| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:harica2025 [2025/02/21 09:31] – [Organisationsvalidierung] Juergen Brauckmann | de:dfnpki:harica2025 [2025/03/12 13:24] (aktuell) – [CAA-Records] Reimer Karlsen-Masur |
|---|
| Der aktuelle Auftrag von DFN an HARICA ist zeitlich befristet, um in der aktuellen Situation ein kontinuierliches Dienstangebot sicherstellen zu können. Wir arbeiten, auch gemeinsam mit GÉANT, daran, eine dauerhafte Lösung zu finden, die keine weiteren kurzfristigen Migrationen erfordert. | Der aktuelle Auftrag von DFN an HARICA ist zeitlich befristet, um in der aktuellen Situation ein kontinuierliches Dienstangebot sicherstellen zu können. Wir arbeiten, auch gemeinsam mit GÉANT, daran, eine dauerhafte Lösung zu finden, die keine weiteren kurzfristigen Migrationen erfordert. |
| |
| Die derzeitige Funktionalität der Systeme von HARICA ist für eine Basisversorgung ausreichend. Es können aber derzeit nicht alle bisher angebotenen Workflows umgesetzt werden. HARICA arbeitet mit Hochdruck an einer Ausweitung der Systeme. | Die derzeitige Funktionalität der Systeme von HARICA ist für Zertifikatversorgung ausreichend. Es können aber derzeit nicht alle bisher angebotenen Workflows umgesetzt werden. HARICA arbeitet mit Hochdruck an einer Ausweitung des Angebots. |
| |
| |
| ===== Enrollment von Organisationen ===== | ===== Enrollment von Organisationen ===== |
| |
| Im Dezember haben wir die DFN-Teilnehmer in das HARICA-System hineingebracht. Die Migration aller Einrichtungen wird rechtzeitig vor dem 10.01.2025 abgeschlossen sein. Wir haben hierzu die Basis-Daten der teilnehmenden Organisationen inklusive der ersten Ansprechpersonen in das System von HARICA übermittelt, und eine Informationsmail an die erste Ansprechperson geschickt. | Organisationen werden von der DFN-PCA im HARICA-System angelegt. Das initiale Setup erfolgt in direkter Absprache mit dfnpca@dfn-cert.de. |
| | |
| Die Verfügbarkeit von organisationsvalidierten Zertifikaten (OV) hängt von der Geschwindigkeit ab, mit der HARICA die Organisationsvalidierungen durchführen kann. | |
| |
| ===== Rollen und User ===== | ===== Rollen und User ===== |
| <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> | <AttributeRule attributeID="eduPersonTargetedID" permitAny="true" /> |
| </AttributeFilterPolicy> | </AttributeFilterPolicy> |
| | |
| | * Die bei einem aktuellen AAI-Login-Vorgang vom Identity-Provider an den HARICA-Service-Provider übermittelten Attribute können unter https://cm.harica.gr/loginsaml/test.php eingesehen werden. |
| |
| ==== Rollen ==== | ==== Rollen ==== |
| ===== Departments, Abteilungen, Institute ===== | ===== Departments, Abteilungen, Institute ===== |
| |
| Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung. HARICA arbeitet an einem Konzept namens "Subunit", dies wurde uns aber für frühestens Frühjahr 2025 angekündigt. | Es stehen derzeit noch keine Mechanismen für die Abbildung von Abteilungs- oder Institutsstrukturen zur Verfügung. |
| |
| Der sichtbare Button "Create subunit" in der Detail-Ansicht der eigenen Organisation hat derzeit keine Funktion. | Der sichtbare Button "Create subunit" in der Detail-Ansicht der eigenen Organisation hat derzeit keine Funktion. |
| ==== Grundsätze ==== | ==== Grundsätze ==== |
| |
| Zertifikate werden bis auf eine Ausnahme derzeit ausschließlich von Usern mit einem Account im System beantragt. Der Account kann durch Selbst-Registrierung erstellt werden (siehe [[de:dfnpki:harica2025#user-registrierung|User-Registrierung]]. | Zertifikate werden bis auf eine Ausnahme derzeit ausschließlich von Usern mit einem Account im System beantragt. Der Account kann durch Selbst-Registrierung erstellt werden (siehe [[de:dfnpki:harica2025#user-registrierung|User-Registrierung]]). |
| |
| Für S/MIME ist eine Lösung ohne Account über die AAI in Arbeit. | Für S/MIME ist eine Lösung ohne Account über die AAI in Arbeit. |
| |
| Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: | Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung: |
| * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. | * ''Email-only'': Das Zertifikat enthält nur die Mail-Adresse. Es muss eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen- oder Funktionsmailadressen. |
| * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. | * ''For individuals or sole proprietorships (IV)'': **Nicht empfehlenswert** Für individuelle Personen mit validiertem Vor- und Nachnamen **ohne** Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen. |
| * ''For enterprises or organizations (OV)'': Zertifikate mit Mail-Adresse und Organisationsname. Geeignet für Gruppenzertifikate. Derzeit kostenpflichtig; der DFN ist über diesen Punkt noch in Klärung mit HARICA | * ''For enterprises or organizations (OV)'': **Nicht empfehlenswert** Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich. |
| * ''For enterprises or organizations (IV+OV)'': **Derzeit nicht empfehlenswert** Zertifikate für Personen mit validiertem Vor- und Nachnamen und Organisationsinformationen. Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt. Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung raten wir davon ab, diesen Antragsweg in dieser Anfangsphase aktiv zu verwenden. | * ''For enterprises or organizations (IV+OV)'': **Derzeit nicht empfehlenswert** Zertifikate für Personen mit validiertem Vor- und Nachnamen und Organisationsinformationen. Es ist eine Genehmigung durch einen Enterprise Approver erforderlich. Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt. Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung raten wir davon ab, diesen Antragsweg in dieser Anfangsphase aktiv zu verwenden. |
| |
| **Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. | **Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden. |
| |
| Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für HARICA den ''issue''-Wert ''harica.gr''. | Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für GÉANT-TCS-Zertifikate von HARICA den ''issue''-Wert ''harica.gr''. |
| |
| | Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. |
| |
| Beispiel: | Beispiel: |
| <code> | <code> |
| muster-uni.de. IN CAA 0 issue "harica.gr" | muster-uni.de. IN CAA 0 issue "harica.gr" |
| muster-uni.de. IN CAA 0 issue "sectigo.com" | |
| muster-uni.de. IN CAA 0 issue "pki.dfn.de" | muster-uni.de. IN CAA 0 issue "pki.dfn.de" |
| </code> | </code> |
| |
| muster-uni.de. IN CAA 0 issue "harica.gr" | muster-uni.de. IN CAA 0 issue "harica.gr" |
| muster-uni.de. IN CAA 0 issue "sectigo.com" | |
| muster-uni.de. IN CAA 0 issue "pki.dfn.de" | muster-uni.de. IN CAA 0 issue "pki.dfn.de" |
| </code> | </code> |
| |
| Beispiele: | Beispiele: |
| | * Bash: https://www.uni-muenster.de/CA/harica-sh.txt |
| * Go: https://github.com/hm-edu/harica | * Go: https://github.com/hm-edu/harica |
| * Java: https://poll.hs-kempten.de/harica/ | * Java: https://poll.hs-kempten.de/harica/ |