Wurzelzertifikate und Zertifizierungsketten
HARICA hat mehrere Generationen an Wurzelzertifikaten mit unterschiedlichen Verbreitungsgraden.
- Root-CAs 2021 bilden die aktuell verwendete PKI-Hierarchie. Diese Roots sind z.B. in Android 14, iOS 16 und macOS 13 enthalten.
- Root-CAs 2015 sind die „Legacy“-PKI-Hierarchie mit größerer Kompatibilität, insbesondere bei älteren Android-Systemen und Java.
- Die privaten Root-CAs sind insbesondere für das Grid-Computing- und HPC-Umfeld für IGTF-Client-Auth vorgesehen.
Es gibt Cross-CA-Zertifikate, die die 2021er Hierarchie mit der 2015er Hierarchie verbindet.
Ab den Root-CAs 2021 gibt es aufgrund von Anforderungen von Browsern unterschiedliche Root-CA-Zertifikate für S/MIME und TLS.
HARICA liefert für Serverzertifikate in der Variante „PEM Bundle“ standardmäßig Zertifizierungsketten zur Installation in Servern aus, die auf den Cross-CA-Zertifikaten enden. Dadurch ist maximale Kompatibilität gegeben.
In der Variante „PKCS#7 (chain)“ wird das Cross-CA-Zertifikat nicht ausgeliefert.
Für Serverzertifikate
TLS-CA-Zertifikats-Bundle: tcs-harica-tls-ca-cert-bundle.zip
(inkl. Root-CAs 2021 und Legacy-Root-CAs 2015 und den dazugehörigen Cross-CA-Zertifikaten)
Root-CA-Zertifikate 2021 für Serverzertifikate
| CommonName | Einsatz | Gültigkeitsende | SHA256/SHA1 Fingerprint | |
|---|---|---|---|---|
HARICA TLS RSA Root CA 2021 | Root-CA (2021, modern) | Feb 13 10:55:37 2045 GMT | D9:5D:0E:8E:DA:79:52:5B:F9:BE:B1:1B:14:D2:10:0D:32:94:98:5F:0C:62:D9:FA:BD:9C:D9:99:EC:CB:7B:1D / 02:2D:05:82:FA:88:CE:14:0C:06:79:DE:7F:14:10:E9:45:D7:A5:6D | .cer .pem .txt |
HARICA TLS ECC Root CA 2021 | Root-CA (2021, modern) | Feb 13 11:01:09 2045 GMT | 3F:99:CC:47:4A:CF:CE:4D:FE:D5:87:94:66:5E:47:8D:15:47:73:9F:2E:78:0F:1B:B4:CA:9B:13:30:97:D4:01 / BC:B0:C1:9D:E9:98:92:70:19:38:57:E9:8D:A7:B4:5D:6E:EE:01:48 | .cer .pem .txt |
Legacy-Root-CA-Zertifikate 2015 und TLS Cross-CA
Alternative CA-Ketten können zusammen mit Cross-CA-Zertifikaten erstellt werden, die in der Hellenic Academic and Research Institutions RootCA 2015 (RSA) bzw.
Hellenic Academic and Research Institutions ECC RootCA 2015 (ECC) enden. Diese Legacy-Ketten sind für alte Betriebssysteme bzw. Browser und Java openJDK ab Version 16 notwendig.
