TCS Wurzel- und CA-Zertifikate
In TCS werden eine Vielzahl von verschiedenen CA-Zertifikaten verwendet. Sowohl der Algorithmus des Schlüssels als auch der Verwendungszweck des Zertifikats können eine separate Zertifizierungshierarchie erfordern. Einen generellen, nicht TCS-spezifischen Überblick gibt Sectigo in: https://sectigo.com/knowledge-base/detail/Sectigo-Chain-Hierarchy-and-Intermediate-Roots/kA01N000000rgSZ
Die hier aufgeführten Root- und CA-Zertifikate werden in TCS verwendet. Die Fingerprints können z.B. mit openssl reproduziert werden:
openssl x509 -in <datei.pem> -fingerprint -sha256 -noout
Öffentlich vertraute Zertifizierungshierarchie
Root-Zertifikate
In TCS enden Zertifizierungsketten üblicherweise auf einem der beiden Root-Zertifikate „USERTrust …
“. Diese Root-Zertifikate sind in allen aktuell verfügbaren Browsern und Betriebssystemen vorinstalliert.
Download: tcs-root-bundle.tar
CommonName | Einsatz | Gültigkeitsende | SHA256 Fingerprint |
---|---|---|---|
USERTrust RSA Certification Authority | Root | Jan 18 23:59:59 2038 GMT | E7:93:C9:B0:2F:D8:AA:13:E2:1C:31:22:8A:CC:B0:81 :19:64:3B:74:9C:89:89:64:B1:74:6D:46:C3:D4:CB:D2 |
USERTrust ECC Certification Authority | Root | Jan 18 23:59:59 2038 GMT | 4F:F4:60:D5:4B:9C:86:DA:BF:BC:FC:57:12:E0:40:0D :2B:ED:3F:BC:4D:4F:BD:AA:86:E0:6A:DC:D2:A9:AD:7A |
Kompatibilität ab:
- Windows XP
- MacOS 10.12.1
- iOS 10
- Firefox 3.6
- Android 5.1
- Java JRE 8u51
Root-Zertifikat AAA Certificate Services
Eine alternative CA-Kette kann mit Cross-Zertifikaten erstellt werden, die in der Root AAA Certificate Services
endet. Diese Kette wäre für sehr alte Betriebssysteme bzw. Browser notwendig.
Sectigo liefert in Chains zur Zeit üblicherweise die AAA Certificate Services
aus. Diese kann problemlos eingesetzt werden.
Sectigo erläutert die AAA Certificate Services
: https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020
Download: tcs-alternate-root-bundle.tar
CommonName | Einsatz | Gültigkeitsende | SHA256 Fingerprint |
---|---|---|---|
AAA Certificate Services | Root | Dec 31 23:59:59 2028 GMT | D7:A7:A0:FB:5D:7E:27:31:D7:71:E9:48:4E:BC:DE:F7 :1D:5F:0C:3E:0A:29:48:78:2B:C8:3E:E0:EA:69:9E:F4 |
USERTrust RSA Certification Authority | Intermediate (Cross-CA) | Dec 31 23:59:59 2028 GMT | 68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6 :1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B |
USERTrust ECC Certification Authority | Intermediate (Cross-CA) | Dec 31 23:59:59 2028 GMT | A6:CF:64:DB:B4:C8:D5:FD:19:CE:48:89:60:68:DB:03 :B5:33:A8:D1:33:6C:62:56:A8:7D:00:CB:B3:DE:F3:EA |
Diese auf das Root-Zertifikat AAA Certificate Services
endende alternative CA-Kette wird für die folgenden Systeme benötigt:
- Apple iOS 3
- Apple macOS 10.4
- Google Android 2.3
- Mozilla Firefox 1
- Oracle Java JRE 1.5.0_08 (auch < 8u51)
Code Signing
Dieses CA-Zertifikat ist von der USERTrust RSA Certification Authority
signiert.
