
Vergeben sie einen Namen und wählen die Organisation und eventuell das Department aus. Wählen sie die 'Certificate Profiles' (im Normalfall die OV Profile und eventuell das Wildcard Profil), die verfügbar sein sollen und geben Sie einen selbst gewählten Access Code ein.
Unter https://cert-manager.com/customer/ACOnet/ssl können sie dann im ersten Punkt 'Certificate Enrollment' mittels des erstellten 'Access Code' und Angabe einer Mail-Adresse das Zertifikat beantragen. Der Domain-Teil der angegebenen E-Mail Adresse muss dabei einer validierten Domain in der entsprechenden Organisation entsprechen, ansonsten wird der Zugriff verweigert.
Falls sie Teilnehmer an der ACOnet Identity Federation sind und einen dementsprechenden IdP betreiben, können Sie auch Self Enrollment via SAML aktivieren.
Gehen Sie dazu zu Enrollment → Enrollment Formss und klicken Add oder wählen eine bestehende SSL SAML self-enrollment form aus und klicken Edit. Vergeben sie einen Namen und wählen die Organisation und eventuell das Department aus. Wählen sie die 'Certificate Profiles' (im Normalfall die OV Profile und eventuell das Wildcard Profil), die verfügbar sein sollen und klicken Generate.
Den URL unter dem Feld URI Extension an die Benutzer aushändigen. Nutzerinnen müssen sich dann bei ihrem IdP authentifizieren, bevor sie zu der gleichen 'Certificate Enrollment' Seite wie oben kommen. Der Domain-Teil der E-Mail-Adresse, die von ihrem IdP mitgeschickt wird, muss dabei einer validierten Domain in der entsprechenden Organisation entsprechen, ansonsten wird der Zugriff verweigert.
| Info | ||
|---|---|---|
| ||
| Aktivieren Sie nicht die Option Automatically Approve Self Enrollment Requests, da sie Zertifikatsanfragen, die über diesen Weg eintreffen, manuell genehmigen werden wollen. |
...
EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (Google Chrome Announcement, Mozilla Firefox Announcement) keinen signifikanten Vorteil im Vergleich zu OV (Organization Validated) Zertifikaten mehr. Sollten EV Zertifikate sind auch nicht im TCS Portfolio enthalten. Sollten sie trotzdem ein Extended Validation Zertifikat beziehen wollen, muss vor der Beantragung und Ausstellung eines EV Zertifikats, ein 'EV anchor certificate' beantragt werden.Den Ablauf zur Beantragung eines 'EV Anchor Certificate' finden sie im Sectigo EV anchor and SCM Manualkontaktieren sie bitte den Harica Support.
| Anker | ||||
|---|---|---|---|---|
|
...
| Info | ||
|---|---|---|
| ||
Ziel ist natürlich, dass Sectigo die |
Prinzipiell brauchen sie bei Webservern das Leaf-Zertifikat und nur das GEANT Intermediate Zertifikat als Chain-Zertifikat zu verwenden - das Root-Zertifikat finden die Web-Browser und andere clients selbst (in ihrem 'truststore').
Je nachdem welche 'Version' des pem Files sie von den angebotenen Links bei Sectigo herunterladen, sind unterschiedliche Zertifikate enthalten. Was allen Arten gleich ist, ist die falsche Reihenfolge der Zertifikate, ie. Leaf Zertifikat als unterstes, darüber eventuell ein oder mehrere Intermediate Zertifikate und darüber, als oberstes, das Root Zertifikat.
Fast alle devices brauchen die Zertifikate allerdings in umgekehrter Reihenfolge, ie. Leaf Zertifikat zu oberst, darunter das Intermediate Zertifikat.
Eine Möglichkeit ist das manuelle 'umsortieren' der notwendigen und gleichzeitige 'entsorgen' der unnötigen Zertifikate.
Eine andere Möglichkeit, ist die folgende:
Alle von Sectigo (und anderen CAs) ausgestellten Zertifikate werden in 'Certificate Transparency Logs' gespeichert. Diese Logs können abgefragt werden und auch Zertifikate können an dieser Stelle heruntergeladen werden. Sectigo betreibt eine Webseite zur Abfrage dieser Transparency Logs → https://crt.sh/
Suchen sie ihr Zertifikat (CN) unter https://crt.sh/ - es werden zumindest 2 Zertifikate gefunden. Hier ist wichtig, dass bei 'Issuer Name' C=NL, O=GEANT Vereniging, CN=GEANT... steht. Mit Klick auf die ID kommen sie zum eigentlichen Zertifikat, wobei hier wichtig ist, dass bei 'Summary' 'Leaf certificate' steht (nicht 'Precertificate').
