TCS Wurzel- und CA-Zertifikate

In TCS werden eine Vielzahl von verschiedenen CA-Zertifikaten verwendet. Sowohl der Algorithmus des Schlüssels als auch der Verwendungszweck des Zertifikats können eine separate Zertifizierungshierarchie erfordern. Einen generellen, nicht TCS-spezifischen Überblick gibt Sectigo in: https://sectigo.com/knowledge-base/detail/Sectigo-Chain-Hierarchy-and-Intermediate-Roots/kA01N000000rgSZ

Die hier aufgeführten Root- und CA-Zertifikate werden in TCS verwendet. Die Fingerprints können z.B. mit openssl reproduziert werden: 

openssl x509 -in <datei.pem> -fingerprint -sha256 -noout

Öffentlich vertraute Zertifizierungshierarchie

Root-Zertifikate

In TCS enden Zertifizierungsketten üblicherweise auf einem der beiden Root-Zertifikate „USERTrust …“. Diese Root-Zertifikate sind in allen aktuell verfügbaren Browsern und Betriebssystemen vorinstalliert.

Download: tcs-root-bundle.tar

CommonName Einsatz Gültigkeitsende SHA256 Fingerprint
USERTrust RSA Certification Authority Root Jan 18 23:59:59 2038 GMT E7:93:C9:B0:2F:D8:AA:13:E2:1C:31:22:8A:CC:B0:81 :19:64:3B:74:9C:89:89:64:B1:74:6D:46:C3:D4:CB:D2
USERTrust ECC Certification Authority Root Jan 18 23:59:59 2038 GMT 4F:F4:60:D5:4B:9C:86:DA:BF:BC:FC:57:12:E0:40:0D :2B:ED:3F:BC:4D:4F:BD:AA:86:E0:6A:DC:D2:A9:AD:7A

Kompatibilität ab:

  • Windows XP
  • MacOS 10.12.1
  • iOS 10
  • Firefox 3.6
  • Android 5.1
  • Java JRE 8u51

Root-Zertifikat AAA Certificate Services

Eine alternative CA-Kette kann mit Cross-Zertifikaten erstellt werden, die in der Root AAA Certificate Services endet. Diese Kette wäre für sehr alte Betriebssysteme bzw. Browser notwendig.

Sectigo liefert in Chains zur Zeit üblicherweise die AAA Certificate Services aus. Diese kann problemlos eingesetzt werden.

Sectigo erläutert die AAA Certificate Services: https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020

Download: tcs-alternate-root-bundle.tar

CommonName Einsatz Gültigkeitsende SHA256 Fingerprint
AAA Certificate Services Root Dec 31 23:59:59 2028 GMT D7:A7:A0:FB:5D:7E:27:31:D7:71:E9:48:4E:BC:DE:F7 :1D:5F:0C:3E:0A:29:48:78:2B:C8:3E:E0:EA:69:9E:F4
USERTrust RSA Certification Authority Intermediate (Cross-CA) Dec 31 23:59:59 2028 GMT 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6 :1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
USERTrust ECC Certification Authority Intermediate (Cross-CA) Dec 31 23:59:59 2028 GMT A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03 :B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA

Diese auf das Root-Zertifikat AAA Certificate Services endende alternative CA-Kette wird für die folgenden Systeme benötigt:

  • Apple iOS 3
  • Apple macOS 10.4
  • Google Android 2.3
  • Mozilla Firefox 1
  • Oracle Java JRE 1.5.0_08 (auch < 8u51)

Code Signing

Dieses CA-Zertifikat ist von der USERTrust RSA Certification Authority signiert.

Download: tcs-code-signing-ca-bundle.tar

CommonName Gültigkeitsende SHA256 Fingerprint
GEANT Code Signing CA 4 May 1 23:59:59 2033 GMT D1:40:65:0B:0A:A1:FC:54:DF:92:CB:46:98:53:37:C0 :68:21:47:27:77:09:47:D6:78:85:89:A5:20:07:EA:20

Client-Zertifikate

Auch die CA-Zertifikate für Client-Zertifikate sind, je nach Algorithmus des Schlüssels, von der USERTrust RSA Certification Authority oder der USERTrust ECC Certificate Authority signiert.

