...
- Zertifikatstypen
- Erstellen eines CSR (Certificate Signing Request)
- Beantragung von TLS-Zertifikaten
- EV (Extended Validation) Zertifikate
- Empfang und Verwendung der Zertifikate
S/MIME (Email bzw. Client) Zertifikate
Code Signing Zertifikate
Grid bzw. IGTF SSL Zertifikate
ACME Verwendung
...
| Info | ||
|---|---|---|
| ||
Ältere Clients haben möglicherweise nicht das aktuelle 'Root Zertifikat' aus 2021 von Harica im 'Truststore', was dazu führt, das dem Zertifikat nicht vertraut wird. |
| Anker | ||||
|---|---|---|---|---|
|
Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen die folgenden für das TCS relevant sind:
...
Folgend sind Details zu den beiden im TCS Portfolio verfügbaren Typen zu finden:
| Anker | ||||
|---|---|---|---|---|
|
For enterprises or organizations (IV+OV) - Sponsor-validated
Organization-validated
Dieser Zertifikatstyp beinhaltet neben der Mailadresse auch den Namen und die Organisation.
Email-only - Domain-validated
Dieser Zertifikatstyp beinhaltet nur die Mailadresse.
Zertifikatsaustellung
Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.
| Anker | ||||
|---|---|---|---|---|
|
tbd
...
Harica betreibt kein spezielles SAML Self Service Portal für S/MIME Zertifikate, sondern integriert die Funktionalität in den Harica Certificate Manager.
Um den Usern die Möglichkeit zu geben, Email-Zertifikate auszustellen, die sowohl individuelle als auch organisatorische Eigenschaften beinhalten (IV+OV bzw. Sponsor Validated (SV) S/MIME), muss diese Funktionalität erst aktiviert werden:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' – 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Dort sehen sie rechts oben das 'Brief' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität aktivieren.
Wenn sich nun ein User föderiert anmeldet ('Academic Login') und ein Email-Zertifikat ('For enterprises or organizations (IV+OV)' (ganz unten in der Auswahl)) beantragt, ist das Hochladen eines Ausweisdokuments nicht mehr notwendig und die entsprechenden Felder sind auf Grund der Attribute, die vom IdP übertragen werden, vorausgefüllt.
Zu beachten ist, dass aktuell – auch wenn mehrere Email-Adressen übertragen werden, nur die erste Email-Adressen für das Zertifikat verwendet wird. In Zukunft werden bis zu 3 Adressen erlaubt sein, wobei der User wählen kann, welche davon im Zertifikat verwendet werden sollen.
Im weiteren Verlauf können die Informationen nur bestätigt, aber nicht verändert werden. Nach Validierung der Gültigkeit der Email-Adresse (Bestätigungs-Email) gibt es im Dashboard einen neuen Abschnitt 'Ready Certificates'. Dort kann dann das tatsächliche Zertifikat mit einem Klick auf 'Enroll your Certificate' ausgestellt werden.
Folgende Attribute müssen vom IdP gesendet werden:
...
Jeder bei Harica angelegte Account, dessen Mail-Adresse über den Domain-Teil einer Organisation zuordenbar ist, kann die Ausstellung von S/MIME Zertifikaten beantragen.
Email-only
Für die Ausstellung dieses Zertifikatstyps wird nur ein Email zur Bestätigung an die angegebene Mailadresse verschickt. Die Intervention eines Administrators ist nicht notwendig.
For enterprises or organizations (IV+OV)
Für die Ausstellung dieses Zertifikatstyps ist das Hochladen eines Ausweisdokuments notwendig. Der Antrag wird nach Prüfung durch Harica freigegeben. Bevor das Zertifikat ausgestellt wird, muss der Antrag auch von einem Administrator der Organisation bestätigt werden.
| Anker | ||||
|---|---|---|---|---|
|
Harica betreibt kein spezielles SAML Self Service Portal für S/MIME Zertifikate, sondern integriert die Funktionalität in den Harica Certificate Manager.