Das Zertifikat können sie links unten unter 'Download Certificate: PEM' herunterladen.
Wenn sie dann auf 'Issuer' klicken, kommen sie zur 'CA Id' Ansicht des passenden 'GEANT Inermediate', wo sie mit einem Klick auf die Nummer unter 'crt.sh ID' direkt zum passenden Zertifikat kommen
Auch hier haben sie links unten unter 'Download Certificate: PEM' die Möglichkeit, das Zertifikat herunterzuladen.
Letztendlich muss im Zertifikatsfile des Webservers oben das 'Leaf certificate' und darunter das 'Intermediate certificate' stehen. Den Rest der Chain finden die Browser alleine, diese muss und soll nicht vom Webserver ausgeliefert werden.
S/MIME (Email bzw. Client) Zertifikate
Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen 2 für das TCS relevant sind:
Sponsor-validated → entspricht "GÉANT Personal email signing and encryption" im TCS
- Organization-validated → entspricht "GÉANT Organisation email signing and encryption" im TCS
Folgend sind Details zu den beiden Typen zu finden:
...
GÉANT Personal email signing and encryption
In Zertifikaten, die mit diesem Zertifikatsprofil ausgestellt wurden, sind sowohl die Organisation, als auch die Person validiert. Im Subject des Zertifikats findet sich der validierte Name der Person (CN, GIVENNAME und SURNAME), die validierte Organisation (O) und die Email-Adresse (E), deren Namensteil genau dieser Person zugeordnet sein muss und deren Domain-Teil implizit validiert ist.
Die Überprüfung und Validierung einzelner Personen liegt natürlich nicht im Bereich von Sectigo, sondern bei den jeweiligen Organisationen. Die erfolgte Überprüfung ('identity vetting') bestätigt die jeweilige Organisation bzw. deren Vertreter ('RAO') mittels des Attributs 'Validation Type' des Personenobjekts (Persons). Ein 'GÉANT Personal email signing and encryption' Zertifikat wird nur dann ausgestellt, wenn dieses Attribut den Wert 'High (Identity Validated for S/MIME Sponsored Enrollment)' hat.
Um dieses Attribut zu setzten, gibt es mehrere Möglichkeiten:
- Verwendung des SAML Self Service Portal: In diesem Fall wird das Attribut nach erfolgreicher Authentifizierung automatisch auf 'High' gesetzt.
- Verwendung einer Enrollment Form: In diesem Fall muss das Attribut manuell, oder per API gesetzt werden. Dabei ist zwischen 2 Möglichkeitren zu unterscheiden:
- Person existiert bereits: Das Attribut kann jederzeit gesetzt werden.
- Person existiert noch nicht: In diesem Fall muss die Enrollment Form wie gewohnt genutzt werden. Nach dem erstmaligen Ausfüllen und anschliessendem Submit kommt allerdings eine Fehlermeldung: 'The person does not have a high validation status....'. Zu diesem Zeitpunkt wurde die Person allerdings bereits im System angelegt und das Attribut kann gesetzt werden. Ein weiterer Klick auf 'Submit' oder jede spätere Verwendung der Enrollment Form erlaubt dann die Ausstellung des Zertifikats.
- Verwendung der API: siehe API Verwendung
| Info | ||
|---|---|---|
| ||
Grundsätzlich ist zu beachten, dass das Setzen des 'Validation Types' auf 'High' bestätigt, dass eine ‘persönliche Identifikation‘ der Person erfolgt ist. Dies ist natürlich nur für natürliche Personen möglich. |
GÉANT Organisation email signing and encryption
In Zertifikaten, die mit diesem Zertifikatsprofil ausgestellt wurde, ist nur die Organisation validiert. Im Subject des Zertifikats findet sich auch nur die validierte Organisation (CN) und die Email-Adresse (E), deren Domain-Teil implizit validiert ist.
Diese Zertifikate bieten sich z.B. für Gruppen-Postfächer oder Rollen Email-Adressen an. Für diese Zertifikate reicht es, wenn der "Validation Type" des Personenobjekts (Persons) auf 'Standard' gesetzt ist.
Zu beachten ist, dass diese Zertifikate nicht via SAML Self Service Portal ausgestellt werden können. Eine Ausstellung dieses Zertifikatstyps ist nur mittels Enrollment Form oder API möglich.