Download: tcs-client-certificate-ca-bundle.tar

CommonName Einsatz Gültigkeitsende SHA256 Fingerprint
GEANT eScience Personal CA 4 Bis 08/2023: IGTF-Zertifikatprofile May 1 23:59:59 2033 GMT D0:38:2A:C5:81:9F:95:AD:10:23:8C:BE:6E:3C:4E:D3 :D8:24:1C:D9:54:D2:65:3F:EA:47:0A:C9:F3:90:CD:4D
GEANT eScience Personal ECC CA 4 Bis 08/2023: IGTF-Zertifikatprofile May 1 23:59:59 2033 GMT 60:21:D4:A3:CD:EB:D9:8D:52:98:23:5F:58:81:F4:B9 :69:D7:1D:43:F3:EE:3D:F1:56:BF:23:63:0B:07:AE:3B
GEANT Personal CA 4 May 1 23:59:59 2033 GMT 16:D9:DE:94:5A:42:80:11:FA:3A:08:32:3D:A0:E4:34 :74:38:F5:AF:1C:E3:E8:02:83:22:3E:25:A4:6C:2A:9E
GEANT Personal ECC CA 4 May 1 23:59:59 2033 GMT B1:A8:FD:40:B4:37:DE:D9:72:F5:74:37:06:22:E2:BB :B2:F9:B9:59:3B:C0:50:4D:7E:20:30:F2:B2:4E:67:FA

Serverzertifikate

Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der USERTrust RSA Certification Authority oder der USERTrust ECC Certificate Authority signiert.

Download: tcs-server-certificate-ca-bundle.tar

CommonName Einsatz Gültigkeitsende SHA256 Fingerprint
GEANT eScience SSL CA 4 IGTF-Zertifikatprofile May 1 23:59:59 2033 GMT 27:7F:0F:CA:26:3E:12:85:6D:BA:A4:DD:0A:DF:04:20 :4F:7F:98:CF:D7:2C:E9:C9:38:07:E3:77:E3:4C:88:76
GEANT eScience SSL ECC CA 4 IGTF-Zertifikatprofile May 1 23:59:59 2033 GMT CA:D0:3A:58:4E:58:53:9B:89:19:2E:C4:9C:EA:7A:6D :8E:D7:24:2A:D5:DC:DF:83:F9:6D:08:7F:09:F2:32:DB
GEANT EV RSA CA 4 Extended Validation; Auch über ACME (acme.sectigo.com/v2/GEANTEV) ausgestellte Zertifikate May 1 23:59:59 2033 GMT DB:AC:2F:AE:4F:8C:94:9B:1A:30:CF:87:1E:AB:58:95 :7F:64:20:B7:97:A5:12:55:06:B8:CE:DD:48:F5:D7:84
GEANT EV ECC CA 4 Extended Validation; Auch über ACME (acme.sectigo.com/v2/GEANTEV) ausgestellte Zertifikate May 1 23:59:59 2033 GMT 86:0F:8E:49:84:FC:AA:AA:78:C8:7F:07:13:F2:03:18 :1B:57:D7:B5:56:FE:D9:79:CE:14:DC:A0:1F:FA:4A:54
GEANT OV RSA CA 4 Auch über ACME (acme.sectigo.com/v2/GEANTOV) ausgestellte Zertifikate May 1 23:59:59 2033 GMT 37:83:4F:A5:EA:40:FB:F7:B6:11:96:95:59:62:E1:CA :05:58:87:24:35:E4:20:66:53:D3:F6:20:DD:8E:98:8E
GEANT OV ECC CA 4 Auch über ACME (acme.sectigo.com/v2/GEANTOV) ausgestellte Zertifikate May 1 23:59:59 2033 GMT 08:37:99:E8:B2:B9:01:6E:44:70:2E:BF:9B:F3:69:CE :25:3F:E1:FB:EB:65:0E:5D:F1:0E:F4:4D:87:BF:3B:AE
Sectigo RSA Organization Validation Secure Server CA Nur über ACME (acme.sectigo.com/v2/OV) ausgestellte Zertifikate Dec 31 23:59:59 2030 GMT 72:A3:4A:C2:B4:24:AE:D3:F6:B0:B0:47:55:B8:8C:C0 :27:DC:CC:80:6F:DD:B2:2B:4C:D7:C4:77:73:97:3E:C0
Sectigo ECC Organization Validation Secure Server CA Nur über ACME (acme.sectigo.com/v2/OV) ausgestellte Zertifikate Dec 31 23:59:59 2030 GMT 34:57:10:67:52:40:02:12:90:3A:35:45:CA:3B:2E:F3 :84:A4:56:97:2B:D9:51:D8:D8:40:C1:B0:A3:79:EF:A1

Private Zertifizierungshierarchie für Client-Zertifikate im Grid-Computing / IGTF / Authentifizierung

Seit 09/2023 werden Client-Zertifikate für Grid-Computing / IGTF / Authentifizierung in einer nicht im Browser oder Betriebssystem verankerten, privaten Zertifizierungshierarchie ausgestellt.

