HARICA ist Teil des griechischen Universitätsnetzes GUnet und als Vertrauensdiensteanbieter seit vielen Jahren etabliert. https://www.harica.gr/

Der aktuelle Auftrag von DFN an HARICA ist zeitlich befristet, um in der aktuellen Situation ein kontinuierliches Dienstangebot sicherstellen zu können. Wir arbeiten, auch gemeinsam mit GÉANT, daran, eine dauerhafte Lösung zu finden, die keine weiteren kurzfristigen Migrationen erfordert.

Die derzeitige Funktionalität der Systeme von HARICA ist für Zertifikatversorgung ausreichend. Es können aber derzeit nicht alle bisher angebotenen Workflows umgesetzt werden. HARICA arbeitet mit Hochdruck an einer Ausweitung des Angebots.

Die Datenschutzerklärung von HARICA finden Sie hier: https://repo.harica.gr/documents/Data-Privacy-Statement-EN.pdf. Darüber hinaus müssen Antragstellende das Subscriber Agreement und die Terms of Use akzeptieren. Diese finden Sie unter https://repo.harica.gr/documents/SA-ToU.pdf.

HARICA ist die verantwortliche Stelle („Data Controller“) für die Verarbeitung der personenbezogenen Daten (vgl. Subscriber Agreement Kapitel 6.10). Die personenbezogenen Daten werden von HARICA gemäß DS-GVO Art. 6 (1) b) (Vertragserfüllung), ggf. in Kombination mit Art. 6 (1) c) (Erfüllung rechtlicher Verpflichtungen, z.B. aus der eIDAS-Verordnung), verarbeitet (vgl. Kapitel 3 der Datenschutzerklärung von HARICA).

Es wird häufiger die Frage gestellt, ob eine Auftragsverarbeitungsvereinbarung zur Nutzung des Dienstes vom DFN-Verein oder von HARICA direkt angeboten wird. Dies ist mit der folgenden Begründung nicht notwendig und wird daher auch weder vom DFN-Verein noch von HARICA angeboten:

Im Rahmen von GÉANT TCS erfolgt die vertragliche Vereinbarung über die Bereitstellung des Zertifikats direkt zwischen HARICA und dem betroffenen Angehörigen des DFN-Teilnehmers. Ausschließlich in diesem Verhältnis werden personenbezogene Daten zur Erstellung und Verwaltung des Zertifikats verarbeitet. Folglich haben weder GÉANT noch der DFN-Verein irgendeinen Zugriff oder Einfluss auf die Verarbeitung personenbezogener Daten bei HARICA. Beiden steht zudem in Bezug auf die Verarbeitung bei HARICA keinerlei Weisungsrecht zu. Das Rahmenvertragswerk zwischen DFN-Verein, GÉANT und HARICA beschränkt sich auf die wirtschaftlichen Konditionen, zu denen Angehörige von DFN-Teilnehmern Produkte von HARICA in Anspruch nehmen können. HARICA entscheidet somit allein über Art, Umfang und Dauer der Verarbeitung aufgrund des Subscriber Agreements mit dem betroffenen Angehörigen des DFN-Teilnehmers und ist somit als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen. Dies schließt die Eigenschaft als Auftragsverarbeiter aus, so dass hier gemäß Art. 28 Abs. 10 DS-GVO schon keine rechtliche Möglichkeit zum Abschluss einer Auftragsverarbeitung besteht.

Organisationen werden von der DFN-PCA im HARICA-System angelegt. Das initiale Setup erfolgt in direkter Absprache mit dfnpca@dfn-cert.de.

User registrieren sich auf https://cm.harica.gr stets selbst. Es gibt keinen Prozess, bei dem ein Admin andere User anlegen kann. Es ist nicht möglich, die Selbst-Registrierung von Usern zu unterbinden. Ebenso gibt es auch keine Möglichkeit, User zu sperren oder zu löschen.

Die bei der Registrierung verwendete E-Mail-Adresse sorgt für die Zuordnung zu einer Einrichtung.

