Serverzertifikate können von Usern mit einem Account im System beantragt werden (siehe User-Registrierung). Alternativ steht ACME zur Verfügung.

HARICA unterstützt wie jede PKI CAA Records.

Serverzertifikate, die über die Web-Oberfläche ausgestellt werden, erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle User gestellt, und von einem anderen Account mit Rolle Enterprise Approver genehmigt.

Auch ein Enterprise Admin oder Enterprise Approver kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten Enterprise Approver.

Der Antragsstellende kann über den Menüpunkt „Server“ links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung:

• Domain-only (DV): Zertifikate ohne Organisationsnamen.
• For enterprises or organizations (OV): Zertifikate mit Organisationsnamen. Erst verfügbar, wenn eine Organisationsvalidierung abgeschlossen wurde.
• For enterprises or organizations (EV): Nicht empfehlenswert Extended-Validation-Zertifikate, wie sie vor einigen Jahren z.B. für Online-Banking gebräuchlich waren. Kein Mehrwert ggü OV. Kostenpflichtig.

Die Antragstellung sollte weitestgehend selbsterklärend sein.

Hinweis 1: Die Erzeugung von 4096-Bit-Schlüsseln im Browser dauert manchmal mehrere Minuten und erscheint dabei wie eine „hängenden“ Webseite.

Hinweis 2: Wird ein eigener CSR per Copy&Paste in den Antrag aufgenommen, ist darauf zu achten, dass keine zusätzlichen Leerzeichen oder Leerzeilen etc mit in das Eingabefeld für den CSR kopiert oder eingegeben werden. Diese können zur Ablehnung von Anträgen mittels diverser Fehlermeldungen oder später zu hängenden Anträgen führen.

Hinweis 3: Wird ein selbsterstellter CSR hochgeladen und erscheint daraufhin der Hinweis „This public key can not be used.“, so liegt das an mindestens einem der folgenden Gründe: (i) ein anderer HARICA-Account hat bereits den gleichen Schlüssel in einem Zertifikatantrag benutzt; (ii) der Schlüssel ist HARICA als kompromittiert gemeldet; (iii) der Schlüssel genügt nicht (mehr) den aktuell gültigen technischen Anforderungen aus dem HARICA CP/CPS.

Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account in den Serverzertifikat-Details unter dem Tab „Notifications“ weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten.

Die Anzahl der SubjectAlternativeNames ist derzeit auf 100 begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt.

Im ersten Schritt des Zertifikatbeantragungsprozess können Domains für das neu auszustellende Server-Zertifikat aus Dateien importiert/übernommen werden. Verschiedene Dateitypen (.csv, .crt, .cer, .pem, .csr) werden dabei akzeptiert. Sofern eine PEM-formatierte CSR-Datei für die Übernahme der Domains importiert werden soll, muss diese die Dateiendung .csr haben und die Domains müssen im CSR im ''subjectAlternativeName'' stehen. Aufrufbeispiel für openssl:

RSA-Schlüssel: openssl req -newkey rsa:4096 -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org'

EC-Schlüssel: openssl req -newkey EC -pkeyopt ec_paramgen_curve:P-384 -pkeyopt ec_param_enc:named_curve -sha256 -keyout blog.example.org.key -out blog.example.org.csr -batch -subj '/CN=foo' -addext 'subjectAltName=DNS:blog.example.org,DNS:example.org'

Der Enterprise Approver kann die Liste der offenen Anträge über „Admin→SSL Request“ einsehen. Über das Icon Show details neben jedem Antrag wird dieser eingesehen und genehmigt. Zur Genehmigung muss in dem Dialog zunächst ein Text in das Feld „Message“ eingegeben werden, bevor der Button „Accept“ bedient werden kann.

Die Buttons Open File und <Choose File> no file chosen haben keine Bedeutung.

Der Antragsstellende kann das Zertifikat über „My Dashboard“ herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button PEM bundle im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist. Diese Datei enthält eine Zertifizierungskette für maximale Kompatibilität mit Cross-CA-Zertifikat auf die Wurzelzertifikate von 2015.

Die Option „PKCS#7 (chain)“ enthält das Cross-CA-Zertifikat nicht und ist nicht maximal kompatibel.

Hinweis: Der Enterprise Approver hat den Button PEM bundle in seiner Übersicht unter „Enterprise→SSL Certificates“ nicht zur Verfügung. Hier gibt es nur Download as PEM, Download as DER und Download as PKCS#7. Letzteres wird ebenfalls ohne Cross-CA-Zertifikat ausgeliefert.

Um aus einer PKCS#7-Datei ein PEM bundle für Apache oder nginx zu erstellen, kann die folgende Befehlszeile verwendet werden:

  openssl pkcs7 -in Cert_chain.p7b -print_certs > Cert_pem_bundle.pem

Bestimmte Server-Namen werden als „Hochrisiko-Anträge“ markiert. Dies ist eine Vorgabe vom CA/Browser-Forum. Betroffen sind zum einen bekannte Namen wie „google“, aber auch „haricatest“.

Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente nicht mit dem Schlüsselwort „harica“ durchzuführen.