| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:dfnpki:tcs_ca_certs [2023/09/13 15:20] – Juergen Brauckmann | de:dfnpki:tcs_ca_certs [2025/02/27 13:04] (aktuell) – [Private Zertifizierungshierarchie für Client-Zertifikate im Grid-Computing / IGTF / Authentifizierung] Reimer Karlsen-Masur |
|---|
| ====== TCS CA-Zertifikate ====== | ====== TCS Wurzel- und CA-Zertifikate ====== |
| |
| In TCS werden eine Vielzahl von verschiedenen CA-Zertifikaten verwendet. Sowohl der Algorithmus des Schlüssels als auch der Verwendungszweck des Zertifikats können eine separate Zertifizierungshierarchie erfordern. Einen generellen, nicht TCS-spezifischen Überblick gibt Sectigo in: https://sectigo.com/knowledge-base/detail/Sectigo-Chain-Hierarchy-and-Intermediate-Roots/kA01N000000rgSZ | In TCS werden eine Vielzahl von verschiedenen CA-Zertifikaten verwendet. Sowohl der Algorithmus des Schlüssels als auch der Verwendungszweck des Zertifikats können eine separate Zertifizierungshierarchie erfordern. Einen generellen, nicht TCS-spezifischen Überblick gibt Sectigo in: https://sectigo.com/knowledge-base/detail/Sectigo-Chain-Hierarchy-and-Intermediate-Roots/kA01N000000rgSZ |
| openssl x509 -in <datei.pem> -fingerprint -sha256 -noout | openssl x509 -in <datei.pem> -fingerprint -sha256 -noout |
| |
| | ===== Öffentlich vertraute Zertifizierungshierarchie===== |
| ==== Root-Zertifikate ==== | ==== Root-Zertifikate ==== |
| |
| | ''GEANT Code Signing CA 4'' | May 1 23:59:59 2033 GMT | D1:40:65:0B:0A:A1:FC:54:DF:92:CB:46:98:53:37:C0 :68:21:47:27:77:09:47:D6:78:85:89:A5:20:07:EA:20 | | | ''GEANT Code Signing CA 4'' | May 1 23:59:59 2033 GMT | D1:40:65:0B:0A:A1:FC:54:DF:92:CB:46:98:53:37:C0 :68:21:47:27:77:09:47:D6:78:85:89:A5:20:07:EA:20 | |
| |
| ====Personenzertifikate==== | ====Client-Zertifikate==== |
| |
| |
| Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der ''USERTrust RSA Certification Authority'' oder der ''USERTrust ECC Certificate Authority'' signiert. | Auch die CA-Zertifikate für Client-Zertifikate sind, je nach Algorithmus des Schlüssels, von der ''USERTrust RSA Certification Authority'' oder der ''USERTrust ECC Certificate Authority'' signiert. |
| |
| Download: {{de:dfnpki:ca:tcs-client-certificate-ca-bundle.tar}} | Download: {{de:dfnpki:ca:tcs-client-certificate-ca-bundle.tar}} |
| | ''Sectigo ECC Organization Validation Secure Server CA'' | Nur über ACME (''acme.sectigo.com/v2/OV'') ausgestellte Zertifikate | Dec 31 23:59:59 2030 GMT | 34:57:10:67:52:40:02:12:90:3A:35:45:CA:3B:2E:F3 :84:A4:56:97:2B:D9:51:D8:D8:40:C1:B0:A3:79:EF:A1 | | | ''Sectigo ECC Organization Validation Secure Server CA'' | Nur über ACME (''acme.sectigo.com/v2/OV'') ausgestellte Zertifikate | Dec 31 23:59:59 2030 GMT | 34:57:10:67:52:40:02:12:90:3A:35:45:CA:3B:2E:F3 :84:A4:56:97:2B:D9:51:D8:D8:40:C1:B0:A3:79:EF:A1 | |
| |
| ====Personenzertifikate für Grid-Computing / IGTF / Authentifizierung==== | =====Private Zertifizierungshierarchie für Client-Zertifikate im Grid-Computing / IGTF / Authentifizierung===== |
| | |
| | Seit 09/2023 werden Client-Zertifikate für Grid-Computing / IGTF / Authentifizierung in einer nicht im Browser oder Betriebssystem verankerten, privaten Zertifizierungshierarchie ausgestellt. |
| | |
| | Dies betrifft alle Zertifikate, die in den folgenden Profilen ausgestellt werden: |
| | * ''GÉANT Personal authentication'' |
| | * ''GÉANT Personal Automated Authentication'' |
| | * ''GÉANT Organisation Automated Authentication'' |
| | |
| | Diese Zertifikate sind daher nicht für S/MIME oder andere Anwendungen, die eine öffentlich vertraute Zertifizierungshierarchie voraussetzen, geeignet. |
| | |
| | Download: {{de:dfnpki:ca:tcs-research-and-education-ca-bundle.tar}} |
| | |
| | ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256 Fingerprint | |
| | | Research and Education Trust ECC Root CA | | Jan 17 23:59:59 2038 GMT | 02:92:55:E6:72:5E:56:96:C7:61:84:14:5C:8D: B5:30:6F:14:F8:51:A9:A4:6B:D5:10:D4:E9:BA:A6:AF:57:46 | |
