Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:cacerts [2025/06/20 12:36] – [S/MIME-Zertifikate] Reimer Karlsen-Masurde:dfnpki:tcs:2025:cacerts [2025/09/12 17:22] (aktuell) Juergen Brauckmann
Zeile 1: Zeile 1:
-===== GÉANT TCS (HARICA ab 2025) CA-Zertifikate und CA-Zertifikatsketten für Server-Zertifikate =====+===== Wurzelzertifikate und Zertifizierungsketten =====
  
-CA-Zertifikats-Bundle (inkl. moderner Root-CAs (2021) und Legacy-Root-CAs (2015) mit den dann nötigen Cross-CA-Zertifikaten): {{ :de:dfnpki:ca:tcs-harica-tls-ca-cert-bundle.zip | tcs-harica-tls-ca-cert-bundle.zip}}+HARICA hat mehrere Generationen an Wurzelzertifikaten mit unterschiedlichen Verbreitungsgraden.
  
-==== Wurzel-CA-Zertifikate (2021 - modernfür Server-Zertifikate ====+  * Root-CAs 2021 bilden die aktuell verwendete PKI-Hierarchie. Diese Roots sind z.B. in Android 14, iOS 16 und macOS 13 enthalten. 
 +  * Root-CAs 2015 sind die "Legacy"-PKI-Hierarchie mit größerer Kompatibilität, insbesondere bei älteren Android-Systemen und Java. 
 +  * Die privaten Root-CAs sind insbesondere für das Grid-Computing- und HPC-Umfeld für IGTF-Client-Auth vorgesehen. 
 + 
 +Es gibt Cross-CA-Zertifikate, die die 2021er Hierarchie mit der 2015er Hierarchie verbindet. 
 + 
 +Ab den Root-CAs 2021 gibt es aufgrund von Anforderungen von Browsern **unterschiedliche** Root-CA-Zertifikate für S/MIME und TLS. 
 + 
 + 
 +HARICA liefert für Serverzertifikate in der Variante "PEM Bundle" standardmäßig Zertifizierungsketten zur Installation in Servern aus, die auf den Cross-CA-Zertifikaten enden. Dadurch ist maximale Kompatibilität gegeben. 
 + 
 +In der Variante "PKCS#7 (chain)" wird das Cross-CA-Zertifikat nicht ausgeliefert. 
 + 
 +===== Für Serverzertifikate ===== 
 + 
 +TLS-CA-Zertifikats-Bundle: {{ :de:dfnpki:ca:tcs-harica-tls-ca-cert-bundle.zip | tcs-harica-tls-ca-cert-bundle.zip}} 
 + 
 +(inkl. Root-CAs 2021 und Legacy-Root-CAs 2015 und den dazugehörigen Cross-CA-Zertifikaten) 
 + 
 +==== Root-CA-Zertifikate 2021 für Serverzertifikate ====
  
 ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | |  ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | 
Zeile 9: Zeile 28:
 | ''HARICA TLS RSA Root CA 2021'' | Root-CA (2021, modern) | Feb 13 10:55:37 2045 GMT | D9:5D:0E:8E:DA:79:52:5B:F9:BE:B1:1B:14:D2:10:0D:32:94:98:5F:0C:62:D9:FA:BD:9C:D9:99:EC:CB:7B:1D / 02:2D:05:82:FA:88:CE:14:0C:06:79:DE:7F:14:10:E9:45:D7:A5:6D | {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.cer | .cer}} {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.pem | .pem}} {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.txt | .txt}}| | ''HARICA TLS RSA Root CA 2021'' | Root-CA (2021, modern) | Feb 13 10:55:37 2045 GMT | D9:5D:0E:8E:DA:79:52:5B:F9:BE:B1:1B:14:D2:10:0D:32:94:98:5F:0C:62:D9:FA:BD:9C:D9:99:EC:CB:7B:1D / 02:2D:05:82:FA:88:CE:14:0C:06:79:DE:7F:14:10:E9:45:D7:A5:6D | {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.cer | .cer}} {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.pem | .pem}} {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.txt | .txt}}|
 | ''HARICA TLS ECC Root CA 2021'' | Root-CA (2021, modern) | Feb 13 11:01:09 2045 GMT | 3F:99:CC:47:4A:CF:CE:4D:FE:D5:87:94:66:5E:47:8D:15:47:73:9F:2E:78:0F:1B:B4:CA:9B:13:30:97:D4:01 / BC:B0:C1:9D:E9:98:92:70:19:38:57:E9:8D:A7:B4:5D:6E:EE:01:48 | {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.cer | .cer}} {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.pem | .pem}} {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.txt | .txt}}| | ''HARICA TLS ECC Root CA 2021'' | Root-CA (2021, modern) | Feb 13 11:01:09 2045 GMT | 3F:99:CC:47:4A:CF:CE:4D:FE:D5:87:94:66:5E:47:8D:15:47:73:9F:2E:78:0F:1B:B4:CA:9B:13:30:97:D4:01 / BC:B0:C1:9D:E9:98:92:70:19:38:57:E9:8D:A7:B4:5D:6E:EE:01:48 | {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.cer | .cer}} {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.pem | .pem}} {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.txt | .txt}}|
-==== Wurzel-CA-Zertifikate (2015 - legacy) für Server-Zertifikate ====+ 
 +==== Legacy-Root-CA-Zertifikate 2015 und TLS Cross-CA ====
  
