Es gibt die folgenden Varianten von Userzertifikaten und Workflows:

• S/MIME
  • Self-Service, durch den User initiiert. Auch Übernahme von Daten aus der AAI möglich.
  • Bulk-Verfahren, durch den Enterprise Approver initiiert
• Client-Auth-Zertifikate für Authentifizierung, im Self-Service oder im Bulk-Verfahren
• IGTF-Client-Zertifikate im Self-Service

Im HARICA Certificate-Manager angemeldete User können mit dem Menüpunkt „Email“ (im linken Vertikal-Menü) einen Beantragungsprozess starten.

Es stehen im Antragsprozess die folgenden Zertifikattypen zur Verfügung:

• Email-only: Das Zertifikat enthält nur die Mail-Adresse. Es muss (in der offenen HARICA-Login-Session) eine Mail-Challenge beantwortet werden. Weitere Freigabeprozesse sind nicht erforderlich. Auch geeignet für Gruppen-, Rollen- oder Funktions-E-Mail-Adressen.
• For individuals or sole proprietorships (IV): Nicht empfehlenswert Für individuelle Personen mit validiertem Vor- und Nachnamen ohne Organisationsinformationen. Kostenpflichtig, im Forschungsnetzumfeld nicht sinnvoll einzusetzen.
• For enterprises or organizations (OV): Nicht empfehlenswert Zertifikate mit Mail-Adresse und Organisationsname. Kostenpflichtig; es ist eine individuelle Organisationsvalidierung erforderlich.
• For enterprises or organizations (IV+OV): Zertifikate für Personen mit validiertem Vor- und Nachnamen und Organisationsinformationen, mit zwei Varianten des Antragsprozesses

Für den Zertifikattyp For enterprises or organizations (IV+OV) lassen sich zwei verschiedene Abläufe realisieren:

1. Ohne Übernahme von AAI-Daten (nicht empfehlenswert): Ist der User mit Username/Passwort eingeloggt oder ist ein Login per AAI („Academic Login“) erfolgt, aber es wurden keine weitere Vorbereitungen getroffen:

• Der User muss seine Daten wie Vorname und Nachname selbst eingeben.
• Im Antragsprozess wird nach einem Upload von Personalausweiskopien gefragt.
• Es muss (in der offenen HARICA-Login-Session) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden.
• Es ist eine Genehmigung durch einen Enterprise Approver erforderlich.
  • Stellen Sie bitte keine Zertifikate für Gruppennamen oder Pseudonyme aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. E-Mail-Adressen von Rollen, Funktionen und Gruppen sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher in „IV+OV“-Zertifikate aufgenommen werden.

Aufgrund der gesetzlichen Einschränkungen bei der Verwendung von Ausweiskopien in Deutschland und der Komplexität der datenschutzrechtlichen Beurteilung raten wir davon ab, diesen Antragsweg aktiv zu verwenden.

Wichtig: HARICA prüft in nachgelagerten, stichprobenartigen Audits die hochgeladenen Dokumente und verlangt gegebenenfalls eine Sperrung von Zertifikaten, wenn sich Inkonsistenzen ergeben.

2. Mit Übernahme von AAI-Daten (empfohlen): Ist der Login über die AAI („Academic Login“) erfolgt, und sind die Vorbeitungen für die Übernahme von AAI-Daten getroffen worden:

• Vorname und Nachname wird von der AAI übernommen.
  • Von der AAI an HARICA übertragene Vor- und Nachnamen der Personen dürfen keine Gruppennamen oder Pseudonyme sein! aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate.
• Es muss (in der offenen HARICA-Login-Session) eine E-Mail-Challenge zur Bestätigung der E-Mail-Adresse beantwortet werden.
• Das Zertifikat wird ohne separate Genehmigung eines Enterprise Approvers ausgestellt.

Zur Übernahme von Daten aus der AAI zur Ausstellung von IV+OV-S/MIME-Zertifikaten sind folgende Vorbereitungen zu treffen:

1. Es müssen die allgemeinen Voraussetzungen für die AAI-Nutzung erfüllt werden, insbesondere dürfen in der DFN-AAI vom Identity-Provider in den Namensattributen für die Ausstellung von Zertifikaten ausschließlich echte Personennamen übertragen werden, das gilt auch für Tests.