| CommonName | Einsatz | Gültigkeitsende | SHA256/SHA1 Fingerprint | |
|---|---|---|---|---|
HARICA TLS RSA Root CA 2021 | Cross-CA (2021 → 2015) | Aug 31 07:41:54 2029 GMT | 4A:CD:8D:C6:02:0A:54:5A:85:89:43:A5:53:B5:E0:F3:FC:5B:85:9A:EA:17:46:65:0D:69:CF:12:10:F9:56:D8 / 71:40:C4:0C:28:00:A5:C6:05:23:CE:BF:68:2D:13:4E:D1:7E:DB:0E | .cer .pem .txt |
HARICA TLS ECC Root CA 2021 | Cross-CA (2021 → 2015) | Aug 31 07:44:36 2029 GMT | 50:E2:7F:90:EB:6A:F4:95:B0:E6:EE:B6:55:CC:89:44:4C:27:D3:C9:5B:68:23:FA:02:AB:DC:95:F1:63:6A:E1 / 45:60:36:00:DC:2F:9E:51:CD:C8:7E:73:3E:70:F4:CA:6F:5F:31:BD | .cer .pem .txt |
Hellenic Academic and Research Institutions RootCA 2015 | Root-CA (2015, legacy) | Jun 30 10:11:21 2040 GMT | A0:40:92:9A:02:CE:53:B4:AC:F4:F2:FF:C6:98:1C:E4:49:6F:75:5E:6D:45:FE:0B:2A:69:2B:CD:52:52:3F:36 / 01:0C:06:95:A6:98:19:14:FF:BF:5F:C6:B0:B6:95:EA:29:E9:12:A6 | .cer .pem .txt |
Hellenic Academic and Research Institutions ECC RootCA 2015 | Root-CA (2015, legacy) | Jun 30 10:37:12 2040 GMT | 44:B5:45:AA:8A:25:E6:5A:73:CA:15:DC:27:FC:36:D2:4C:1C:B9:95:3A:06:65:39:B1:15:82:DC:48:7B:48:33 / 9F:F1:71:8D:92:D5:9A:F3:7D:74:97:B4:BC:6F:84:68:0B:BA:B6:66 | .cer .pem .txt |
Issuing-CAs für Serverzertifikate
Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der HARICA TLS RSA Root CA 2021 oder der HARICA TLS ECC Root CA 2021 signiert.
Seit dem 06.03.2025 werden alle Serverzertifikate von diesen spezifischen GÉANT TCS CAs ausgestellt:
| CommonName | Einsatz | Gültigkeitsende | SHA256/SHA1 Fingerprint | |
|---|---|---|---|---|
GEANT TLS ECC 1 | Issuing-CA | Dec 31 11:14:20 2039 GMT | 6C:DF:0B:A1:71:1E:85:6D:22:8B:A0:0C:A0:4C:5C:1C:3D:79:94:4C:03:7B:71:3B:15:5A:4E:E4:B4:7E:C5:3C / CC:73:33:46:67:05:F1:43:BE:7D:76:DD:B8:E7:74:40:7A:3D:91:C8 | .cer .pem .txt |
GEANT TLS RSA 1 | Issuing-CA | Dec 31 11:14:59 2039 GMT | 5B:67:8D:C4:40:95:A5:28:95:B6:3B:31:F2:72:27:F4:B3:6C:3E:34:74:91:BF:2B:FA:69:18:37:A5:FB:8C:79 / BE:7F:0B:36:F8:8A:22:DD:DE:D3:62:DB:9A:F7:9C:8E:65:82:B9:19 | .cer .pem .txt |
Bis zum 06.03.2025 wurden alle Serverzertifikate von diesen allgemeinen HARICA TLS CAs ausgestellt, je nach Algorithmus des Schlüssels und der gewählten Validierungsart:
| CommonName | Einsatz | Gültigkeitsende | SHA256/SHA1 Fingerprint | |
|---|---|---|---|---|
HARICA DV TLS ECC | Issuing-CA | Mar 15 09:22:32 2036 GMT | 39:23:77:A7:19:E3:E6:5A:40:D8:65:1B:92:36:1D:B9:53:20:B3:9C:A3:61:07:2A:3A:3C:F4:2C:66:E0:0D:BC / E9:BA:65:6D:63:71:E4:75:50:97:D7:37:53:8E:45:4B:5D:E5:F1:5D | .cer .pem .txt |
