HARICA ist Teil des griechischen Universitätsnetzes GUnet und als Vertrauensdiensteanbieter seit vielen Jahren etabliert. https://www.harica.gr/
Der aktuelle Auftrag von DFN an HARICA ist zeitlich befristet, um in der aktuellen Situation ein kontinuierliches Dienstangebot sicherstellen zu können. Wir arbeiten, auch gemeinsam mit GÉANT, daran, eine dauerhafte Lösung zu finden, die keine weiteren kurzfristigen Migrationen erfordert.
Die derzeitige Funktionalität der Systeme von HARICA ist für eine Basisversorgung ausreichend. Es können aber derzeit nicht alle bisher angebotenen Workflows umgesetzt werden. HARICA arbeitet mit Hochdruck an einer Ausweitung der Systeme.
HARICA hat seinen Sitz in Griechenland. Die Datenschutzerklärung finden Sie unter https://repo.harica.gr/documents/Data-Privacy-Statement-EN.pdf
Im Laufe des Dezembers bringen wir die DFN-Teilnehmer, zunächst mit Basisfunktionalitäten, in das HARICA-System hinein. Die Migration aller Einrichtungen wird rechtzeitig vor dem 10.01.2025 abgeschlossen sein. Wir werden hierzu die Basis-Daten der teilnehmenden Organisationen inklusive der ersten Ansprechpersonen in das System von HARICA übermitteln, und Sie informieren, wenn ein Zugang besteht.
Die Verfügbarkeit von organisationsvalidierten Zertifikaten (OV) hängt von der Geschwindigkeit ab, mit der HARICA die Organisationsvalidierungen durchführen kann.
Im HARICA-System gibt es die Rolle des Users ohne erhöhte Rechte. Diese Rolle kann für sich Zertifikate beantragen.
Daneben gibt es die Rolle „Enterprise Admin“, die für die Verwaltung der Zertifikate einer Organisation zuständig ist. Ein Enterprise Admin muss Serverzertifikate genehmigen, und Domains verwalten. Bereits bestehende User können von ti-services@dfn-cert.de in die Rolle Enterprise Admin gebracht werden.
Enterprise Admins müssen Zwei-Faktor-Authentifizierung per TOTP in ihrem Profil angeschaltet haben. Hierzu klickt man rechts oben den eigenen Namen an, wählt Profile→Two Factor Authentication und folgt den weiteren Anweisungen.
Der DFN-Verein hat eine übergeordnete Rolle „Enterprise Manager“, und kann die Organisationen im System verwalten.
Domains können von der Rolle Enterprise Admin hinzugefügt werden. Hierfür unter dem Menüpunkt „Enterprise→Admin“ im Tab Enterprises die eigene Einrichtung aufrufen. Im großen Dialog steht oben rechts ein kleiner Globus dargestellt. Hierüber kann eine Liste von neuen Domains hochgeladen werden.
Nach dem Hochladen der Domains führt HARICA eine Freigabe durch.
Nach Freigabe muss die Domainvalidierung gestartet werden. Hierzu muss ein Enterprise Admin wieder im Tab Enterprises nach Auswahl der Einrichtung den Untertab „Domains“ auswählen.
Es stehen die Methoden DNS TXT und E-Mail an hostmaster@, postmaster@, admin@, administrator@, webmaster@<domain> zur Verfügung.
Bei der Domain-Validierung wird die E-Mail-Adresse einer Person mit Account im cm.harica.gr abgefragt, die die Validierung durchführen soll. D.h., bei E-Mail-Validierung wird zunächst an eine der generischen Adressen hostmaster@ usw. ein Link übermittelt, der dann von der Person mit dem Account im HARICA-System mit Login aufgerufen werden muss.
Mit einer validierten Domain können bereits Zertifikate ausgestellt werden. Allerdings enthalten die Zertifikate keine Organisationsdaten. Um dies zu ändern, muss eine Organisationsvalidierung durchgeführt werden. Hierzu müssen HARICA Dokumente über die Organisation übermittelt werden.