Dies betrifft alle Zertifikate, die in den folgenden Profilen ausgestellt werden:

  • GÉANT Personal authentication
  • GÉANT Personal Automated Authentication
  • GÉANT Organisation Automated Authentication

Diese Zertifikate sind daher nicht für S/MIME oder andere Anwendungen, die eine öffentlich vertraute Zertifizierungshierarchie voraussetzen, geeignet.

Download: tcs-research-and-education-ca-bundle.tar

CommonName Einsatz Gültigkeitsende SHA256 Fingerprint
Research and Education Trust ECC Root CA Jan 17 23:59:59 2038 GMT 02:92:55:E6:72:5E:56:96:C7:61:84:14:5C:8D: B5:30:6F:14:F8:51:A9:A4:6B:D5:10:D4:E9:BA:A6:AF:57:46
Research and Education Trust RSA Root CA Jan 17 23:59:59 2038 GMT A5:B5:A2:77:1D:38:18:11:C0:91:E0:26:DE:C8: CD:51:9A:16:3D:AC:F4:3A:CA:B0:62:4C:B5:5C:0F:13:47:0B
GEANT TCS Authentication ECC CA 4B Jan 17 23:59:59 2038 GMT A9:12:9F:03:86:55:EA:9C:EF:F9:35:3E:7E:87: C7:63:2F:6F:D6:29:04:52:62:48:56:21:8A:3B:90:55:18:6E
GEANT TCS Authentication RSA CA 4B Jan 17 23:59:59 2038 GMT 88:31:FE:13:CB:9C:7C:D1:EC:00:EE:E5:F6:92: 28:9D:35:E2:7E:25:37:89:26:F6:AA:80:C1:E7:F2:C4:46:B2

GÉANT TCS (HARICA 2025) CA-Zertifikate und CA-Zertifikatsketten für Server-Zertifikate

CA-Zertifikats-Bundle (inkl. moderner Root-CAs (2021) und Legacy-Root-CAs (2015) mit den dann nötigen Cross-CA-Zertifikaten): tcs-harica-tls-ca-cert-bundle.zip

Wurzel-CA-Zertifikate (2021) für Server-Zertifikate

CommonName Einsatz Gültigkeitsende SHA256/SHA1 Fingerprint
HARICA TLS RSA Root CA 2021 Root-CA (2021, modern) Feb 13 10:55:37 2045 GMT D9:5D:0E:8E:DA:79:52:5B:F9:BE:B1:1B:14:D2:10:0D:32:94:98:5F:0C:62:D9:FA:BD:9C:D9:99:EC:CB:7B:1D .cer .pem .txt
02:2D:05:82:FA:88:CE:14:0C:06:79:DE:7F:14:10:E9:45:D7:A5:6D
HARICA TLS ECC Root CA 2021 Root-CA (2021, modern) Feb 13 11:01:09 2045 GMT 3F:99:CC:47:4A:CF:CE:4D:FE:D5:87:94:66:5E:47:8D:15:47:73:9F:2E:78:0F:1B:B4:CA:9B:13:30:97:D4:01 .cer .pem .txt
BC:B0:C1:9D:E9:98:92:70:19:38:57:E9:8D:A7:B4:5D:6E:EE:01:48

Wurzel-CA-Zertifikate (2015) für Server-Zertifikate

Alternative CA-Ketten können mit Cross-CA-Zertifikaten erstellt werden, die in der Hellenic Academic and Research Institutions RootCA 2015 (RSA) bzw. Hellenic Academic and Research Institutions ECC RootCA 2015 (ECC) enden. Diese Ketten wären für sehr alte Betriebssysteme bzw. Browser notwendig.

CommonName Einsatz Gültigkeitsende SHA256/SHA1 Fingerprint
HARICA TLS RSA Root CA 2021 Cross-CA (2021 → 2015) Aug 31 07:41:54 2029 GMT 4A:CD:8D:C6:02:0A:54:5A:85:89:43:A5:53:B5:E0:F3:FC:5B:85:9A:EA:17:46:65:0D:69:CF:12:10:F9:56:D8 .cer .pem .txt
71:40:C4:0C:28:00:A5:C6:05:23:CE:BF:68:2D:13:4E:D1:7E:DB:0E
HARICA TLS ECC Root CA 2021 Cross-CA (2021 → 2015) Aug 31 07:44:36 2029 GMT 50:E2:7F:90:EB:6A:F4:95:B0:E6:EE:B6:55:CC:89:44:4C:27:D3:C9:5B:68:23:FA:02:AB:DC:95:F1:63:6A:E1 .cer .pem .txt
45:60:36:00:DC:2F:9E:51:CD:C8:7E:73:3E:70:F4:CA:6F:5F:31:BD
Hellenic Academic and Research Institutions RootCA 2015 Root-CA (2015, legacy) Jun 30 10:11:21 2040 GMT A0:40:92:9A:02:CE:53:B4:AC:F4:F2:FF:C6:98:1C:E4:49:6F:75:5E:6D:45:FE:0B:2A:69:2B:CD:52:52:3F:36 .cer .pem .txt
01:0C:06:95:A6:98:19:14:FF:BF:5F:C6:B0:B6:95:EA:29:E9:12:A6
Hellenic Academic and Research Institutions ECC RootCA 2015 Root-CA (2015, legacy) Jun 30 10:37:12 2040 GMT 44:B5:45:AA:8A:25:E6:5A:73:CA:15:DC:27:FC:36:D2:4C:1C:B9:95:3A:06:65:39:B1:15:82:DC:48:7B:48:33 .cer .pem .txt
9F:F1:71:8D:92:D5:9A:F3:7D:74:97:B4:BC:6F:84:68:0B:BA:B6:66

