| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:harica2025 [2025/01/11 19:34] – [S/MIME] Juergen Brauckmann | de:dfnpki:harica2025 [2025/03/12 13:24] (aktuell) – [CAA-Records] Reimer Karlsen-Masur |
|---|
| Der aktuelle Auftrag von DFN an HARICA ist zeitlich befristet, um in der aktuellen Situation ein kontinuierliches Dienstangebot sicherstellen zu können. Wir arbeiten, auch gemeinsam mit GÉANT, daran, eine dauerhafte Lösung zu finden, die keine weiteren kurzfristigen Migrationen erfordert. | Der aktuelle Auftrag von DFN an HARICA ist zeitlich befristet, um in der aktuellen Situation ein kontinuierliches Dienstangebot sicherstellen zu können. Wir arbeiten, auch gemeinsam mit GÉANT, daran, eine dauerhafte Lösung zu finden, die keine weiteren kurzfristigen Migrationen erfordert. |
| |
| Die derzeitige Funktionalität der Systeme von HARICA ist für eine Basisversorgung ausreichend. Es können aber derzeit nicht alle bisher angebotenen Workflows umgesetzt werden. HARICA arbeitet mit Hochdruck an einer Ausweitung der Systeme. | Die derzeitige Funktionalität der Systeme von HARICA ist für Zertifikatversorgung ausreichend. Es können aber derzeit nicht alle bisher angebotenen Workflows umgesetzt werden. HARICA arbeitet mit Hochdruck an einer Ausweitung des Angebots. |
| |
| |
| ===== Datenschutz ===== | ===== Datenschutz ===== |
| |
| HARICA hat seinen Sitz in Griechenland. Die Datenschutzerklärung finden Sie unter https://repo.harica.gr/documents/Data-Privacy-Statement-EN.pdf | Die Datenschutzerklärung von HARICA finden Sie hier: https://repo.harica.gr/documents/Data-Privacy-Statement-EN.pdf. Darüber hinaus müssen Antragstellende das Subscriber Agreement und die Terms of Use akzeptieren. Diese finden Sie unter https://repo.harica.gr/documents/SA-ToU.pdf. |
| |
| ===== Enrollment von Organisationen ===== | HARICA ist die verantwortliche Stelle ("Data Controller") für die Verarbeitung der personenbezogenen Daten (vgl. Subscriber Agreement Kapitel 6.10). Die personenbezogenen Daten werden von HARICA gemäß DS-GVO Art. 6 (1) b) (Vertragserfüllung), ggf. in Kombination mit Art. 6 (1) c) (Erfüllung rechtlicher Verpflichtungen, z.B. aus der eIDAS-Verordnung), verarbeitet (vgl. Kapitel 3 der Datenschutzerklärung von HARICA). |
| |
| Im Dezember haben wir die DFN-Teilnehmer in das HARICA-System hineingebracht. Die Migration aller Einrichtungen wird rechtzeitig vor dem 10.01.2025 abgeschlossen sein. Wir haben hierzu die Basis-Daten der teilnehmenden Organisationen inklusive der ersten Ansprechpersonen in das System von HARICA übermittelt, und eine Informationsmail an die erste Ansprechperson geschickt. | Es wird häufiger die Frage gestellt, ob eine Auftragsverarbeitungsvereinbarung zur Nutzung des Dienstes vom DFN-Verein oder von HARICA direkt angeboten wird. Dies ist mit der folgenden Begründung nicht notwendig und wird daher auch weder vom DFN-Verein noch von HARICA angeboten: |
| |
| Die Verfügbarkeit von organisationsvalidierten Zertifikaten (OV) hängt von der Geschwindigkeit ab, mit der HARICA die Organisationsvalidierungen durchführen kann. | Im Rahmen von GÉANT TCS erfolgt die vertragliche Vereinbarung über die Bereitstellung des Zertifikats direkt zwischen HARICA und dem betroffenen Angehörigen des DFN-Teilnehmers. Ausschließlich in diesem Verhältnis werden personenbezogene Daten zur Erstellung und Verwaltung des Zertifikats verarbeitet. Folglich haben weder GÉANT noch der DFN-Verein irgendeinen Zugriff oder Einfluss auf die Verarbeitung personenbezogener Daten bei HARICA. Beiden steht zudem in Bezug auf die Verarbeitung bei HARICA keinerlei Weisungsrecht zu. Das Rahmenvertragswerk zwischen DFN-Verein, GÉANT und HARICA beschränkt sich auf die wirtschaftlichen Konditionen, zu denen Angehörige von DFN-Teilnehmern Produkte von HARICA in Anspruch nehmen können. HARICA entscheidet somit allein über Art, Umfang und Dauer der Verarbeitung aufgrund des Subscriber Agreements mit dem betroffenen Angehörigen des DFN-Teilnehmers und ist somit als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen. Dies schließt die Eigenschaft als Auftragsverarbeiter aus, so dass hier gemäß Art. 28 Abs. 10 DS-GVO schon keine rechtliche Möglichkeit zum Abschluss einer Auftragsverarbeitung besteht. |
| | |
| | |
| | |
| | |
| | |
| | ===== Enrollment von Organisationen ===== |
| |
| | Organisationen werden von der DFN-PCA im HARICA-System angelegt. Das initiale Setup erfolgt in direkter Absprache mit dfnpca@dfn-cert.de. |
| |
| ===== Rollen und User ===== | ===== Rollen und User ===== |
| === Voraussetzungen für die AAI-Nutzung == | === Voraussetzungen für die AAI-Nutzung == |
| |