Zertifikatsaustellung
Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die beiden unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.
...
Um 'self enrollment' für Client Zertifikate zu aktivieren , müssen sie unter Enrollment - Enrollment Forms - Client Certificate Web Form wählen - Accounts klicken - Add klicken oder bestehenden Account wählen und Edit klicken.
'(Certificate) Profiles' wählen, die verfügbar sein sollen (im Normalfall 'GÉANT Personal email signing and encryption' und/oder 'GÉANT Organisation email signing') und einen 'Access Code' vergeben und die weiteren Einstellungen je nach Bedarf vornehmen.
Unter https://cert-manager.com/customer/ACOnet/smime können sie dann im ersten Punkt 'Certificate Enrollment by AccessCode' mittels des erstellten 'Access Code' und Angabe einer Mail-Adresse, deren Domain-Teil an die Organisation/das Department für 'client certificates' delegiert und validiert sein muss, das Zertifikat beantragen.
| Info | ||
|---|---|---|
| ||
Wenn sie Client Zertifikate im 'self enrollment' für ein Department einrichten, beachten sie bitte die Einstellungen zur 'key recovery': Sollten sie unter bei den Einstellungen des Departments (Organizations → <entsprechendes Department> - Certificate Settings - Client Certificates ) 'Allow Key Recovery by Department Administrators' angehakt haben, müssen sie einen 'encryption key' im Department anlegen, ansonsten ist die Ausstellung von Zertifikaten nicht möglich. Die Fehlermeldung im 'self enrollment' lautet 'Your client certificate is currently unavailable. Please try again ...'. Den 'encryption key' kann allerdings nur ein DRAO (Department Admin) mit der entsprechenden Berechtigung im Department erstellen, als RAO ist dies nicht möglich. |
...
Erreichbar ist das SAML Self Service Portal für Client Zertifikate unter https://cert-manager.com/customer/ACOnet/idp/clientgeant
Voraussetzung für die Verwendung ist die Teilnahme an der ACOnet Identity Federation und darüberhinaus an eduGAIN. TCS-spezifische Informationen zur korrekten Konfiguration ihres Shibboleth IDP finden sie unter TCS Personal Certs.
Abschliessend muss im SCM noch der korrekte Wert für schacHomeOrganization konfiguriert werden (i.d.R. auf den Wert der eigenen Attribute-"Scope"). Dazu bei den Einstellungen ihrer Organisation (Organizations -> Org. wählen -> Edit (=Bleistiftsymbol)) den Wert, der als schacHomeOrganization mitgeschickt wird, als 'Organization Alias' eintragen.
Mit dem Sectigo Certificate Manager SSO Check kann man sich die übertragenen und ggfs fehlenden Attribute anzeigen lassen.
...
Voraussetzungen:
- CS für die Organisation aktiviert
- Organizations - Org wählen - Certificate Settings - Code Signing Certificates - Enabled
- Domain für Code Signing Certificates delegiert
- Domains - Domain wählen - Delegate - Hakerl bei Code Signing Certificate
- Account in Enrollment Form 'CS Web Form' (alternativ eigene Enrollment Form)
- Enrollment - Enrollment Forms - 'CS Web Form' wählen - Accounts - '+'
- alternativ: Enrollment - Enrollment Forms - '+'
Beantragung Zertifikat:
- Email Invitation schicken
- Certificates - Code Signing Certificates - Invitations - '+' - Email-Addr. eingeben und entsprechenden Enrollment Endpoint & Account wählen
- Link in Email klicken und Webformular entsprechend ausfüllen
Grid bzw. IGTF SSL Zertifikate
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
...
Für die Verwendung von IGTF SSL Zertifikaten ist ein Organisationsname Voraussetzung, der nur ASCII Zeichen enthält. Dafür gibt es den 'Secondary Organization Name', wo die 'asciified' Version des Organisationsnamen eingetragen werden kann. Auch dieser Name muss erneut validiert werden (siehe auch Spalte 'SECONDARY VALIDATION' in der Übersicht).
Nur wenn es diesen 'Secondary Organization Name' gibt, können IGTF SSL Zertifikate ausgestellt werden.
API Verwendung
Infos zur Verwendung des SCM REST API bei Sectigo
...