Um den Usern die Möglichkeit zu geben, Email-Zertifikate auszustellen, die sowohl individuelle als auch organisatorische Eigenschaften beinhalten (IV+OV bzw. Sponsor Validated (SV) S/MIME), muss diese Funktionalität erst aktiviert werden:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' – 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Dort sehen sie rechts oben das 'Brief' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität aktivieren.
Wenn sich nun ein User föderiert anmeldet ('Academic Login') und ein Email-Zertifikat ('For enterprises or organizations (IV+OV)' (ganz unten in der Auswahl)) beantragt, ist das Hochladen eines Ausweisdokuments nicht mehr notwendig und die entsprechenden Felder sind auf Grund der Attribute, die vom IdP übertragen werden, vorausgefüllt.
Zu beachten ist, dass aktuell – auch wenn mehrere Email-Adressen übertragen werden, nur die erste Email-Adressen für das Zertifikat verwendet wird. In Zukunft werden bis zu 3 Adressen erlaubt sein, wobei der User wählen kann, welche davon im Zertifikat verwendet werden sollen.
Im weiteren Verlauf können die Informationen nur bestätigt, aber nicht verändert werden. Nach Validierung der Gültigkeit der Email-Adresse (Bestätigungs-Email) gibt es im Dashboard einen neuen Abschnitt 'Ready Certificates'. Dort kann dann das tatsächliche Zertifikat mit einem Klick auf 'Enroll your Certificate' ausgestellt werden.
Folgende Attribute müssen vom IdP gesendet werden:
- givenName (oid:2.5.4.42)
- surname (oid:2.5.4.4)
- mail (oid:0.9.2342.19200300.100.1.3)
- edupersonTargetedID (oid:1.3.6.1.4.1.5923.1.1.1.10)
- eduPersonEntitlement (oid:1.3.6.1.4.1.5923.1.1.1.7), mit einem der folgenden Werte:
- urn:mace:terena.org:tcs:personal-user
oder - urn:mace:terena.org:tcs:smime-sv-autoissue
- urn:mace:terena.org:tcs:personal-user
Im Profil des angemeldeten Users (Klick auf den Namen rechts oben) können unter 'View Login Information' die gesendeten Attribute angesehen werden.
| Anker | ||||
|---|---|---|---|---|
|
Code Signing Zertifikate sind nicht im TCS Portfolio enthalten. CS Zertifikate können aber bei Harica zum angezeigten Preis erworben werden.
| Anker | ||||
|---|---|---|---|---|
|
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
IGTF OV Server Zertifikate
Organisationen können dann im Rahmen des normalen Serverzertifikat Beantragungs-Workflows ein IGTF-Serverzertifikat beantragen, indem sie das entsprechende Kästchen ankreuzen:
IGTF Personal / Personal Automated Zertifikate
Für Benutzer, die sich über SAML bei CertManager anmelden und deren IdP sowohl den eduPersonPrincipalName (ePPN) als auch die Berechtigung
...
urn:mace:terena.org:tcs:personal-user
...
bereitstellt, stehen die folgenden Optionen zur Verfügung:
- GÉANT Personal Authentication
- GÉANT Personal Automated Authentication
Wenn das IGTF-Organisations-Tag aktiviert ist, steht zusätzlich die Option „GÉANT Organization Automated Authentication” zur Verfügung.
Der SubjectDN wird automatisch in ASCII umgewandelt. Wenn jedoch ein benutzerdefinierter ASCII-Name erforderlich ist, kann eine diesbezügliche Anfrage direkt an den HARICA-Support unter support-tcs@harica.gr gesendet werden.
Im Profil des angemeldeten Users (Klick auf den Namen rechts oben) können unter 'View Login Information' die gesendeten Attribute angesehen werden.
...
Code Signing Zertifikate sind nicht im TCS Portfolio enthalten. CS Zertifikate können aber bei Harica zum angezeigten Preis erworben werden.
...
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
| Anker | ||||
|---|---|---|---|---|
|
...