| Die Konfiguration erfordert in der Regel die Mithilfe Ihrer AAI-Administration, da in der Regel die Attributfreigaben anzupassen sind. | Die Konfiguration erfordert üblicherweise die Mithilfe Ihrer AAI-Administration, da die Attributfreigaben anzupassen sind. |
| |
| * Die HARICA-Service-Provider sind in den eduGAIN-Metadaten enthalten. | * Die HARICA-Service-Provider sind in den eduGAIN-Metadaten enthalten. |
| * Ihr Identity-Provider muss in eduGAIN eingebunden sein (Unter https://met.refeds.org/met/search_service/ können Sie nach Ihrer Einrichtung suchen und sehen, ob diese an eduGAIN teilnimmt.) | * Ihr Identity-Provider muss in eduGAIN eingebunden sein (Unter https://met.refeds.org/met/search_service/ können Sie nach Ihrer Einrichtung suchen und sehen, ob diese an eduGAIN teilnimmt.) |
| |
| * Ihr Identity-Provider muss in der Lage sein, eine ''eduPersonTargetedID'' zu erzeugen und herauszugeben. Wie dieses Attribut erzeugt werden kann wird beschrieben unter: https://doku.tid.dfn.de/de:shibidp:config-attributes-edupersontargetedid | * Ihr Identity-Provider muss in der Lage sein, eine ''eduPersonTargetedID'' zu erzeugen und herauszugeben. Wie dieses Attribut erzeugt werden kann, wird beschrieben unter: https://doku.tid.dfn.de/de:shibidp:config-attributes-edupersontargetedid |
| |
| * Die folgende Freigabe übermittelt die notwendigen Attribute: | * Die folgende Freigabe übermittelt die notwendigen Attribute: |
| |
| <!-- Release to Harica SP --> | <!-- Release to Harica SP --> |
| <AttributeFilterPolicy id="git"> | <AttributeFilterPolicy id="harica"> |
| <PolicyRequirementRule xsi:type="OR"> | <PolicyRequirementRule xsi:type="OR"> |
| <Rule xsi:type="Requester" value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp" /> | <Rule xsi:type="Requester" value="https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp" /> |
| <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> | <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> |
| </AttributeFilterPolicy> | </AttributeFilterPolicy> |
| | |
| | * Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden. |
| |
| ==== Rollen ==== | ==== Rollen ==== |
| === Löschen von Domains === | === Löschen von Domains === |
| |
| Domains können derzeit nur vom HARICA-Support ([[support@harica.gr]]) entfernt werden. | Domains können derzeit nur vom HARICA-Support ([[support-tcs@harica.gr]]) entfernt werden. |
| |
| ===== Organisationsvalidierung ===== | ===== Organisationsvalidierung ===== |
| |
| Auch ohne durchgeführte Organisationsvalidierung können bereits Zertifikate ausgestellt werden. Allerdings enthalten die Zertifikate noch keine Organisationsdaten. | Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Inbesondere können Sie S/MIME-Zertifikate des Typs ''email-only'' und Serverzertifikate des Typs ''DV'' beziehen. Diese Zertifikattypen erfüllen bereits alle funktionalen Anforderungen für S/MIME oder TLS. |
| |
| Um eine Organisationsvalidierung durchzuführen, müssen HARICA Dokumente über die Organisation übermittelt werden. | Wenn Sie daüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie eine Organisationsvalidierung durchführen lassen. Hierfür müssen HARICA Dokumente über die Organisation übermittelt werden. |
| |
| Mögliche Dokumente: | Mögliche Dokumente: |
| * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen. | * Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter "Validity OV" per Button "Select File" auswählen. |
| * Per Button "Upload" an HARICA übermitteln | * Per Button "Upload" an HARICA übermitteln |
| * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support@harica.gr'' mit Cc an ''ti-services@dfn-cert.de''. Z.B.: | * Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an ''support-tcs@harica.gr'' mit Cc an ''ti-services@dfn-cert.de''. Z.B.: |
| <code> | <code> |
| To: support@harica.gr | To: support-tcs@harica.gr |
| Cc: ti-services@dfn-cert.de | Cc: ti-services@dfn-cert.de |
| Subject: Organisation validation for <Einrichtungsname> | Subject: Organisation validation for <Einrichtungsname> |
| ===== Departments, Abteilungen, Institute ===== | ===== Departments, Abteilungen, Institute ===== |
| |
| Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung. HARICA arbeitet an einem Konzept namens "Subunit", dies wurde uns aber für frühestens Frühjahr 2025 angekündigt. | Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung. |
| |
| Der sichtbare Button "Create subunit" in der Detail-Ansicht der eigenen Organisation hat derzeit keine Funktion. | Der sichtbare Button "Create subunit" in der Detail-Ansicht der eigenen Organisation hat derzeit keine Funktion. |
| ==== Grundsätze ==== | ==== Grundsätze ==== |
| |