Prinzipiell kann jeder Benutzer im SCM auch die API Funktionalität verwenden. Es ist jedoch aus Sicherheitsgründen sinnvoll, für das API einen eigenen Benutzer anzulegen und diesen auf die Benutzung des API einzuschränken. Dazu dient der Parameter 'WS API use only' bei den Privileges eines Benutzers. Auf Grund der Art der Benutzerverwaltung bei Sectigo ist es jedoch auch bei einem solchen Benutzer notwendig, dass bei der Anlage gesetzte Passwort, nach erstmaligem Login zu ändern. Es empfielt sich somit folgender Ablauf:
- API Account anlegen bzw. vom ACOnet Team anlegen lassen, falls er auf Organisationsebene funktionieren soll (siehe oben), 'WS-API use only' noch nicht wählen
- Mit dem API Account im SCM anmelden - Passwort ändern
- Dann 'WS-API use only' wählen bzw. dem ACOnet-Team Bescheid geben, dass wir das tun sollen.
- Ab dann funktioniert der User per API, kann sich aber nicht mehr im SCM anmelden.
...
Customer aus Sectigo Sicht ist immer ACOnet, der korrekte Wert ist also 'customerUri: ACOnet'
...
Um Zertifikate (Client oder SSL) per API beantragen zu können ist es notwendig, die Option 'Web API' im jeweiligen Register anzuhaken. Es ist auch notwendig, einen 'Secret Key' zu vergeben, welcher allerdings für das REST-API nicht in Verwendung ist (dieser Key würde für die alte SOAP API verwendet werden).
...
Anzeigen der eigenen Organisation(en) ink. dazugehöriger Informationen:
...
Die Zertifikate können unter 'My Dashboard' heruntergeladen werden. Dazu den 'download-Button' neben dem jeweiligen Zertifikat wählen, was folgenden Dialog öffnet:
Am einfachsten ist es, das 'PEM bundle' zu verwenden, welches in der zur Verfügung gestellten Form ohne Änderungen am Webserver verwendet werden kann.
| Info | ||
|---|---|---|
| ||
Ältere Clients haben möglicherweise nicht das aktuelle 'Root Zertifikat' aus 2021 von Harica im 'Truststore', was dazu führt, das dem Zertifikat nicht vertraut wird. |
S/MIME (Email bzw. Client) Zertifikate
Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen die folgenden für das TCS relevant sind:
Sponsor-validated
- Organization-validated
- Domain-validated
Folgend sind Details zu den beiden Typen zu finden:
| Anker | ||||
|---|---|---|---|---|
|
Sponsor-validated
Organization-validated
Domain-validated
Zertifikatsaustellung
Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.
| Anker | ||||
|---|---|---|---|---|
|
tbd
| Anker | ||||
|---|---|---|---|---|
|
Harica betreibt kein spezielles SAML Self Service Portal für S/MIME Zertifikate, sondern integriert die Funktionalität in den Harica Certificate Manager.
Um den Usern die Möglichkeit zu geben, Email-Zertifikate auszustellen, die sowohl individuelle als auch organisatorische Eigenschaften beinhalten (IV+OV bzw. Sponsor Validated (SV) S/MIME), muss diese Funktionalität erst aktiviert werden:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' – 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Dort sehen sie rechts oben das 'Brief' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität aktivieren.
Wenn sich nun ein User föderiert anmeldet ('Academic Login') und ein Email-Zertifikat ('For enterprises or organizations (IV+OV)' (ganz unten in der Auswahl)) beantragt, ist das Hochladen eines Ausweisdokuments nicht mehr notwendig und die entsprechenden Felder sind auf Grund der Attribute, die vom IdP übertragen werden, vorausgefüllt.
Zu beachten ist, dass aktuell – auch wenn mehrere Email-Adressen übertragen werden, nur die erste Email-Adressen für das Zertifikat verwendet wird. In Zukunft werden bis zu 3 Adressen erlaubt sein, wobei der User wählen kann, welche davon im Zertifikat verwendet werden sollen.
Im weiteren Verlauf können die Informationen nur bestätigt, aber nicht verändert werden. Nach Validierung der Gültigkeit der Email-Adresse (Bestätigungs-Email) gibt es im Dashboard einen neuen Abschnitt 'Ready Certificates'. Dort kann dann das tatsächliche Zertifikat mit einem Klick auf 'Enroll your Certificate' ausgestellt werden.
