TCS steht für Trusted Certificate Service.
GEANT, der Verband europäischer Wissenschaftsnetze, hat einen Rahmenvertrag über die Vergabe und Verwaltung von X.509 Zertifikaten mit der Harica als CA (Certificate Authority) abgeschlossen und stellt dieses Service als Trusted Certificate Service (TCS) allen teilnehmenden Wissenschaftsnetzen zur Verfügung.
ACOnet ist diesem Vertrag ebenfalls beigetreten und stellt Zertifikate für ACOnet Teilnehmer unentgeltlich und in unlimitierter Anzahl zur Verfügung. ACOnet Teilnehmerorganisationen können, auf Basis der Zusatzvereinbarung zur ACOnet‐Teilnahmevereinbarung betreffend die Nutzung des Trusted Certificate Service, TCS Zertifikate beantragen. Die Zusatzvereinbarung muss von einer für die teilnehmende Institution zeichnungsberechtigten Person im Original unterfertigt und mit den geforderten Beilagen per Post an ACOnet gesendet werden, siehe auch http://tcs.aco.net/.
Jede ACOnet Teilnehmerorganisation die das Zertifikatsservice nutzen will, muss zumindest eine/n, sollte aber mehr als eine/n, TCS Administrator/in angeben und diese/n in die Zusatzvereinbarung eintragen. Für entsprechend authentifizierte und autorisierte TCS AdministratorInnen haben im Portal die Möglichkeit, beantragte Zertifikate ihrer eigenen Organisation zu sehen, zu bestätigen, abzulehnen oder zu widerrufen. Im Portal von Harica werden diese Admins als Enterprise Admins bezeichnet.
Bei der Registrierung einer neuen Domain, wird mittels DCV automatisiert überprüft, ob die Person, die die Validierung einer Domain angestossen hat (TCS-Admin), auch "Kontrolle" über den bzw die Domain-Namen hat.
Es gibt 2 Möglichkeiten:
1. Email:
Hierzu sendet der DCV Mechanismus ein E-Mail mit einem jeweils eindeutigen Code an einen definierten Satz von Adressen. Dieser Code wird durch den/die Empfänger dieser DCV Mails zur Validierung auf einer Webseite validiert (Email Challenge-Response Verfahren).
Erst nach dieser Validierung (bei Multi-Domain-Zertifikaten je Domain) wird das Zertifikat ausgestellt.
Folgende 5 generischen Email-Adressen stehen immer zur Verfügung:
2. DNS CNAME
Es wird ein hash erzeugt, der als DNS CNAME record für die Domain eingetragen werden muss und überprüft wird.
Der HARICA Support steht allen Teilnehmern unter support-tcs@harica.gr zur Verfügung.
Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:
Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..
Die TCS-Zusatzvereinbarung ist in der aktuell gültigen Version unter https://www.aco.net/tcs.html zu finden.
Die Beilage 2 dient zum Anlegen einer Organisation bei Harica. Folgende Dinge sind dabei zu beachten:
Da das Organisations Feld im Subject eines X509 Zertifikats maximal 64 Zeichen lang sein darf , darf auch die Bezeichnung der Organisation in Beilage 2 nicht länger als 64 Zeichen sein, wobei Sonderzeichen, z.B. Umlaute, als 2 Zeichen zu zählen sind. siehe auch Was ist ein TCS-Admin?
In der Beilage 3 sind uns die Organisations Administratoren zu nennen. Diese Adminstratoren haben unter anderem folgende Berechtigungen:
User können und müssen im Harica Portal selbst angelegt werden. Die initiale Zuordnung zu einer Organisation erfolgt anhand des Domainteils der angegebenen E-Mail-Adresse. Diese muss mit einer in der Organisation registrierten Domain übereinstimmen.
Die initialen Admins werden auf Grund der Informationen in der Beilage 3 der TCS Zusatzvereinbarung angelegt. Siehe auch Informationen zu Beilage 3.
Für das Anlegen bzw. Berechtigen weiterer Admins gibt es 3 Möglichkeiten:
Um ihre Organisation zu validieren, gehen sie wie folgt vor:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Durch Klicken auf das Symbol 'Datei' oben rechts gelangen Sie zu einem Dialog, in dem Sie die entsprechenden Dokumente hochladen können.
Detailierte Informationen entnehmen sie bitte dem Enterprise Admin Guide Abschnitt E - 'Submit Legal Evidence for Identity Validation' .
Harica ist bemüht die Validierungen von Organisationen so einfach wie möglich zu gestalten.
Ausgangspunkt der Validierung sind entsprechende Dokumente, die die rechtmäßige Existenz der Organisation belegen.
Beispiele dafür:
Sollte nichts davon möglich sein beginnen sie mit einer einfachen Textdatei, in der sie die rechtmäßige Existenz der Organisation beschreiben. Harica wird dann versuchen entsprechende Dokumentation zu finden. Ist das nicht möglich werden sie von Harica kontaktiert, um gemeinsam eine Lösung zu finden.