Es stehen die folgenden Arten der Registrierung zur Verfügung:

• Username/Passwort. User können sich über den Link im Text New to HARICA? Sign Up mit Username und Passwort registrieren.
• Über die AAI mit dem Button Academic Login

Bei der Anmeldung über die AAI werden die Namensbestandteile der User derzeit mit einem Sonderzeichen ^dargestellt:

  Vorname^Nachname

Dies hat keine Auswirkung auf die Funktion.

Die Konfiguration erfordert üblicherweise die Mithilfe Ihrer AAI-Administration, da die Attributfreigaben anzupassen sind.

• Die HARICA-Service-Provider sind in den eduGAIN-Metadaten enthalten.

• Ihr Identity-Provider muss in eduGAIN eingebunden sein (Unter https://met.refeds.org/met/search_service/ können Sie nach Ihrer Einrichtung suchen und sehen, ob diese an eduGAIN teilnimmt.)

• Ihr Identity-Provider muss in der Lage sein, eine eduPersonTargetedID zu erzeugen und herauszugeben. Wie dieses Attribut erzeugt werden kann, wird beschrieben unter: https://doku.tid.dfn.de/de:shibidp:config-attributes-edupersontargetedid

• Die folgende Freigabe übermittelt die notwendigen Attribute:

      <!--  Release to Harica SP -->
      <AttributeFilterPolicy id="harica">
          <PolicyRequirementRule xsi:type="OR">
              <Rule xsi:type="Requester" value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp" />
              <Rule xsi:type="Requester" value="https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp" />
              <Rule xsi:type="Requester" value="https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp" />
          </PolicyRequirementRule>
          <AttributeRule attributeID="givenName" permitAny="true" />
          <AttributeRule attributeID="sn" permitAny="true" />
          <AttributeRule attributeID="mail" permitAny="true" />
          <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" />
       </AttributeFilterPolicy> 

• Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden.

Es gibt die folgenden Rollen:

• Normale User ohne erhöhte Rechte. Kann für sich Zertifikate beantragen.

• Enterprise Approver: Genehmigt gestellte Zertifikatanträge. Es gibt getrennte Rollen für S/MIME und Serverzertifikate

• Enterprise Admin: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.

Der erste Enterprise Admin einer Einrichtung wird von ti-services@dfn-cert.de in diese Rolle gebracht. Weitere Rollen-Zuweisungen können dann von diesem selbst durchgeführt werden, allerdings nur für User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben.

Enterprise Admins und Approver müssen Zwei-Faktor-Authentifizierung per TOTP in ihrem Profil angeschaltet haben. Hierzu klickt man rechts oben den eigenen Namen an, wählt Profile→Two Factor Authentication und folgt den weiteren Anweisungen.

Der DFN-Verein hat eine übergeordnete Rolle „Enterprise Manager“, und kann die Organisationen im System verwalten.

Ein Enterprise Admin wählt zur Zuweisung von Rollen an andere User den Punkt „Enterprise→Admin“ oben am Bildschirm aus. Anschließend den Tab „Users“ und darin den zu bearbeitenden User anwählen. In der Detailansicht wählen Sie dann den Tab „Account info“ an.

Die Schiebeschalter Enterprise Admin und Enterprise Approver stehen nur zur Verfügung, wenn der User Two-factor Authentication bei sich eingerichtet hat.

Zum Zuweisen der Rollen müssen diese Schiebeschalter betätigt werden.

Anschließend muss dem Account eine „Validator group“ zugewiesen werden. Hierzu den Button „Manage groups“ betätigen, und die Anfangsbuchstaben des Organisatuonsnamens eingeben. In der Autovervollständigung dann auf den kompletten Namen klicken. Die Einstellungen werden durch den Button „Save“ gesichert.

Achtung: Die Weboberfläche hat derzeit Refresh-Probleme. Durchgeführte Änderungen sind erst nach einem kompletten Reload der Webseite sichtbar.

