TCS steht für Trusted Certificate Service.
GEANT, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Harica als CA (Certificate Authority) abgeschlossen und stellt dieses Service als Trusted Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.
ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können, auf Basis der Zusatzvereinbarung zur ACOnet‐Teilnahmevereinbarung betreffend die Nutzung des Trusted Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden, siehe auch http://tcs.aco.net/.
Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eine/n, sollte aber mehr als eine/n, TCS Administrator/in angeben und diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen haben im Portal die Möglichkeit, beantragte Zertifikate ihrer eigenen Organisation zu sehen, zu bestätigen, abzulehnen oder zu widerrufen. Im Portal von Harica werden diese Admins als Enterprise Admins bezeichnet.
Bei der Registrierung einer neuen Domain, wird mittels DCV automatisiert überprüft, ob die Person, die die Validierung einer Domain angestossen hat (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen hat.
Es gibt 2 Möglichkeiten:
1. Email:
Hierzu sendet der DCV Mechanismus ein E-Mail mit einem jeweils eindeutigen Code an einen definierten Satz von Adressen. Dieser Code wird durch den/die Empfänger dieser DCV Mails zur Validierung auf einer Webseite validiert (Email Challenge-Response Verfahren).
Erst nach dieser Validierung (bei Multi-Domain-Zertifikaten je Domain) wird das Zertifikat ausgestellt.
Folgende 5 generischen Email-Adressen stehen immer zur Verfügung:
2. DNS CNAME
Es wird ein hash erzeugt, der als DNS CNAME record für die Domain eingetragen werden muss und überprüft wird.
Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.
Die Beilage 2 dient zum Anlegen einer Organisation bei Harica. Folgende Dinge sind dabei zu beachten:
Da das Organisations Feld im Subject eines X509 Zertifikats maximal 64 Zeichen lang sein darf , darf auch die Bezeichnung der Organisation in Beilage 2 nicht länger als 64 Zeichen sein, wobei Sonderzeichen, z.B. Umlaute, als 2 Zeichen zu zählen sind. siehe auch Was ist ein TCS-Admin?
In der Beilage 3 sind uns die Organisations Administratoren zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:
Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.
Für das Anlegen bzw. Berechtigen weiterer Admins gibt es 3 Möglichkeiten:
Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.
Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Harica für diese Domain verhindert. Falls dem so ist, können keine Zertifikate für diese Domain ausgestellt werden. Einfacher check: |
Starten der Validierung:
Wählen sie → Domain wählen, die sie validieren wollen → → Methode wählen (zu den Methoden, siehe Was ist DCV?)
DCV kann jederzeit erneut angestossen werden. Eine automatische Re-Validierung von Domains durch Harica passiert nicht, diese muss also manuell angestossen werden.
Bis wann die Validierung gültig ist, finden sie
Domains können nicht selbst gelöscht werden. Falls eine Domain gelöscht werden soll, kontaktieren sie bitte den Harica Support.
Um Probleme bei der Beantragung von Zertifikaten zu vermeiden, empfielt es sich, nur den CN bei der Erstellung des CSR anzugeben. Die anderen Felder werden beim Zertifikatsantrag ignoriert.
Beispiele für das Erstellen des CSR
EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (Google Chrome Announcement, Mozilla Firefox Announcement) keinen signifikanten Vorteil im Vergleich zu OV (Organization Validated) Zertifikaten mehr. EV Zertifikate sind auch nicht im TCS Portfolio enthalten. Sollten sie trotzdem ein Extended Validation Zertifikat beziehen wollen, kontaktieren sie bitte den Harica Support.
Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen die folgenden für das TCS relevant sind:
Sponsor-validated
Folgend sind Details zu den beiden Typen zu finden:
Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net