| Zertifikate werden bis auf eine Ausnahme derzeit ausschließlich von Usern mit einem Account im System beantragt. Der Account kann durch Selbst-Registrierung erstellt werden (siehe [[de:dfnpki:harica2025#user-registrierung|User-Registrierung]]. | Zertifikate werden bis auf eine Ausnahme derzeit ausschließlich von Usern mit einem Account im System beantragt. Der Account kann durch Selbst-Registrierung erstellt werden (siehe [[de:dfnpki:harica2025#user-registrierung|User-Registrierung]]). |
| |
| Für S/MIME ist eine Lösung ohne Account über die AAI in Arbeit. | Für S/MIME ist eine Lösung ohne Account über die AAI in Arbeit. |
| |
| Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: | Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: |
| * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. | * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen- oder Funktionsmailadressen. |
| * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. | * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. |
| * ''For enterprises or organizations (OV)'': Zertifikate mit Mail-Adresse und Organisationsname. Geeignet für Gruppenzertifikate. Derzeit kostenpflichtig; der DFN ist über diesen Punkt noch in Klärung mit HARICA | * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. |
| * ''For enterprises or organizations (IV+OV)'': **Derzeit nicht empfehlenswert** Zertifikate für Personen mit validiertem Vor- und Nachnamen und Organisationsinformationen. Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt. Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung raten wir davon ab, diesen Antragsweg in dieser Anfangsphase aktiv zu verwenden. | * ''For enterprises or organizations (IV+OV)'': **Derzeit nicht empfehlenswert** Zertifikate für Personen mit validiertem Vor- und Nachnamen und Organisationsinformationen. Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt. Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung raten wir davon ab, diesen Antragsweg in dieser Anfangsphase aktiv zu verwenden. |
| |
| === Limitierung SANs === | === Limitierung SANs === |
| |
| Die Anzahl der SubjectAlternativeNames ist derzeit auf **10** begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt. | Die Anzahl der SubjectAlternativeNames ist derzeit auf **20** begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt. |
| |
| === Genehmigung === | === Genehmigung === |
| **Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. | **Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. |
| |
| Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für HARICA den ''issue''-Wert ''harica.gr''. | Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für GÉANT-TCS-Zertifikate von HARICA den ''issue''-Wert ''harica.gr''. |
| |
| | Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. |
| |
| Beispiel: | Beispiel: |
| <code> | <code> |
| muster-uni.de. IN CAA 0 issue "harica.gr" | muster-uni.de. IN CAA 0 issue "harica.gr" |
| muster-uni.de. IN CAA 0 issue "sectigo.com" | |
| muster-uni.de. IN CAA 0 issue "pki.dfn.de" | muster-uni.de. IN CAA 0 issue "pki.dfn.de" |
| </code> | </code> |
| |
| muster-uni.de. IN CAA 0 issue "harica.gr" | muster-uni.de. IN CAA 0 issue "harica.gr" |
| muster-uni.de. IN CAA 0 issue "sectigo.com" | |
| muster-uni.de. IN CAA 0 issue "pki.dfn.de" | muster-uni.de. IN CAA 0 issue "pki.dfn.de" |
| </code> | </code> |
| |
| Beispiele: | Beispiele: |
| | * Bash: https://www.uni-muenster.de/CA/harica-sh.txt |
| * Go: https://github.com/hm-edu/harica | * Go: https://github.com/hm-edu/harica |
| | * Java: https://poll.hs-kempten.de/harica/ |
| | * Perl: https://www.math.uni-bonn.de/people/ef/harica/ |
| | * Perl: https://software.nikhef.nl/experimental/tcstools/tcsg5/ |
| * PHP: https://www.uni-muenster.de/CA/harica-php.txt | * PHP: https://www.uni-muenster.de/CA/harica-php.txt |
| | |
| | Seit Januar 2025 gibt es eine DFN-PKI-Softwarentwicklungsmailingliste: https://www.listserv.dfn.de/sympa/info/dfnpki-dev und [[de:dfnpki:contact#mailingliste_softwareentwicklung|DFN-PKI Kontakte und Mailinglisten]] |
| | |
| |
| ===== Weitere Dokumentation ===== | ===== Weitere Dokumentation ===== |
| |
| Diese sind in vielen Fällen aber nicht auf den Anwendungsfall einer großen Organisation zugeschnitten. | Diese sind in vielen Fällen aber nicht auf den Anwendungsfall einer großen Organisation zugeschnitten. |
| | |
| | ===== Support ===== |
| | |
| | Wir helfen auch bei technischen Schwierigkeiten gerne weiter: ti-services@dfn-cert.de |
| | |
| | HARICA selbst ist unter support-tcs@harica.gr zu erreichen. |
| | |
| | Es ist zu empfehlen, vor einer direkten Kontaktaufnahme zum HARICA-Support mit uns zu sprechen. |