Download: tcs-code-signing-ca-bundle.tar
CommonName | Gültigkeitsende | SHA256 Fingerprint |
---|---|---|
GEANT Code Signing CA 4 | May 1 23:59:59 2033 GMT | D1:40:65:0B:0A:A1:FC:54:DF:92:CB:46:98:53:37:C0 :68:21:47:27:77:09:47:D6:78:85:89:A5:20:07:EA:20 |
Client-Zertifikate
Auch die CA-Zertifikate für Client-Zertifikate sind, je nach Algorithmus des Schlüssels, von der USERTrust RSA Certification Authority
oder der USERTrust ECC Certificate Authority
signiert.
Download: tcs-client-certificate-ca-bundle.tar
CommonName | Einsatz | Gültigkeitsende | SHA256 Fingerprint |
---|---|---|---|
GEANT eScience Personal CA 4 | Bis 08/2023: IGTF-Zertifikatprofile | May 1 23:59:59 2033 GMT | D0:38:2A:C5:81:9F:95:AD:10:23:8C:BE:6E:3C:4E:D3 :D8:24:1C:D9:54:D2:65:3F:EA:47:0A:C9:F3:90:CD:4D |
GEANT eScience Personal ECC CA 4 | Bis 08/2023: IGTF-Zertifikatprofile | May 1 23:59:59 2033 GMT | 60:21:D4:A3:CD:EB:D9:8D:52:98:23:5F:58:81:F4:B9 :69:D7:1D:43:F3:EE:3D:F1:56:BF:23:63:0B:07:AE:3B |
GEANT Personal CA 4 | May 1 23:59:59 2033 GMT | 16:D9:DE:94:5A:42:80:11:FA:3A:08:32:3D:A0:E4:34 :74:38:F5:AF:1C:E3:E8:02:83:22:3E:25:A4:6C:2A:9E | |
GEANT Personal ECC CA 4 | May 1 23:59:59 2033 GMT | B1:A8:FD:40:B4:37:DE:D9:72:F5:74:37:06:22:E2:BB :B2:F9:B9:59:3B:C0:50:4D:7E:20:30:F2:B2:4E:67:FA |
Serverzertifikate
Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der USERTrust RSA Certification Authority
oder der USERTrust ECC Certificate Authority
signiert.
Download: tcs-server-certificate-ca-bundle.tar
CommonName | Einsatz | Gültigkeitsende | SHA256 Fingerprint |
---|---|---|---|
GEANT eScience SSL CA 4 | IGTF-Zertifikatprofile | May 1 23:59:59 2033 GMT | 27:7F:0F:CA:26:3E:12:85:6D:BA:A4:DD:0A:DF:04:20 :4F:7F:98:CF:D7:2C:E9:C9:38:07:E3:77:E3:4C:88:76 |
GEANT eScience SSL ECC CA 4 | IGTF-Zertifikatprofile | May 1 23:59:59 2033 GMT | CA:D0:3A:58:4E:58:53:9B:89:19:2E:C4:9C:EA:7A:6D :8E:D7:24:2A:D5:DC:DF:83:F9:6D:08:7F:09:F2:32:DB |
GEANT EV RSA CA 4 | Extended Validation; Auch über ACME (acme.sectigo.com/v2/GEANTEV ) ausgestellte Zertifikate | May 1 23:59:59 2033 GMT | DB:AC:2F:AE:4F:8C:94:9B:1A:30:CF:87:1E:AB:58:95 :7F:64:20:B7:97:A5:12:55:06:B8:CE:DD:48:F5:D7:84 |
GEANT EV ECC CA 4 | Extended Validation; Auch über ACME (acme.sectigo.com/v2/GEANTEV ) ausgestellte Zertifikate | May 1 23:59:59 2033 GMT | 86:0F:8E:49:84:FC:AA:AA:78:C8:7F:07:13:F2:03:18 :1B:57:D7:B5:56:FE:D9:79:CE:14:DC:A0:1F:FA:4A:54 |
