Serverzertifikate
Serverzertifikate können von Usern mit einem Account im System beantragt werden (siehe User-Registrierung). Alternativ steht ACME zur Verfügung.
HARICA unterstützt wie jede PKI CAA Records.
Vier-Augen-Prinzip
Serverzertifikate, die über die Web-Oberfläche ausgestellt werden, erfordern ein Vier-Augen-Prinzip: Anträge werden von einem Account mit mindestens Rolle User
gestellt, und von einem anderen Account mit Rolle Enterprise Approver
genehmigt.
Auch ein Enterprise Admin
oder Enterprise Approver
kann seine eigenen Anträge nicht genehmigen, sondern benötigt einen zweiten Enterprise Approver
.
Zertifikattypen und Antragsstellung
Der Antragsstellende kann über den Menüpunkt „Server“ links einen Antrag stellen. Es stehen die folgenden Zertifikattypen zur Verfügung:
Domain-only (DV)
: Zertifikate ohne Organisationsnamen.For enterprises or organizations (OV)
: Zertifikate mit Organisationsnamen. Erst verfügbar, wenn eine Organisationsvalidierung abgeschlossen wurde.For enterprises or organizations (EV)
: Nicht empfehlenswert Extended-Validation-Zertifikate, wie sie vor einigen Jahren z.B. für Online-Banking gebräuchlich waren. Kein Mehrwert ggü OV. Kostenpflichtig.
Die Antragstellung sollte weitestgehend selbsterklärend sein.
Hinweis 1: Die Erzeugung von 4096-Bit-Schlüsseln im Browser dauert manchmal mehrere Minuten und erscheint dabei wie eine „hängenden“ Webseite.
Hinweis 2: Wird ein eigener CSR per Copy&Paste in den Antrag aufgenommen, ist darauf zu achten, dass keine zusätzlichen Leerzeichen oder Leerzeilen etc mit in das Eingabefeld für den CSR kopiert oder eingegeben werden. Diese können zur Ablehnung von Anträgen mittels diverser Fehlermeldungen oder später zu hängenden Anträgen führen.
Hinweis 3: Wird ein selbsterstellter CSR hochgeladen und erscheint daraufhin der Hinweis „This public key can not be used.
“, so liegt das an mindestens einem der folgenden Gründe: (i) ein anderer HARICA-Account hat bereits den gleichen Schlüssel in einem Zertifikatantrag benutzt; (ii) der Schlüssel ist HARICA als kompromittiert gemeldet; (iii) der Schlüssel genügt nicht (mehr) den aktuell gültigen technischen Anforderungen aus dem HARICA CP/CPS.
Zertifikatablauf-Warn-E-Mails (Notifications) für Serverzertifikate
Sobald das Serverzertifikat ausgestellt ist, können durch den das Zertifikat beantragenden HARICA-Account in den Serverzertifikat-Details unter dem Tab „Notifications“ weitere E-Mail-Adressen zusätzlich zur immer vorhandenen Account-E-Mail-Adresse angegeben werden, um Zertifikatablauf-Warn-E-Mails jeweils 15, 5 und 1 Tag(e) vor dem Zertifikatsablauf zu erhalten.
Limitierung SANs
Die Anzahl der SubjectAlternativeNames ist derzeit auf 100 begrenzt. Das eine Erweiterung notwendig ist, ist HARICA bekannt.
Genehmigung
Der Enterprise Approver kann die Liste der offenen Anträge über „Admin→SSL Request“ einsehen. Über das Icon Show details
neben jedem Antrag wird dieser eingesehen und genehmigt. Zur Genehmigung muss in dem Dialog zunächst ein Text in das Feld „Message“ eingegeben werden, bevor der Button „Accept“ bedient werden kann.
Die Buttons Open File
und <Choose File> no file chosen
haben keine Bedeutung.
Download und Bezug der Zertifikatkette
Der Antragsstellende kann das Zertifikat über „My Dashboard“ herunterladen. Hierzu muss das Download-Icon neben dem Zertifikat angewählt werden. Mit dem Button PEM bundle
im anschließenden Dialog erhält man eine Datei, die für Webserver wie Apache oder nginx direkt verwendbar ist.
Hinweis: Der Enterprise Approver hat den Button PEM bundle
in seiner Übersicht unter „Enterprise→SSL Certificates“ nicht zur Verfügung. Hier gibt es nur Download as PEM
, Download as DER
und Download as PKCS#7
.
PKCS#7 zu PEM bundle
Um aus einer PKCS#7-Datei ein PEM bundle für Apache oder nginx zu erstellen, kann die folgende Befehlszeile verwendet werden:
openssl pkcs7 -in Cert_chain.p7b -print_certs > Cert_pem_bundle.pem
High Risk Anträge
Bestimmte Server-Namen werden als „Hochrisiko-Anträge“ markiert. Dies ist eine Vorgabe vom CA/Browser-Forum. Betroffen sind zum einen bekannte Namen wie „google“, aber auch „haricatest“.
Um den Aufwand auf HARICA-Seite zu vermindern, bitten wir drum, Experimente nicht mit dem Schlüsselwort „harica“ durchzuführen.