 Alternative CA-Ketten können zusammen mit **Cross-CA**-Zertifikaten erstellt werden, die in der ''Hellenic Academic and Research Institutions RootCA 2015'' (RSA) bzw. Alternative CA-Ketten können zusammen mit **Cross-CA**-Zertifikaten erstellt werden, die in der ''Hellenic Academic and Research Institutions RootCA 2015'' (RSA) bzw.
-''Hellenic Academic and Research Institutions ECC RootCA 2015'' (ECC) enden. Diese Legacy-Ketten wären für sehr alte Betriebssysteme bzw. Browser und Java openJDK ab Version 16 notwendig.+''Hellenic Academic and Research Institutions ECC RootCA 2015'' (ECC) enden. Diese Legacy-Ketten sind für alte Betriebssysteme bzw. Browser und Java openJDK ab Version 16 notwendig.
  
 ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | |  ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | 
Zeile 20: Zeile 40:
 | ''Hellenic Academic and Research Institutions RootCA 2015'' | Root-CA (2015, legacy) | Jun 30 10:11:21 2040 GMT | A0:40:92:9A:02:CE:53:B4:AC:F4:F2:FF:C6:98:1C:E4:49:6F:75:5E:6D:45:FE:0B:2A:69:2B:CD:52:52:3F:36 / 01:0C:06:95:A6:98:19:14:FF:BF:5F:C6:B0:B6:95:EA:29:E9:12:A6 | {{ :de:dfnpki:ca:haricarootca2015.cer | .cer}} {{ :de:dfnpki:ca:haricarootca2015.pem | .pem}} {{ :de:dfnpki:ca:haricarootca2015.txt | .txt}}| | ''Hellenic Academic and Research Institutions RootCA 2015'' | Root-CA (2015, legacy) | Jun 30 10:11:21 2040 GMT | A0:40:92:9A:02:CE:53:B4:AC:F4:F2:FF:C6:98:1C:E4:49:6F:75:5E:6D:45:FE:0B:2A:69:2B:CD:52:52:3F:36 / 01:0C:06:95:A6:98:19:14:FF:BF:5F:C6:B0:B6:95:EA:29:E9:12:A6 | {{ :de:dfnpki:ca:haricarootca2015.cer | .cer}} {{ :de:dfnpki:ca:haricarootca2015.pem | .pem}} {{ :de:dfnpki:ca:haricarootca2015.txt | .txt}}|
 | ''Hellenic Academic and Research Institutions ECC RootCA 2015'' | Root-CA (2015, legacy) | Jun 30 10:37:12 2040 GMT | 44:B5:45:AA:8A:25:E6:5A:73:CA:15:DC:27:FC:36:D2:4C:1C:B9:95:3A:06:65:39:B1:15:82:DC:48:7B:48:33 / 9F:F1:71:8D:92:D5:9A:F3:7D:74:97:B4:BC:6F:84:68:0B:BA:B6:66 | {{ :de:dfnpki:ca:haricaeccrootca2015.cer | .cer}} {{ :de:dfnpki:ca:haricaeccrootca2015.pem | .pem}} {{ :de:dfnpki:ca:haricaeccrootca2015.txt | .txt}}| | ''Hellenic Academic and Research Institutions ECC RootCA 2015'' | Root-CA (2015, legacy) | Jun 30 10:37:12 2040 GMT | 44:B5:45:AA:8A:25:E6:5A:73:CA:15:DC:27:FC:36:D2:4C:1C:B9:95:3A:06:65:39:B1:15:82:DC:48:7B:48:33 / 9F:F1:71:8D:92:D5:9A:F3:7D:74:97:B4:BC:6F:84:68:0B:BA:B6:66 | {{ :de:dfnpki:ca:haricaeccrootca2015.cer | .cer}} {{ :de:dfnpki:ca:haricaeccrootca2015.pem | .pem}} {{ :de:dfnpki:ca:haricaeccrootca2015.txt | .txt}}|
-====CA-Zertifikate für die Ausstellung von Server-Zertifikaten==== 
  
-Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der ''HARICA TLS RSA Root CA 2021'' oder der ''HARICA TLS ECC Root CA 2021'' (bzw. deren Cross-CA-Varianten für die Ableitung auf die Legacy-Root-CAs) signiert.+====Issuing-CAs für Serverzertifikate==== 
 + 
 +Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der ''HARICA TLS RSA Root CA 2021'' oder der ''HARICA TLS ECC Root CA 2021'' signiert.
  