HARICA DV TLS RSA | Issuing-CA | Mar 15 09:24:03 2036 GMT | 28:10:1E:E3:CD:2F:F6:F2:25:FB:F0:ED:E9:4A:B5:0D:67:62:AF:DB:AB:96:4F:7C:9D:3C:CF:7F:02:EE:98:38 / 53:4A:55:0E:D7:DA:3C:97:6E:82:5D:A8:0A:8C:C2:4D:69:E9:92:F8 | .cer .pem .txt |
HARICA OV TLS ECC | Issuing-CA | Mar 15 09:33:51 2036 GMT | 32:93:50:0C:AA:50:7B:1E:92:0A:44:1F:27:7B:AD:CB:B7:50:02:CA:EC:62:82:D2:3A:35:78:F7:81:7D:23:80 / 15:5C:A9:53:5D:FE:9B:16:3E:20:1E:71:7F:C9:B0:DE:1E:49:FD:2C | .cer .pem .txt |
HARICA OV TLS RSA | Issuing-CA | Mar 15 09:34:16 2036 GMT | 9F:BD:88:69:45:FB:6C:B6:3E:EB:F1:10:77:DA:C9:80:E4:53:68:D2:45:8B:A5:EF:0A:8D:72:70:46:FC:D2:92 / 0E:B2:CA:9D:D9:89:CF:6E:A0:89:EF:48:10:05:80:E7:5F:E4:52:90 | .cer .pem .txt |
Für S/MIME-Zertifikate
S/MIME-CA-Zertifikats-Bundle mit Root-CAs 2021: tcs-harica-smime-ca-cert-bundle.zip
Root-CA-Zertifikate 2021 für S/MIME-Zertifikate
| CommonName | Einsatz | Gültigkeitsende | SHA256/SHA1 Fingerprint | |
|---|---|---|---|---|
HARICA Client RSA Root CA 2021 | Root-CA (2021, modern) | Feb 13 10:58:45 2045 GMT | 1B:E7:AB:E3:06:86:B1:63:48:AF:D1:C6:1B:68:66:A0 :EA:7F:48:21:E6:7D:5E:8A:F9:37:CF:80:11:BC:75:0D / 46:C6:90:0A:77:3A:B6:BC:F4:65:AD:AC:FC:E3:F7:07:00:6E:DE:6E | .cer .pem .txt |
HARICA Client ECC Root CA 2021 | Root-CA (2021, modern) | Feb 13 11:03:33 2045 GMT | 8D:D4:B5:37:3C:B0:DE:36:76:9C:12:33:92:80:D8:27 :46:B3:AA:6C:D4:26:E7:97:A3:1B:AB:E4:27:9C:F0:0B / BE:64:D3:DA:14:4B:D2:6B:CD:AF:8F:DB:A6:A6:72:F8:DE:26:F9:00 | .cer .pem .txt |
Issuing-CAs für S/MIME-Zertifikate
Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der HARICA Client RSA Root CA 2021 oder der HARICA Client ECC Root CA 2021 signiert.
Seit dem 06.03.2025 werden alle S/MIME-Zertifikate von diesen spezifischen GÉANT TCS S/MIME CAs ausgestellt:
| CommonName | Einsatz | Gültigkeitsende | SHA256/SHA1 Fingerprint | |
|---|---|---|---|---|
GEANT S/MIME RSA 1 | Issuing-CA | Dec 31 11:13:07 2039 GMT | 14:9C:1F:AC:7D:B7:AF:88:68:89:7D:18:52:9E:67:98 :DA:20:C0:45:64:39:80:2B:4C:C8:22:3F:A1:E4:76:B3 / 8D:45:56:68:2A:35:09:BE:EA:90:1B:0D:C7:8C:F8:0D:C6:F0:2A:CA | .cer .pem .txt |
GEANT S/MIME ECC 1 | Issuing-CA | Dec 31 11:11:39 2039 GMT | 6E:F2:FE:A6:4B:86:A6:12:03:FC:7D:53:F2:F2:12:A8 :E3:FB:E0:85:93:4D:60:A5:A8:8A:BF:46:DC:C2:11:4A / 57:B1:33:3A:E7:FB:B2:AC:53:0B:D8:FF:09:A0:2F:24:AA:19:DB:D8 | .cer .pem .txt |