GEANT OV RSA CA 4 | Auch über ACME (acme.sectigo.com/v2/GEANTOV ) ausgestellte Zertifikate | May 1 23:59:59 2033 GMT | 37:83:4F:A5:EA:40:FB:F7:B6:11:96:95:59:62:E1:CA :05:58:87:24:35:E4:20:66:53:D3:F6:20:DD:8E:98:8E |
GEANT OV ECC CA 4 | Auch über ACME (acme.sectigo.com/v2/GEANTOV ) ausgestellte Zertifikate | May 1 23:59:59 2033 GMT | 08:37:99:E8:B2:B9:01:6E:44:70:2E:BF:9B:F3:69:CE :25:3F:E1:FB:EB:65:0E:5D:F1:0E:F4:4D:87:BF:3B:AE |
Sectigo RSA Organization Validation Secure Server CA | Nur über ACME (acme.sectigo.com/v2/OV ) ausgestellte Zertifikate | Dec 31 23:59:59 2030 GMT | 72:A3:4A:C2:B4:24:AE:D3:F6:B0:B0:47:55:B8:8C:C0 :27:DC:CC:80:6F:DD:B2:2B:4C:D7:C4:77:73:97:3E:C0 |
Sectigo ECC Organization Validation Secure Server CA | Nur über ACME (acme.sectigo.com/v2/OV ) ausgestellte Zertifikate | Dec 31 23:59:59 2030 GMT | 34:57:10:67:52:40:02:12:90:3A:35:45:CA:3B:2E:F3 :84:A4:56:97:2B:D9:51:D8:D8:40:C1:B0:A3:79:EF:A1 |
Private Zertifizierungshierarchie für Client-Zertifikate im Grid-Computing / IGTF / Authentifizierung
Seit 09/2023 werden Client-Zertifikate für Grid-Computing / IGTF / Authentifizierung in einer nicht im Browser oder Betriebssystem verankerten, privaten Zertifizierungshierarchie ausgestellt.
Dies betrifft alle Zertifikate, die in den folgenden Profilen ausgestellt werden:
GÉANT Personal authentication
GÉANT Personal Automated Authentication
GÉANT Organisation Automated Authentication
Diese Zertifikate sind daher nicht für S/MIME oder andere Anwendungen, die eine öffentlich vertraute Zertifizierungshierarchie voraussetzen, geeignet.
Download: tcs-research-and-education-ca-bundle.tar
CommonName | Einsatz | Gültigkeitsende | SHA256 Fingerprint |
---|---|---|---|
Research and Education Trust ECC Root CA | Jan 17 23:59:59 2038 GMT | 02:92:55:E6:72:5E:56:96:C7:61:84:14:5C:8D: B5:30:6F:14:F8:51:A9:A4:6B:D5:10:D4:E9:BA:A6:AF:57:46 | |
Research and Education Trust RSA Root CA | Jan 17 23:59:59 2038 GMT | A5:B5:A2:77:1D:38:18:11:C0:91:E0:26:DE:C8: CD:51:9A:16:3D:AC:F4:3A:CA:B0:62:4C:B5:5C:0F:13:47:0B | |
GEANT TCS Authentication ECC CA 4B | Jan 17 23:59:59 2038 GMT | A9:12:9F:03:86:55:EA:9C:EF:F9:35:3E:7E:87: C7:63:2F:6F:D6:29:04:52:62:48:56:21:8A:3B:90:55:18:6E | |
GEANT TCS Authentication RSA CA 4B | Jan 17 23:59:59 2038 GMT | 88:31:FE:13:CB:9C:7C:D1:EC:00:EE:E5:F6:92: 28:9D:35:E2:7E:25:37:89:26:F6:AA:80:C1:E7:F2:C4:46:B2 |