Domains können von der Rolle Enterprise Admin hinzugefügt werden. Hierfür unter dem Menüpunkt „Enterprise→Admin“ im Tab Enterprises die eigene Einrichtung aufrufen. Im großen Dialog steht oben rechts ein kleiner Globus dargestellt. Hierüber kann eine Datei mit neuen Domains hochgeladen werden.

Die Liste muss in einem „Pseudo-CSV“-Format gehalten werden:

  Domain
  example.org
  example.com

Anführungszeichen (wie sie z.B. beim CSV-Export aus LibreOffice entstehen), dürfen nicht verwendet werden. Nach dem Hochladen der Domains wird eine Bestätigung per E-Mail versandt. HARICA führt zunächst eine manuelle Freigabe durch. Dabei wird auf „Hoch-Risiko-Domains“ wie Namen von Finanzinstituten o.ä. geprüft.

Es ist möglich, eine Domain in Organisation A und eine Sub-Domain davon in Organisation B zu hinterlegen.

Es ist nicht möglich, eine identische Domain in mehreren Organisationen zu nutzen.

Nach Freigabe muss die Domainvalidierung gestartet werden. Hierzu muss ein Enterprise Admin wieder im Tab Enterprises nach Auswahl der Einrichtung den Untertab „Domains“ auswählen.

Es stehen die Methoden DNS TXT und E-Mail an hostmaster@, postmaster@, admin@, administrator@, webmaster@<domain> zur Verfügung.

Bei der Domain-Validierung wird die E-Mail-Adresse einer Person mit Account im cm.harica.gr abgefragt, die die Validierung durchführen soll. D.h., bei E-Mail-Validierung wird zunächst an eine der generischen Adressen hostmaster@ usw. ein Link übermittelt, der dann von der Person mit dem Account im HARICA-System mit Login aufgerufen werden muss.

Sub-Domains (z.B. department.example.org) müssen und können im HARICA-System grundsätzlich nicht hinzugefügt werden, wenn die Haupt-Domain bereits in der eigenen Organisation hinterlegt ist.

Es ist aber problemlos möglich, eine Base-Domain in Organisation A und eine Sub-Domain davon in Organisation B zu hinterlegen. Beide, Base-Domain und Sub-Domain, müssen unabhängig voneinander von den zugeordneten Einrichtungen validiert werden.

Domains können derzeit nur vom HARICA-Support (support-tcs@harica.gr) entfernt werden.

Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Inbesondere können Sie S/MIME-Zertifikate des Typs email-only und Serverzertifikate des Typs DV beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS.

Wenn Sie daüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden.

Mögliche Dokumente:

• Für Vereine und Gesellschaften wie GmbHs:
  • Screenshot des Suchergebnisses inklusive Registernummer von https://www.handelsregister.de
  • PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer
• Für öffentliche Hochschulen und Universitäten:
  • PDF (Auszug) des Hochschulgesetz, das die Einrichtung begründet. Bitte heben Sie den eigenen Namen per PDF-Marker hervor.
  • Weicht Ihr Einrichtungsname vom Hochschulgesetz ab, muss ein diese Abweichung begründendes Dokument beigelegt werden. Häufig ist dies die Grundordnung.
  • PDF-Ausdruck des Web-Impressums inklusive Umsatzsteuernummer

Ablauf der Übermittlung:

• Im CertManager Enterprise→Admin wählen, dann Tab Enterprises.
• Eigene Einrichtung auswählen
• In der aufklappenden Liste noch einmal die eigene Einrichtung auswählen
• Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter „Validity OV“ per Button „Select File“ auswählen.
• Per Button „Upload“ an HARICA übermitteln
• Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an support-tcs@harica.gr mit Cc an ti-services@dfn-cert.de. Z.B.:

To: support-tcs@harica.gr
Cc: ti-services@dfn-cert.de
Subject: Organisation validation for <Einrichtungsname>

Hello,

we have uploaded documents to start the organisation validation of <Einrichtungsname>

thanks,

Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen.

Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung.

Der sichtbare Button „Create subunit“ in der Detail-Ansicht der eigenen Organisation hat derzeit keine Funktion.

Zertifikate werden bis auf eine Ausnahme derzeit ausschließlich von Usern mit einem Account im System beantragt. Der Account kann durch Selbst-Registrierung erstellt werden (siehe User-Registrierung).

Für S/MIME ist eine Lösung ohne Account über die AAI in Arbeit.

Für Serverzertifikate wird es einen ACME-Zugang geben, allerdings sind die Details noch in Absprache.

User haben die Möglichkeit, im Portal kostenpflichtige Zertifikate oder Services zu bestellen. Der Bestellung endet dabei stets so, dass der User selbst einen Zahlungsprozess mit Kreditkarte durchführen muss, bevor irgendwelche weiteren Vorgänge gestartet werden.

Angemeldete User können mit dem Menüpunkt „Email“ (im linken Vertikal-Menü) einen Beantragungsprozes starten.

Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung:

• Email-only: Das Zertifikat enthält nur die Mail-Adresse. Es muss eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen- oder Funktionsmailadressen.
• For individuals or sole proprietorships (IV): Nicht empfehlenswert Für individuelle Personen mit validiertem Vor- und Nachnamen ohne Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen.
• For enterprises or organizations (OV): Nicht empfehlenswert Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich.
• For enterprises or organizations (IV+OV): Derzeit nicht empfehlenswert Zertifikate für Personen mit validiertem Vor- und Nachnamen und Organisationsinformationen. Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt. Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung raten wir davon ab, diesen Antragsweg in dieser Anfangsphase aktiv zu verwenden.

Im Antragsprozess wird vom HARICA-System ein Schlüsselpaar erzeugt. Der User erhält direkt eine PKCS#12-Datei zum Download.

Eine Ausstellung von S/MIME-Zertifikaten über ein Portal mit AAI-Authentifizierung ist in Vorbereitung.

Ein Enterprise Approver hat die Möglichkeit, über den Upload einer CSV-Datei mit Mail-Adressen, Personennamen und weiteren Parametern größere Mengen an S/MIME-Zertifikaten in einem Schritt ohne User-Interaktion zu erstellen.

Es können bis zu drei Mailadressen pro Zertifikat angegeben werden.

Das HARICA-System erstellt auf der Basis der CSV-Datei PKCS#12-Dateien mit privaten Schlüsseln und Zertifikaten, die direkt im Anschluss vom Enterprise Approver heruntergeladen werden. Die PKCS#12-Dateien sind mit Passphrases geschützt, die in der CSV-Datei übergeben wurden.

Der Prozess ist verfügbar unter „Admin→Enterprises→Bulk Certificates→S/MIME“, Button „Start here“. Eine Beispiel-CSV-Datei steht dort zur Verfügung.

Eine Variante, bei der ein CSR übergeben werden kann und der Schlüssel eben nicht auf HARICA-Servern erzeugt wird, ist in Vorbereitung.

Serverzertifikate erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle User gestellt, und von einem anderen Account mit Rolle Enterprise Approver genehmigt. Auch ein Enterprise Admin oder Enterprise Approver kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten Enterprise Approver.

Der Antragsstellende kann über den Menüpunkt „Server“ links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung:

• Domain-only (DV): Zertifikate ohne Organisationsnamen.
• For enterprises or organizations (OV): Zertifikate mit Organisationsnamen. Erst verfügbar, wenn eine Organisationsvalidierung abgeschlossen wurde.
• For enterprises or organizations (EV): Nicht empfehlenswert Extended-Validation-Zertifikate, wie sie vor einigen Jahren z.B. für Online-Banking gebräuchlich waren. Kein Mehrwert ggü OV. Kostenpflichtig.

Die Antragstellung sollte weitestgehend selbsterklärend sein.