Bis zum 06.03.2025 wurden alle S/MIME-Zertifikate von diesen allgemeinen HARICA S/MIME CAs ausgestellt:
| CommonName | Einsatz | Gültigkeitsende | SHA256/SHA1 Fingerprint | |
|---|---|---|---|---|
HARICA S/MIME RSA | Issuing-CA | Mar 15 09:37:37 2036 GMT | B1:3E:C3:01:E7:BF:E1:DD:B9:C5:BF:C0:71:DC:29:C5 :5E:82:EE:93:32:73:A2:31:34:94:6F:BD:FD:3A:CE:63 / E3:E5:43:9B:68:46:4C:59:DA:8A:C6:7A:54:73:71:0C:FD:11:26:8B | .cer .pem .txt |
HARICA S/MIME ECC | Issuing-CA | Mar 15 09:36:57 2036 GMT | E5:CB:D6:65:91:90:C6:18:88:97:D0:9E:1A:D6:2A:4F :B7:3C:E1:1D:87:27:A4:47:6D:3C:57:9F:0E:15:99:F9 / A5:CD:8B:53:A4:7A:BC:8F:0F:6E:CA:88:3B:2F:2D:08:48:D7:6C:B9 | .cer .pem .txt |
Private Hierarchie für Client-Zertifikate im Grid-Computing / IGTF / Authentifizierung
Seit 05/2025 werden von HARICA im Rahmen von TCS auch Client-Zertifikate für Grid-Computing / IGTF / Authentifizierung in einer nicht im Browser oder Betriebssystem verankerten, privaten Zertifizierungshierarchie ausgestellt.
Dies betrifft alle Zertifikate, die im HARICA-System über den individuellen Antragsweg IGTF Client Auth beantragt werden.
Diese Zertifikate sind daher nicht für S/MIME oder andere Anwendungen, die eine öffentlich vertraute Zertifizierungshierarchie voraussetzen, geeignet.
CA-Zertifikats-Bundle: tcs-geant-client-auth-ca-cert-bundle.zip
| CommonName | Einsatz | Gültigkeitsende | SHA256/SHA1 Fingerprint | |
|---|---|---|---|---|
Research and Education Trust RSA Root CA 5 | Private Root-CA (2025) | Feb 5 16:55:07 2049 GMT | 6D:F2:54:D6:12:C0:FC:70:00:E9:96:77:D7:9E:65:27:65:21:9A:27:06:26:8C:FF:EC:C1:FD:14:35:17:3E:81 / 44:9D:FA:FA:B8:F8:40:CC:1F:9D:7A:F9:BE:93:72:35:14:3C:71:0B | .cer .pem .txt |
Research and Education Trust ECC Root CA 5 | Private Root-CA (2025) | Feb 5 16:53:16 2049 GMT | 48:4E:E1:8D:FD:24:EB:31:4C:54:C8:DD:6C:F2:48:05:79:C8:E2:A9:67:22:2B:E5:DA:6B:2F:0F:CF:3C:6A:20 / 2D:1F:B8:B8:78:5B:03:2B:C0:E4:0A:43:83:5E:6F:A2:48:AB:75:2B | .cer .pem .txt |
GEANT TCS Authentication RSA CA 5 | Private Issuing-CA | Feb 8 17:00:17 2040 GMT | 9D:BE:96:FF:77:20:23:62:51:4A:DE:0C:33:77:7C:A9:BB:D7:17:F3:B4:F0:6C:67:6B:DC:9C:32:49:18:B9:D3 / 3E:5A:BA:94:11:1B:54:A3:86:19:1F:42:69:AD:1A:59:58:ED:0E:3D | .cer .pem .txt |
GEANT TCS Authentication ECC CA 5 | Private Issuing-CA | Feb 8 16:57:54 2040 GMT | 3B:DD:A1:14:FC:6D:52:28:95:22:26:D5:77:5C:CC:F7:AA:6F:AE:64:ED:BF:D7:96:12:04:E6:B6:34:35:69:49 / 95:45:0E:B1:BB:D3:E0:DE:5A:FC:BE:86:01:12:52:08:00:F7:7A:85 | .cer .pem .txt |