Server-Zertifikate

Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der HARICA TLS RSA Root CA 2021 oder der HARICA TLS ECC Root CA 2021 signiert.

Aktuell werden alle Server-Zertifikate aus GÉANT TCS (HARICA 2025) von diesen CAs ausgestellt, je nach Algorithmus des Schlüssels (RSA / ECC) und der gewählten Validierungsart (OV - Organisation Validated / DV - Domain Validated):

CommonName Einsatz Gültigkeitsende SHA256/SHA1 Fingerprint
HARICA DV TLS ECC Issuing-CA Mar 15 09:22:32 2036 GMT 39:23:77:A7:19:E3:E6:5A:40:D8:65:1B:92:36:1D:B9:53:20:B3:9C:A3:61:07:2A:3A:3C:F4:2C:66:E0:0D:BC .cer .pem .txt
E9:BA:65:6D:63:71:E4:75:50:97:D7:37:53:8E:45:4B:5D:E5:F1:5D
HARICA DV TLS RSA Issuing-CA Mar 15 09:24:03 2036 GMT 28:10:1E:E3:CD:2F:F6:F2:25:FB:F0:ED:E9:4A:B5:0D:67:62:AF:DB:AB:96:4F:7C:9D:3C:CF:7F:02:EE:98:38 .cer .pem .txt
53:4A:55:0E:D7:DA:3C:97:6E:82:5D:A8:0A:8C:C2:4D:69:E9:92:F8
HARICA OV TLS ECC Issuing-CA Mar 15 09:33:51 2036 GMT 32:93:50:0C:AA:50:7B:1E:92:0A:44:1F:27:7B:AD:CB:B7:50:02:CA:EC:62:82:D2:3A:35:78:F7:81:7D:23:80 .cer .pem .txt
15:5C:A9:53:5D:FE:9B:16:3E:20:1E:71:7F:C9:B0:DE:1E:49:FD:2C
HARICA OV TLS RSA Issuing-CA Mar 15 09:34:16 2036 GMT 9F:BD:88:69:45:FB:6C:B6:3E:EB:F1:10:77:DA:C9:80:E4:53:68:D2:45:8B:A5:EF:0A:8D:72:70:46:FC:D2:92 .cer .pem .txt
0E:B2:CA:9D:D9:89:CF:6E:A0:89:EF:48:10:05:80:E7:5F:E4:52:90

Die spezifischen GÉANT TCS CAs werden zu einem zukünftigen Zeitpunkt in Betrieb genommen, noch stellen diese CAs keine Server-Zertifikate aus:

CommonName Einsatz Gültigkeitsende SHA256/SHA1 Fingerprint
GEANT TLS ECC 1 Issuing-CA Dec 31 11:14:20 2039 GMT 6C:DF:0B:A1:71:1E:85:6D:22:8B:A0:0C:A0:4C:5C:1C:3D:79:94:4C:03:7B:71:3B:15:5A:4E:E4:B4:7E:C5:3C .cer .pem .txt
CC:73:33:46:67:05:F1:43:BE:7D:76:DD:B8:E7:74:40:7A:3D:91:C8
GEANT TLS RSA 1 Issuing-CA Dec 31 11:14:59 2039 GMT 5B:67:8D:C4:40:95:A5:28:95:B6:3B:31:F2:72:27:F4:B3:6C:3E:34:74:91:BF:2B:FA:69:18:37:A5:FB:8C:79 .cer .pem .txt
BE:7F:0B:36:F8:8A:22:DD:DE:D3:62:DB:9A:F7:9C:8E:65:82:B9:19
  • Zuletzt geändert: vor 4 Wochen