2. Für alle User, die mit diesem Ablauf Zertifikate beziehen sollen, müssen zusätzliche Attribute an HARICA übermittelt werden:

• eduPersonPrincipalName
• eduPersonEntitlement
  • urn:mace:terena.org:tcs:smime-sv-autoissue ermöglicht den Bezug von S/MIME-Zertifikaten
  • urn:mace:terena.org:tcs:personal-user ermöglicht den Bezug von S/MIME-Zertifikate und zusätzlich des Typs IGTF Client Auth (siehe unten)
  • Wichtig: Voraussetzung für das Setzen der Entitlements ist, dass Sie in Ihrer Einrichtung die User identifiziert haben. Dies kann auch in der Vergangenheit im Rahmen der Einschreibung oder der Vergabe von Accounts im Rechenzentrum geschehen sein. Alle uns bekannten Details zu Anforderungen nach der Identifizierung sind von HARICA mit den unten genannten Bedingungen erläutert worden.
  • Wichtig: Das an HARICA übertragene eduPersonEntitlement-Attribut darf eine maximale Länge von 85 Zeichen nicht überschreiten. Es können also auch beide o.a. TCS-spezifischen Entitlements gleichzeitig an HARICA herausgegeben werden werden aber eben in der Regel keine anderen Entitlements, die für TCS nicht relevant sind. Eine mögliche Attribute-Filter-Regel speziell für die HARICA Service-Provider für den organisationseigenen Shibboleth-IdP könnte sein:

./conf/attribute-filter.xml

  <AttributeRule attributeID="eduPersonEntitlement">
    <PermitValueRule xsi:type="OR">
      <Rule xsi:type="Value" value="urn:mace:terena.org:tcs:smime-sv-autoissue" /> <!-- Automatische Genehmigung von IV+OV S/MIME-Zertifikaten -->
      <Rule xsi:type="Value" value="urn:mace:terena.org:tcs:personal-user" />      <!-- wie smime-sv-autoissue und ermöglicht Beantragung von IGTF Client Auth Zertifikaten -->
    </PermitValueRule>
  </AttributeRule>

3. Der Enterprise Administrator muss das Feature freischalten. Hierzu unter „Admin→Enterprises“ das eigene Enterprise aufrufen und im großen Dialog oben rechts das kleine Postfach-Icon anklicken.

4. Es öffnet sich ein Fenster mit zusätzlichen Bedingungen, denen durch Anklicken der Checkbox zugestimmt werden muss. Diese Bedingungen betreffen insbesondere die Identifizierung, die die Einrichtung für alle User durchgeführt haben muss, die an diesem Verfahren teilnehmen sollen.

Derzeit (24.06.2025) von HARICA dort dargestellte Bedingungen:

I, <name>, acting as the authorized representative of <enterprise> within HARICA's CertManager certificate lifecycle management portal, hereby request the activation of automated S/MIME certificate issuance for validated individuals associated with my Organization. This applies to SAML-authenticated users designated by the Organization through the release of the:

  • urn:mace:terena.org:tcs:personal-user
  or
  • urn:mace:terena.org:tcs:smime-sv-autoissue

Furthermore, I confirm that my Organization collects and maintains appropriate evidence supporting the identity attributes of the individual Applicants specified above. These attributes, released by the Organization's Identity Provider (IdP), will be included in the certificates. My Organization is solely responsible for verifying the identity and accuracy of the information included in each certificate request and ensuring that all enrollment data is complete and correct.
Finally, by submitting this request, I declare that I have read and agree to HARICA's Terms of Use and Certificate Policy/Certification Practice Statement.

Sind diese Vorbereitung abgeschlossen, werden für alle User, die sich mit den o.g. Attributen/Entitlements über die AAI anmelden, im Menüpunkt „Email“ im Zertifikattyp For enterprises or organizations (IV+OV) die Daten aus der AAI übernommen.