Im CertManager ist dies unter dem Punkt Enterprise→Admin möglich. Hier muss eine Organisation ausgewählt werden. Mit dem Dokumenten-Icon oben rechts kann dann Dokumentation hochgeladen werden. Wir führen die Organisationsvalidierung gerne mit Ihnen gemeinsam durch.
Eine Auflistung möglicher Dokumente werden wir hier an dieser Stelle veröffentlichen.
Jeder Antragsstellende (S/MIME und Serverzertifikate) benötigt derzeit einen Account im System. Dieser kann durch Selbst-Registrierung mit Aktivierung der E-Mail-Adresse erstellt werden.
Für S/MIME ist eine Lösung ohne Account über die AAI in Arbeit.
Für Serverzertifikate wird es einen ACME-Zugang geben, allerdings sind die Details noch in Absprache.
Beantragung von S/MIME-Zertifikaten ist derzeit nur mit E-Mail-Challenge von Personen möglich, die sich einen Account im CertManager angelegt haben. Nach dem Einloggen kann mit dem Menüpunkt „Email“ links ein Beantragungsprozes gestartet werden.
Im Antragsprozess kann direkt in der Webanwendung ein Schlüsselpaar erzeugt werden. Der Schlüssel wird im PEM-Format heruntergeladen. Nach Zertifikaterstellung kann der User das Zertifikat ebenfalls im PEM-Format herunterlade. Hierbei ist unbedingt darauf zu achten, dass das Format „PEM-Bundle“ ausgewählt wird. Anschließend können diese über eine Web-Anwendung in das für Mail-Clienten üblicherweise erforderliche P12-Format konvertiert werden: https://www.harica.gr/en/Tools/PemToP12
Hinweis: Die Erzeugung von 4096-Bit-Schlüsseln im Browser führt in Chrome derzeit manchmal zu einer hängenden Webseite.
Ist die Organisation noch nicht validiert, ist eine E-Mail-Challenge erforderlich. Das Zertifikat wird anschließend automatisch ausgestellt, und enthält nur die E-Mail-Adresse.
Eine Ausstellung von S/MIME-Zertifikaten über ein Portal mit AAI-Authentifizierung ist in Vorbereitung.
Serverzertifikate erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle „User“ gestellt, und von einem anderen Account mit Rolle „Enterprise Admin“ genehmigt. Auch ein Enterprise Admin kann nicht seine eigenen Anträge genehmigen, sondern benötigt einen zweiten Enterprise Admin.
Der Antragsstellende kann über den Menüpunkt „Server“ links einen Antrag stellen. Die Antragsstellung sollte weitestgehend selbsterklärend sein. Die Erzeugung von 4096-Bit-Schlüsseln im Browser führt in Chrome derzeit manchmal zu einer hängenden Webseite.
Der Enterprise Admin kann den Antrag über den Punkt „Admin→SSL Request“ einsehen und genehmigen.
HARICA unterstützt im Prinzip bereits ACME. Zur Zeit steht dieses Feature aber nicht in einer Form zur Verfügung, die für einen regulären Einsatz geeignet ist. Insbesondere fehlt eine Verwaltung von Accounts für das External Account Binding von prevalidierten Domains.
HARICA bietet ein API an, mit dem Teile der Prozesse gesteuert werden können. Das API ist teilweise dokumentiert unter https://developer.harica.gr
Insbesondere der Login ist derzeit noch recht umständlich. Wir versuchen, Verbesserungen zu bewirken.
Von der Hochschule München gibt es erste Beispiele, die die API nutzen: https://github.com/hm-edu/harica
Generische Anleitungen finden sich unter https://guides.harica.gr
Diese sind in vielen Fällen aber nicht auf den Anwendungsfall einer großen Organisation zugeschnitten.