TCS steht für Terena Certificate Service.
TERENA, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Firma Comodo abgeschlossen und stellt dieses Service als TERENA Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.
ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können auf Basis der Zusatzvereinbarung zur ACOnet‐Teilnahmevereinbarung betreffend die Nutzung des TERENA Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden.
TCS Administratoren haben im TCS Portal einen Bereich in dem sie beantragte Zertifikate ihrer ACOnet Teilnehmerorganisation sehen, bestätigen, ablehnen oder widerrufen können. Jeder ACOnet Teilnehmer der das Zertifikatsservice nutzen will, muss zumindest einen, sollte aber mehr als einen, TCS Administrator angeben und diesen in die Zusatzvereinbarung eintragen.
Bevor ein SSL-Zertifikat für einen Domain-Namen ausgestellt werden kann, wird überprüft, ob die Person, die das Zertifikat beantragt auch "Kontrolle" über den Domain-Namen hat. Dies gewährleistet, dass Zertifikate nur für Berechtigte, ie die Domain Kontrollierende ausgestellt werden.
Um dies zu überprüfen, wird ein Email mit einem eindeutigen Code an eine Adresse aus einem definierten Satz von Adressen geschickt und dieser Code muss zur Validierung auf einer Webseite von Comodo eingegeben werden (Email Challenge-Response Verfahren).
Erst nach dieser Validierung wird das Zertifikat ausgestellt.
Folgende 5 generische Emailadressen sind verfügbar:
Darüber hinaus sind alle Emailadressen verfügbar, die im 'whois-record' der Domain als tech- oder admin-contact gelistet sind.
Die generischen Emailadressen sind nicht nur für den Domainnamen des Zertifikats verfügbar, sondern auch für Domains "darüber":
Z.B. um ein Zertifikat für www.bla.muh.ac.at zu erhalten, stehen folgende Domains für die DCV Emailadressen zur Verfügung:
Um in der Liste aufzuscheinen muss die ACOnet-Teilnehmerorganisation eine Zusatzvereinbarung mit ACOnet unterzeichnen.
Falls Sie nicht zur IT-Abteilung Ihrer Organisation gehören, fragen Sie bitte zuerst dort nach ob eine Zusatzvereinbarung bereits vorliegt.
Als IT-Verantwortlicher:
Falls Sie die Zusatzvereinbarung bereits an uns geschickt haben und schon mehrere Tage keine Rückmeldung von uns bekommen haben, fragen Sie bitte unter admin(at)aco.net nach oder rufen Sie uns an unter der Nummer: +43-1-4277-14030
Für die Beantragung eines Zertifikats ist keine Anmeldung am Portal notwendig. Folgen sie der Anleitung zur Beantragung von Server- und Code Signing Zertifikaten.
Eine Anmeldung am TCS-Portal ist nur für die Administration von Zertifikaten und somit für TCS-Administratoren notwendig. Zur Anmeldung ist ein ACOnet-Portal Account nötig (siehe FAQs zu ACOnet Webportal).
Wahrscheinlich haben Sie vergessen, die Intermediate Zertifikate mitzugeben (siehe [Verwendung des Zertifikats mit Apache HTTP Server|#apache]). Es ist essentiell wichtig, dass die beiden Intermediate-Zertifikate am Server mitgelinkt werden.
Das ausgestellte Zertifikat müssen Sie mit den sogenannten Intermediate-Zertifikaten in Ihre Applikation einbauen. Beim Apache HTTP Server sieht das beispielsweise folgendermaßen aus:
SSLEngine on SSLCertificateFile /etc/httpd/ssl.crt/certificate.pem SSLCACertificateFile /etc/httpd/ssl.crt/chain.pem SSLCertificateKeyFile /etc/httpd/ssl.crt/certificate.key |