Bei Problemen stehen wir ihnen natürlich auch hier unter tcs@aco.net hilfreich zur Seite.
Sollte eine Änderung des Organisationsnamen nötig sein, so ist das nur über den HARICA Support möglich. Eine Änderung ist an zwei Stellen nötig:
Bevor sie Zertifikate beantragen können, müssen sie die entsprechenden Domains angelegt und validiert haben.
Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Mit einem Klick auf das Globus-Symbol oben rechts gelangen Sie zu einem Dialog, mit dem Sie neue Domänen anlegen können.
Die anzulegenden Domains können nur mittels Textfile (CSV) hochgeladen werden. Sie können sich auf der Seite eine Beispieldatei herunterladen, das Format ist aber sehr simpel:
Domain domain1.ac.at domain2.at domain3.gv.at usw. |
Überprüfen sie, ob ein CAA record für die entsprechende Domain existiert, der die Ausstellung von Zertifikaten durch Harica für diese Domain verhindert. Falls dem so ist, können keine Zertifikate für diese Domain ausgestellt werden. Einfacher check: |
Starten der Validierung:
Klicken sie unter 'Enterprise' auf 'Admin' um in die Organisations-Administration zu gelangen. Dann wählen sie ihre Organisation und im Reiter 'Domains' klicken sie auf 'Validate Domain' neben der zu validierenden Domain.
Dann wählen sie den gewünschten 'Validation Type'.
Im Falle von 'Constructed Email to Domain Contact' wählen sie danach die gewünschte Email-Adresse und klicken Submit. Sie bekommen dann ein Email mit einem Validierungslink. Zu beachten ist , dass der Link im versendeten Email nur für jenen Account gilt, der die Validierung ausgelöst hat. Mit jedem anderen Account bekommen sie einen 404 Error.
Im Falle von 'DNS Change' wird ein Email mit dem im DNS einzutragenden TXT Record an die von ihnen angegebene Email-Adresse geschickt.
DCV kann jederzeit erneut angestossen werden. Eine automatische Re-Validierung von Domains durch Harica passiert nicht, diese muss also manuell angestossen werden.
Das Datum, bis wann die Validierung gültig ist, finden sie neben der Domain.
Domains können nicht selbst gelöscht werden. Falls eine Domain gelöscht werden soll, kontaktieren sie bitte den Harica Support.
Im TCS Portfolio sind die folgenden Zertifikatstypen enthalten:
Für alle anderen Zertifikatstypen gelten die im Portal angezeigten Preise..
Um Probleme bei der Beantragung von Zertifikaten zu vermeiden, empfielt es sich, nur den CN bei der Erstellung des CSR anzugeben. Die anderen Felder werden beim Zertifikatsantrag ignoriert.
Beispiele für das Erstellen des CSR
Aktuell ist die maximale Anzahl von SANs in einem Zertifikat 100. |
Vor der Ausstellung eines Zertifikats muß der Zertifikatsantrag bestätigt werden. Dafür ist die Rolle 'Enterprise Approver' nötig. Zu beachten ist, dass Zertifikatsanträge nicht vom selben Account bestätigt werden dürfen und können, der den Zertifikatsantrag gestellt hat, unabhängig von dessen Rolle. |
EV Zertifikate haben auf Grund der Entscheidung der Browser Hersteller (Google Chrome Announcement, Mozilla Firefox Announcement) keinen signifikanten Vorteil im Vergleich zu OV (Organization Validated) Zertifikaten mehr. EV Zertifikate sind auch nicht im TCS Portfolio enthalten. Sollten sie trotzdem ein Extended Validation Zertifikat beziehen wollen, kontaktieren sie bitte den Harica Support.
Die Zertifikate können unter 'My Dashboard' heruntergeladen werden. Dazu den 'download-Button' neben dem jeweiligen Zertifikat wählen, was folgenden Dialog öffnet:
Am einfachsten ist es, das 'PEM bundle' zu verwenden, welches in der zur Verfügung gestellten Form ohne Änderungen am Webserver verwendet werden kann.
Ältere Clients haben möglicherweise nicht das aktuelle 'Root Zertifikat' aus 2021 von Harica im 'Truststore', was dazu führt, das dem Zertifikat nicht vertraut wird. |
Seit 01.09.2023 sind auch für die Ausstellung und Verwaltung von S/MIME Zertifikaten 'Baseline Requirements' des CA/Browser Forums in Kraft. Diese definieren 4 Zertifikatstypen, von denen die folgenden für das TCS relevant sind:
Sponsor-validated
Folgend sind Details zu den beiden Typen zu finden:
Für die Ausstellung von persönlichen Zertifikaten ('Client Certificates') stehen die unten angeführten Methoden zur Verfügung. Natürlich ist das Austellen von persönlichen Zertifikaten auch über die API möglich.
tbd
Harica betreibt kein spezielles SAML Self Service Portal für S/MIME Zertifikate, sondern integriert die Funktionalität in den Harica Certificate Manager.