Ein Enterprise Approver hat die Möglichkeit, über den Upload einer CSV-Datei mit Mail-Adressen, Personennamen und weiteren Parametern größere Mengen an S/MIME-Zertifikaten in einem Schritt ohne User-Interaktion zu erstellen.

Der Prozess ist verfügbar unter „Enterprises→Admin→Bulk Certificates→S/MIME“, Button „Start here“. Beispiel-CSV-Dateien für mehrere Varianten stehen direkt in dem Dialog zur Verfügung.

Eigenschaften:

• Es können bis zu drei E-Mail-Adressen pro Zertifikat angegeben werden.
• Übergabe eines CSR in der Spalte „CSR“ oder alternativ Generierung der Schüssel durch das HARICA-System.
• Die Werte in der Spalte „FriendlyName“ dürfen maximal 85 Zeichen lang sein.
• Es können entweder Zertifikate des Typs email_only oder aber natural_legal_lcp (also IV+OV mit Vorname, Nachname und Organisationsname) ausgestellt werden.
• Es gibt eine Begrenzung auf 50 Zeilen.

Voraussetzung für die Ausstellung von Zertifikaten des Typs IV+OV ist auch im Bulk-Prozess das Vorliegen von Identifizierungen der betroffenen Personen. Die allgemeinen Bedingungen sind in Vorbeitungen für die Übernahme von AAI-Daten dargestellt.

Wichtig: Stellen Sie bitte keine Zertifikate für Gruppennamen oder Pseudonyme aus. Dies ist von HARICA nicht erlaubt und führt zur nachträglichen Sperrung der Zertifikate. E-Mail-Adressen von Rollen, Funktionen und Gruppen sind in diesem Sinne keine Gruppennamen oder Pseudonyme und dürfen daher sowohl in „Email-only“- bzw. in deren Bulk-S/MIME-Pendant „email_only“-Zertifikate als auch in „IV+OV“- bzw. deren Bulk-S/MIME-Pendant „natural_legal_lcp“-Zertifikate aufgenommen werden.

Zertifikatablauf-Warnungen für S/MIME-Zertifikate aus einem der Self-Service Antragswegen werden automatisch jeweils 30, 15, 5 und 1 Tag(e) vor Ablauf des jeweiligen Zertifikats an die im Zertifikat enthaltene(n) E-Mail-Adresse(n) geschickt. Zeiträume etc sind nicht individuell konfigurierbar.

Zertifikatablauf-Warnungen für S/MIME-Zertifikate aus dem Bulk-Antragsweg werden derzeit automatisch 30 Tage vor Ablauf des jeweiligen Zertifikats an die im Zertifikat enthaltene(n) E-Mail-Adresse(n) geschickt. Eine Anpassung an die Zeiträume der Self-Service-Antragswege ist angekündigt.

Angemeldeten User steht im linken Menü stets ein Punkt „Client Auth“ zur Verfügung.

Enterprise Approver können diese Zertifikate über „Admin→Enterprises→Bulk Certificates→Client Authentication“ ausstellen.

Eigenschaften:

• Kostenpflichtig
• Zertifikate ausschließlich zur Client-Authentifizierung an geeigneten, darauf vorbereiteten Systemen
• Aus einer privaten PKI

Dieser Zertifikattyp wird nur in sehr spezialisierten Fällen Anwendung finden. Die DFN-Verein Community-PKI wird üblicherweise passender und günstiger sein.

IGTF-Client-Zertifikate sind spezielle Authentifizierungszertifikate für das Grid-Computing aus einer „privaten“ PKI-Hierarchie. Außerhalb der Grid- und HPC-Community haben sie keinen Anwendungsfall.

Enterprise Administratoren können die Ausstellung von IGTF-Client-Zertifikaten freischalten. Hierzu muss der Punkt „Admin→Enterprises“ aufgerufen werden. Dort das eigene Enterprise auswählen, und im großen Detail-Dialog das „tag“-Icon anklicken. Dort kann dann #IGTF-Organization aktiviert werden.

Ist dieser Punkt aktiviert, haben User, die sich per AAI eingelogged haben und ein Entitlement urn:mace:terena.org:tcs:personal-user gesetzt haben, einen Menüpunkt IGTF-Client Auth zur Verfügung.