Folgende Attribute müssen vom IdP gesendet werden:
- givenName (oid:2.5.4.42)
- surname (oid:2.5.4.4)
- mail (oid:0.9.2342.19200300.100.1.3)
- edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
- eduPersonEntitlement (oid:1.3.6.1.4.1.5923.1.1.1.7), mit einem der folgenden Werte:
- urn:mace:terena.org:tcs:personal-user
oder - urn:mace:terena.org:tcs:smime-sv-autoissue
- urn:mace:terena.org:tcs:personal-user
Im Profil des angemeldeten Users (Klick auf den Namen rechts oben) können unter 'View Login Information' die gesendeten Attribute angesehen werden.
| Anker | ||||
|---|---|---|---|---|
|
Code Signing Zertifikate sind nicht im TCS Portfolio enthalten. CS Zertifikate können aber bei Harica zum angezeigten Preis erworben werden.
| Anker | ||||
|---|---|---|---|---|
|
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
| Anker | ||||
|---|---|---|---|---|
|
| Anker | ||||
|---|---|---|---|---|
|
ACME Enterprise Accounts können nur von einem 'Enterprise Admin' erstellt werden. Diese Accounts verwenden ausschliesslich bereits validierte Domains, weshalb auch keine ACME-Challenges notwendig sind.
Weiters ist eine sehr granulare Einschränkung auf Domains und/oder Hostnamen, für die im jeweiligen Account Zertifikate ausgestellt werden können, möglich. Auch der Typ des Zertifikats, also OV oder DV, ist in der Konfiguration des Accounts möglich.
Zur Erstellung eines Account ist folgendermaßen vorzugehen:
Unter 'Enterprise' - 'Admin' findet sich der Tab 'ACME'
Mit dem Button 'Create +' kann ein neuer Account hinzugefügt werden. Hier (falls mehrere verfügbar) die Organisation wählen, ebenso den Zertifikatstyp und einen Namen für den Account vergeben. Diese Auswahl kann nachträglich nicht mehr geändert werden.
An dieser Stelle kann noch keine Auswahl der verfügbaren Domains gemacht werden. Nach Zustimmung zu den Richtlinien kann der Account mit 'Create' erstellt werden.
Nach einem Klick auf den erstellten Account öffnet sich dessen Detailansicht:
In dieser Ansicht sind neben den notwendigen Zugriffsdaten unter dem Tab 'Details', auch die ausgestellten Zertifikate unter dem Tab 'Certificates', sowie der Tab 'Domains' zur Konfiguration der verfügbaren bzw. erlaubten Domains ersichtlich.
| Anker | ||||
|---|---|---|---|---|
|
| Info | ||
|---|---|---|
| ||
Ohne definierte Regeln für die Domains ist die Ausstellung von Zertifikaten nicht möglich, auch nicht wenn der ACME Account für alle vorhandenen Domains gelten soll. Dafür im Tab 'Domains' die gewünschten Domains aus der linken Tabelle ('Available Domains') mit dem kleinen grauen '+' wählen, Details festlegen und hinzufügen. Erst wenn die gewünschten Domains in der rechten, oberen Tabelle ('Active Rules') aufscheinen, können dafür per ACME Zertifikate ausgestellt werden. |
Beispiele für die Verwendung des so erstellten Accounts:
certbot certonly --standalone --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>oder
lego --accept-tos --server <Server URL> --email <eigene Mailadresse> --domains <FQDN des Zertifikats> --eab --kid <Key ID> --hmac <HMAC Key> --http run
| Info | ||
|---|---|---|
| ||
<Key ID>, <HMAC Key> und <Server URL> bitte genauso eingeben, wie sie im Tab 'Details' angegeben sind. Auch die Angabe einer Mailadresse ist zwingend notwendig. |
| Anker | ||||
|---|---|---|---|---|
|
Nur verfügbar wenn ein Enterprise Admin diese Funktion freischaltet, dann aber für alle dieser Enterprise zugeordneten User. Diese ACME Accounts müssen für die Ausstellung von Zertifikaten eine ACME-Challenge (DNS-01 oder HTTP-01) verwenden und es werden ausschliesslich DV Zertifikate ausgestellt.
Freischaltung der ACME Personal Accounts:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Dort sehen sie rechts oben das 'Tags' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität '#ACME-Personal' aktivieren.
Diese Einstellung bewirkt einen neuen Menüpunkt 'ACME' im Harica Certificate Manager:
Hier können nun bis zu 3 ACME Accounts pro User erstellt werden.
Beispiel für die Verwendung des so erstellten Accounts:
certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats> Die Angabe einer Mailadresse ist zwingend notwendig
| Anker | ||||
|---|---|---|---|---|
|
Infos zur verfügbaren API sind unter https://guides.harica.gr/docs/Guides/Developer/ und https://developer.harica.gr verfügbar.
Beispiele für die API Verwendung:
Go
Java
Perl
PHP
- Python