Serverzertifikate können von Usern mit einem Account im System beantragt werden (siehe User-Registrierung). Alternativ steht ACME zur Verfügung.

HARICA unterstützt wie jede PKI CAA Records.

Serverzertifikate, die über die Web-Oberfläche ausgestellt werden, erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle User gestellt, und von einem anderen Account mit Rolle Enterprise Approver genehmigt.

Auch ein Enterprise Admin oder Enterprise Approver kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten Enterprise Approver.

Der Antragsstellende kann über den Menüpunkt „Server“ links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung:

  • Domain-only (DV): Zertifikate ohne Organisationsnamen.
  • For enterprises or organizations (OV): Zertifikate mit Organisationsnamen. Erst verfügbar, wenn eine Organisationsvalidierung abgeschlossen wurde.
  • For enterprises or organizations (EV): Nicht empfehlenswert Extended-Validation-Zertifikate, wie sie vor einigen Jahren z.B. für Online-Banking gebräuchlich waren. Kein Mehrwert ggü OV. Kostenpflichtig.

Die Antragstellung sollte weitestgehend selbsterklärend sein.

Hinweis 1: Die Erzeugung von 4096-Bit-Schlüsseln im Browser dauert manchmal mehrere Minuten und erscheint dabei wie eine „hängenden“ Webseite.

Hinweis 2: Wird ein eigener CSR per Copy&Paste in den Antrag aufgenommen, ist darauf zu achten, dass keine zusätzlichen Leerzeichen oder Leerzeilen etc mit in das Eingabefeld für den CSR kopiert oder eingegeben werden. Diese können zur Ablehnung von Anträgen mittels diverser Fehlermeldungen oder später zu hängenden Anträgen führen.

Hinweis 3: Wird ein selbsterstellter CSR hochgeladen und erscheint daraufhin der Hinweis „This public key can not be used.“, so liegt das an mindestens einem der folgenden Gründe: (i) ein anderer HARICA-Account hat bereits den gleichen Schlüssel in einem Zertifikatantrag benutzt; (ii) der Schlüssel ist HARICA als kompromittiert gemeldet; (iii) der Schlüssel genügt nicht (mehr) den aktuell gültigen technischen Anforderungen aus dem HARICA CP/CPS.

Zertifikatablauf-Warn-E-Mails (Notifications) für Serverzertifikate

Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account in den Serverzertifikat-Details unter dem Tab „Notifications“ weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten.

Limitierung SANs

Die Anzahl der SubjectAlternativeNames ist derzeit auf 100 begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt.

Genehmigung

Der Enterprise Approver kann die Liste der offenen Anträge über „Admin→SSL Request“ einsehen. Über das Icon Show details neben jedem Antrag wird dieser eingesehen und genehmigt. Zur Genehmigung muss in dem Dialog zunächst ein Text in das Feld „Message“ eingegeben werden, bevor der Button „Accept“ bedient werden kann.

Die Buttons Open File und <Choose File> no file chosen haben keine Bedeutung.

Bild des Dialogs SSL Show details

Download und Bezug der Zertifikatkette

Der Antragsstellende kann das Zertifikat über „My Dashboard“ herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button PEM bundle im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist.

Bild des Dialogs Certificate Download

Hinweis: Der Enterprise Approver hat den Button PEM bundle in seiner Übersicht unter „Enterprise→SSL Certificates“ nicht zur Verfügung. Hier gibt es nur Download as PEM, Download as DER und Download as PKCS#7.

PKCS#7 zu PEM bundle

Um aus einer PKCS#7-Datei ein PEM bundle für Apache oder nginx zu erstellen, kann die folgende Befehlszeile verwendet werden:

  openssl pkcs7 -in Cert_chain.p7b -print_certs > Cert_pem_bundle.pem

High Risk Anträge

Bestimmte Server-Namen werden als „Hochrisiko-Anträge“ markiert. Dies ist eine Vorgabe vom CA/Browser-Forum. Betroffen sind zum einen bekannte Namen wie „google“, aber auch „haricatest“.

Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente nicht mit dem Schlüsselwort „harica“ durchzuführen.

  • Zuletzt geändert: vor 2 Monaten