Hinweis: Die Erzeugung von 4096-Bit-Schlüsseln im Browser führt derzeit manchmal zu einer hängenden Webseite.

Die Anzahl der SubjectAlternativeNames ist derzeit auf 20 begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt.

Der Enterprise Approver kann die Liste der offenen Anträge über „Admin→SSL Request“ einsehen. Über das Icon Show details neben jedem Antrag wird dieser eingesehen und genehmigt. Zur Genehmigung muss in dem Dialog zunächst ein Text in das Feld „Message“ eingegeben werden, bevor der Button „Accept“ bedient werden kann.

Die Buttons Open File und <Choose File> no file chosen haben keine Bedeutung.

Der Antragsstellende kann das Zertifikat über „My Dashboard“ herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button PEM bundle im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist.

Hinweis: Der Enterprise Approver hat den Button PEM bundle in seiner Übersicht unter „Enterprise→SSL Certificates“ nicht zur Verfügung. Hier gibt es nur Download as PEM, Download as DER und Download as PKCS#7.

Um aus einer PKCS#7-Datei ein PEM bundle für Apache oder nginx zu erstellen, kann die folgende Befehlszeile verwendet werden:

  openssl pkcs7 -in Cert_chain.p7b -print_certs > Cert_pem_bundle.pem

Bestimmte Server-Namen werden als „Hochrisiko-Anträge“ markiert. Dies ist eine Vorgabe vom CA/Browser-Forum. Betroffen sind zum einen bekannte Namen wie „google“, aber auch „haricatest“.

Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente nicht mit dem Schlüsselwort „harica“ durchzuführen.

HARICA unterstützt im Prinzip bereits ACME. Zur Zeit steht dieses Feature aber nicht in einer Form zur Verfügung, die für einen regulären Einsatz geeignet ist. Insbesondere fehlt eine Verwaltung von Accounts für das External Account Binding von prevalidierten Domains.

Wichtig: Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden.

Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für HARICA den issue-Wert harica.gr.

Beispiel:

muster-uni.de.       IN    CAA    0 issue "harica.gr"
muster-uni.de.       IN    CAA    0 issue "sectigo.com"
muster-uni.de.       IN    CAA    0 issue "pki.dfn.de"

Ist für eine betrachtete Domain (Alias-Domain) ein CNAME im DNS definiert, so müssen die CAA-Records für den CNAME die Ausstellung von Zertifikaten durch TCS erlauben:

muster-uni.edu.      IN    CNAME muster-uni.de.

muster-uni.de.       IN    CAA    0 issue "harica.gr"
muster-uni.de.       IN    CAA    0 issue "sectigo.com"
muster-uni.de.       IN    CAA    0 issue "pki.dfn.de"

HARICA bietet ein API an, mit dem Teile der Prozesse gesteuert werden können.

Dokumentation:

• https://guides.harica.gr/docs/Guides/Developer/
• https://developer.harica.gr

Beispiele:

• Go: https://github.com/hm-edu/harica
• Java: https://poll.hs-kempten.de/harica/
• Perl: https://www.math.uni-bonn.de/people/ef/harica/
• Perl: https://software.nikhef.nl/experimental/tcstools/tcsg5/
• PHP: https://www.uni-muenster.de/CA/harica-php.txt

Seit Januar 2025 gibt es eine DFN-PKI-Softwarentwicklungsmailingliste: https://www.listserv.dfn.de/sympa/info/dfnpki-dev und DFN-PKI Kontakte und Mailinglisten

Generische Anleitungen finden sich unter https://guides.harica.gr

Diese sind in vielen Fällen aber nicht auf den Anwendungsfall einer großen Organisation zugeschnitten.

Wir helfen auch bei technischen Schwierigkeiten gerne weiter: ti-services@dfn-cert.de

HARICA selbst ist unter support-tcs@harica.gr zu erreichen.

Es ist zu empfehlen, vor einer direkten Kontaktaufnahme zum HARICA-Support mit uns zu sprechen.