-Aktuell (seit dem 06.03.2025werden alle Server-Zertifikate aus GÉANT TCS (HARICA 2025) von diesen spezifischen GÉANT TCS CAs ausgestellt, je nach Algorithmus des Schlüssels (RSA / ECC):+Seit dem 06.03.2025 werden alle Serverzertifikate von diesen spezifischen GÉANT TCS CAs ausgestellt:
  
 ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | |  ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | 
Zeile 31: Zeile 52:
 | ''GEANT TLS RSA 1'' | Issuing-CA | Dec 31 11:14:59 2039 GMT | 5B:67:8D:C4:40:95:A5:28:95:B6:3B:31:F2:72:27:F4:B3:6C:3E:34:74:91:BF:2B:FA:69:18:37:A5:FB:8C:79 / BE:7F:0B:36:F8:8A:22:DD:DE:D3:62:DB:9A:F7:9C:8E:65:82:B9:19 | {{ :de:dfnpki:ca:harica-geant-tls-r1.cer | .cer}} {{ :de:dfnpki:ca:harica-geant-tls-r1.pem | .pem}} {{ :de:dfnpki:ca:harica-geant-tls-r1.txt | .txt}}| | ''GEANT TLS RSA 1'' | Issuing-CA | Dec 31 11:14:59 2039 GMT | 5B:67:8D:C4:40:95:A5:28:95:B6:3B:31:F2:72:27:F4:B3:6C:3E:34:74:91:BF:2B:FA:69:18:37:A5:FB:8C:79 / BE:7F:0B:36:F8:8A:22:DD:DE:D3:62:DB:9A:F7:9C:8E:65:82:B9:19 | {{ :de:dfnpki:ca:harica-geant-tls-r1.cer | .cer}} {{ :de:dfnpki:ca:harica-geant-tls-r1.pem | .pem}} {{ :de:dfnpki:ca:harica-geant-tls-r1.txt | .txt}}|
  
-Bis zum 06.03.2025 wurden alle Server-Zertifikate aus GÉANT TCS (HARICA 2025) von diesen allgemeine HARICA TLS CAs ausgestellt, je nach Algorithmus des Schlüssels (''RSA'' / ''ECC''und der gewählten Validierungsart +Bis zum 06.03.2025 wurden alle Serverzertifikate von diesen allgemeinen HARICA TLS CAs ausgestellt, je nach Algorithmus des Schlüssels und der gewählten Validierungsart:
-(''OV'' - Organisation Validated / ''DV'' - Domain Validated):+
  
 ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | |  ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | 
Zeile 42: Zeile 62:
  
  
-===== GÉANT TCS (HARICA 2025) CA-Zertifikate und CA-Zertifikatsketten für S/MIME-Zertifikate =====+===== Für S/MIME-Zertifikate =====
  
-CA-Zertifikats-Bundle mit moderner Root-CA (2021): {{ :de:dfnpki:ca:tcs-harica-smime-ca-cert-bundle.zip | tcs-harica-smime-ca-cert-bundle.zip}}+S/MIME-CA-Zertifikats-Bundle mit Root-CAs 2021: {{ :de:dfnpki:ca:tcs-harica-smime-ca-cert-bundle.zip | tcs-harica-smime-ca-cert-bundle.zip}}
  
-==== Wurzel-CA-Zertifikate (2021für S/MIME-Zertifikate ====+==== Root-CA-Zertifikate 2021 für S/MIME-Zertifikate ====
  
 ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | |  ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | 
Zeile 53: Zeile 73:
 | ''HARICA Client ECC Root CA 2021'' | Root-CA (2021, modern) | Feb 13 11:03:33 2045 GMT | 8D:D4:B5:37:3C:B0:DE:36:76:9C:12:33:92:80:D8:27 :46:B3:AA:6C:D4:26:E7:97:A3:1B:AB:E4:27:9C:F0:0B / BE:64:D3:DA:14:4B:D2:6B:CD:AF:8F:DB:A6:A6:72:F8:DE:26:F9:00 | {{ :de:dfnpki:ca:harica-client-root-2021-ecc.cer | .cer}} {{ :de:dfnpki:ca:harica-client-root-2021-ecc.pem | .pem}} {{ :de:dfnpki:ca:harica-client-root-2021-ecc.txt | .txt}}| | ''HARICA Client ECC Root CA 2021'' | Root-CA (2021, modern) | Feb 13 11:03:33 2045 GMT | 8D:D4:B5:37:3C:B0:DE:36:76:9C:12:33:92:80:D8:27 :46:B3:AA:6C:D4:26:E7:97:A3:1B:AB:E4:27:9C:F0:0B / BE:64:D3:DA:14:4B:D2:6B:CD:AF:8F:DB:A6:A6:72:F8:DE:26:F9:00 | {{ :de:dfnpki:ca:harica-client-root-2021-ecc.cer | .cer}} {{ :de:dfnpki:ca:harica-client-root-2021-ecc.pem | .pem}} {{ :de:dfnpki:ca:harica-client-root-2021-ecc.txt | .txt}}|
  
-====CA-Zertifikate für die Ausstellung von S/MIME-Zertifikaten====+====Issuing-CAs für S/MIME-Zertifikate====
  
 Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der ''HARICA Client RSA Root CA 2021'' oder der ''HARICA Client ECC Root CA 2021'' signiert. Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der ''HARICA Client RSA Root CA 2021'' oder der ''HARICA Client ECC Root CA 2021'' signiert.
  
-Aktuell (seit dem 06.03.2025werden alle S/MIME-Zertifikate aus GÉANT TCS (HARICA 2025) von diesen spezifischen GÉANT TCS S/MIME CAs ausgestellt, je nach Algorithmus des Schlüssels (''RSA'' / ''ECC''):+Seit dem 06.03.2025 werden alle S/MIME-Zertifikate von diesen spezifischen GÉANT TCS S/MIME CAs ausgestellt:
  
 ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | |  ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | 
Zeile 64: Zeile 84:
 | ''GEANT S/MIME ECC 1'' | Issuing-CA | Dec 31 11:11:39 2039 GMT | 6E:F2:FE:A6:4B:86:A6:12:03:FC:7D:53:F2:F2:12:A8 :E3:FB:E0:85:93:4D:60:A5:A8:8A:BF:46:DC:C2:11:4A / 57:B1:33:3A:E7:FB:B2:AC:53:0B:D8:FF:09:A0:2F:24:AA:19:DB:D8 | {{ :de:dfnpki:ca:harica-geant-smime-e1.cer | .cer}} {{ :de:dfnpki:ca:harica-geant-smime-e1.pem | .pem}} {{ :de:dfnpki:ca:harica-geant-smime-e1.txt | .txt}}| | ''GEANT S/MIME ECC 1'' | Issuing-CA | Dec 31 11:11:39 2039 GMT | 6E:F2:FE:A6:4B:86:A6:12:03:FC:7D:53:F2:F2:12:A8 :E3:FB:E0:85:93:4D:60:A5:A8:8A:BF:46:DC:C2:11:4A / 57:B1:33:3A:E7:FB:B2:AC:53:0B:D8:FF:09:A0:2F:24:AA:19:DB:D8 | {{ :de:dfnpki:ca:harica-geant-smime-e1.cer | .cer}} {{ :de:dfnpki:ca:harica-geant-smime-e1.pem | .pem}} {{ :de:dfnpki:ca:harica-geant-smime-e1.txt | .txt}}|
  
-Bis zum 06.03.2025 wurden alle S/MIME-Zertifikate aus GÉANT TCS (HARICA 2025) von diesen allgemeinen HARICA S/MIME CAs ausgestellt, je nach Algorithmus des Schlüssels (RSA / ECC):+Bis zum 06.03.2025 wurden alle S/MIME-Zertifikate von diesen allgemeinen HARICA S/MIME CAs ausgestellt:
  
 ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | |  ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | 
Zeile 72: Zeile 92:
  
  
-===== Private Zertifizierungshierarchie für Client-Zertifikate im Grid-Computing / IGTF / Authentifizierung =====+===== Private Hierarchie für Client-Zertifikate im Grid-Computing / IGTF / Authentifizierung =====
  
 Seit 05/2025 werden von HARICA im Rahmen von TCS auch Client-Zertifikate für Grid-Computing / IGTF / Authentifizierung in einer nicht im Browser oder Betriebssystem verankerten, privaten Zertifizierungshierarchie ausgestellt. Seit 05/2025 werden von HARICA im Rahmen von TCS auch Client-Zertifikate für Grid-Computing / IGTF / Authentifizierung in einer nicht im Browser oder Betriebssystem verankerten, privaten Zertifizierungshierarchie ausgestellt.
  • Zuletzt geändert: vor 5 Monaten