Um den Usern die Möglichkeit zu geben, Email-Zertifikate auszustellen, die sowohl individuelle als auch organisatorische Eigenschaften beinhalten (IV+OV bzw. Sponsor Validated (SV) S/MIME), muss diese Funktionalität erst aktiviert werden:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' – 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Dort sehen sie rechts oben das 'Brief' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität aktivieren.
Wenn sich nun ein User föderiert anmeldet ('Academic Login') und ein Email-Zertifikat ('For enterprises or organizations (IV+OV)' (ganz unten in der Auswahl)) beantragt, ist das Hochladen eines Ausweisdokuments nicht mehr notwendig und die entsprechenden Felder sind auf Grund der Attribute, die vom IdP übertragen werden, vorausgefüllt.
Zu beachten ist, dass aktuell – auch wenn mehrere Email-Adressen übertragen werden, nur die erste Email-Adressen für das Zertifikat verwendet wird. In Zukunft werden bis zu 3 Adressen erlaubt sein, wobei der User wählen kann, welche davon im Zertifikat verwendet werden sollen.
Im weiteren Verlauf können die Informationen nur bestätigt, aber nicht verändert werden. Nach Validierung der Gültigkeit der Email-Adresse (Bestätigungs-Email) gibt es im Dashboard einen neuen Abschnitt 'Ready Certificates'. Dort kann dann das tatsächliche Zertifikat mit einem Klick auf 'Enroll your Certificate' ausgestellt werden.
tbd
Für die Aktivierung/Freischaltung von IGTF SSL Zertifikaten kontaktieren sie bitte das ACOnet Team unter tcs@aco.net
ACME Enterprise Accounts können nur von einem 'Enterprise Admin' erstellt werden. Diese Accounts verwenden ausschliesslich bereits validierte Domains, weshalb auch keine ACME-Challenges notwendig sind.
Weiters ist eine sehr granulare Einschränkung auf Domains und/oder Hostnamen, für die im jeweiligen Account Zertifikate ausgestellt werden können, möglich. Auch der Typ des Zertifikats, also OV oder DV, ist in der Konfiguration des Accounts möglich.
Zur Erstellung eines Account ist folgendermaßen vorzugehen:
Unter 'Enterprise' - 'Admin' findet sich der Tab 'ACME'
Mit dem Button 'Create +' kann ein neuer Account hinzugefügt werden. Hier (falls mehrere verfügbar) die Organisation wählen, ebenso den Zertifikatstyp und einen Namen für den Account vergeben. Diese Auswahl kann nachträglich nicht mehr geändert werden.
An dieser Stelle kann noch keine Auswahl der verfügbaren Domains gemacht werden. Nach Zustimmung zu den Richtlinien kann der Account mit 'Create' erstellt werden.
Nach einem Klick auf den erstellten Account öffnet sich dessen Detailansicht:
In dieser Ansicht sind neben den notwendigen Zugriffsdaten unter dem Tab 'Details', auch die ausgestellten Zertifikate unter dem Tab 'Certificates', sowie der Tab 'Domains' zur Konfiguration der verfügbaren bzw. erlaubten Domains ersichtlich. Ohne definierte Regeln für die Domains ist die Ausstellung von Zertifikaten nicht möglich.
Beispiele für die Verwendung des so erstellten Accounts:
certbot certonly --standalone --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>
oder
lego --accept-tos --server <Server URL> --email <eigene Mailadresse> --domains <FQDN des Zertifikats> --eab --kid <Key ID> --hmac <HMAC Key> --http run
Die Angabe einer Mailadresse ist zwingend notwendig
Nur verfügbar wenn ein Enterprise Admin diese Funktion freischaltet, dann aber für alle dieser Enterprise zugeordneten User. Diese ACME Accounts müssen für die Ausstellung von Zertifikaten eine ACME-Challenge (DNS-01 oder HTTP-01) verwenden und es werden ausschliesslich DV Zertifikate ausgestellt.
Freischaltung der ACME Personal Accounts:
Im Harica Certificate Manager wählen sie dazu 'Enterprise' - 'Admin' und klicken auf die dort angezeigte Organisation. Es geht dann ein zusätzliches 'Fenster' auf, wo sie den Tab 'Enterprises' und 'Domains' sehen. Ein Klick auf z.B. den Legal Name der Organisation im 'Enterprises' Tab öffnet die Detailansicht der Organisation.
Dort sehen sie rechts oben das 'Tags' Symbol und nach einem Klick auf das Symbol öffnet sich ein Fenster in dem sie die Funktionalität '#ACME-Personal' aktivieren.
Diese Einstellung bewirkt einen neuen Menüpunkt 'ACME' im Harica Certificate Manager:
Hier können nun bis zu 3 ACME Accounts pro User erstellt werden.
Beispiel für die Verwendung des so erstellten Accounts:
certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>
Die Angabe einer Mailadresse ist zwingend notwendig
Infos zur verfügbaren API sind unter https://guides.harica.gr/docs/Guides/Developer/ und https://developer.harica.gr verfügbar.
Beispiele für die API Verwendung:
Go
Java
Perl
PHP