| | | Research and Education Trust RSA Root CA | | Jan 17 23:59:59 2038 GMT | A5:B5:A2:77:1D:38:18:11:C0:91:E0:26:DE:C8: CD:51:9A:16:3D:AC:F4:3A:CA:B0:62:4C:B5:5C:0F:13:47:0B | |
| | | GEANT TCS Authentication ECC CA 4B | | Jan 17 23:59:59 2038 GMT | A9:12:9F:03:86:55:EA:9C:EF:F9:35:3E:7E:87: C7:63:2F:6F:D6:29:04:52:62:48:56:21:8A:3B:90:55:18:6E | |
| | | GEANT TCS Authentication RSA CA 4B | | Jan 17 23:59:59 2038 GMT | 88:31:FE:13:CB:9C:7C:D1:EC:00:EE:E5:F6:92: 28:9D:35:E2:7E:25:37:89:26:F6:AA:80:C1:E7:F2:C4:46:B2 | |
| | |
| | |
| | |
| | |
| | ===== GÉANT TCS (HARICA 2025) CA-Zertifikate und CA-Zertifikatsketten für Server-Zertifikate ===== |
| | |
| | CA-Zertifikats-Bundle (inkl. moderner Root-CAs (2021) und Legacy-Root-CAs (2015) mit den dann nötigen Cross-CA-Zertifikaten): {{ :de:dfnpki:ca:tcs-harica-tls-ca-cert-bundle.zip | tcs-harica-tls-ca-cert-bundle.zip}} |
| | |
| | ==== Wurzel-CA-Zertifikate (2021) für Server-Zertifikate ==== |
| | |
| | ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | |
| | | | | | | | |
| | | ''HARICA TLS RSA Root CA 2021'' | Root-CA (2021, modern) | Feb 13 10:55:37 2045 GMT | D9:5D:0E:8E:DA:79:52:5B:F9:BE:B1:1B:14:D2:10:0D:32:94:98:5F:0C:62:D9:FA:BD:9C:D9:99:EC:CB:7B:1D | {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.cer | .cer}} {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.pem | .pem}} {{ :de:dfnpki:ca:harica-tls-root-2021-rsa.txt | .txt}}| |
| | | | | | 02:2D:05:82:FA:88:CE:14:0C:06:79:DE:7F:14:10:E9:45:D7:A5:6D | | |
| | | ''HARICA TLS ECC Root CA 2021'' | Root-CA (2021, modern) | Feb 13 11:01:09 2045 GMT | 3F:99:CC:47:4A:CF:CE:4D:FE:D5:87:94:66:5E:47:8D:15:47:73:9F:2E:78:0F:1B:B4:CA:9B:13:30:97:D4:01 | {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.cer | .cer}} {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.pem | .pem}} {{ :de:dfnpki:ca:harica-tls-root-2021-ecc.txt | .txt}}| |
| | | | | | BC:B0:C1:9D:E9:98:92:70:19:38:57:E9:8D:A7:B4:5D:6E:EE:01:48 | | |
| | ==== Wurzel-CA-Zertifikate (2015) für Server-Zertifikate ==== |
| | |
| | Alternative CA-Ketten können mit **Cross-CA**-Zertifikaten erstellt werden, die in der ''Hellenic Academic and Research Institutions RootCA 2015'' (RSA) bzw. |
| | ''Hellenic Academic and Research Institutions ECC RootCA 2015'' (ECC) enden. Diese Ketten wären für sehr alte Betriebssysteme bzw. Browser notwendig. |
| | |
| | ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | |
| | | | | | | | |
| | | ''HARICA TLS RSA Root CA 2021'' | Cross-CA (2021 -> 2015) | Aug 31 07:41:54 2029 GMT | 4A:CD:8D:C6:02:0A:54:5A:85:89:43:A5:53:B5:E0:F3:FC:5B:85:9A:EA:17:46:65:0D:69:CF:12:10:F9:56:D8 | {{ :de:dfnpki:ca:harica-tls-root-2021-rsa-cross.cer | .cer}} {{ :de:dfnpki:ca:harica-tls-root-2021-rsa-cross.pem | .pem}} {{ :de:dfnpki:ca:harica-tls-root-2021-rsa-cross.txt | .txt}}| |
| | | | | | 71:40:C4:0C:28:00:A5:C6:05:23:CE:BF:68:2D:13:4E:D1:7E:DB:0E | | |
| | | ''HARICA TLS ECC Root CA 2021'' | Cross-CA (2021 -> 2015) | Aug 31 07:44:36 2029 GMT | 50:E2:7F:90:EB:6A:F4:95:B0:E6:EE:B6:55:CC:89:44:4C:27:D3:C9:5B:68:23:FA:02:AB:DC:95:F1:63:6A:E1 | {{ :de:dfnpki:ca:harica-tls-root-2021-ecc-cross.cer | .cer}} {{ :de:dfnpki:ca:harica-tls-root-2021-ecc-cross.pem | .pem}} {{ :de:dfnpki:ca:harica-tls-root-2021-ecc-cross.txt | .txt}}| |
| | | | | | 45:60:36:00:DC:2F:9E:51:CD:C8:7E:73:3E:70:F4:CA:6F:5F:31:BD | | |
| | | ''Hellenic Academic and Research Institutions RootCA 2015'' | Root-CA (2015, legacy) | Jun 30 10:11:21 2040 GMT | A0:40:92:9A:02:CE:53:B4:AC:F4:F2:FF:C6:98:1C:E4:49:6F:75:5E:6D:45:FE:0B:2A:69:2B:CD:52:52:3F:36 | {{ :de:dfnpki:ca:haricarootca2015.cer | .cer}} {{ :de:dfnpki:ca:haricarootca2015.pem | .pem}} {{ :de:dfnpki:ca:haricarootca2015.txt | .txt}}| |
| | | | | | 01:0C:06:95:A6:98:19:14:FF:BF:5F:C6:B0:B6:95:EA:29:E9:12:A6 | | |
| | | ''Hellenic Academic and Research Institutions ECC RootCA 2015'' | Root-CA (2015, legacy) | Jun 30 10:37:12 2040 GMT | 44:B5:45:AA:8A:25:E6:5A:73:CA:15:DC:27:FC:36:D2:4C:1C:B9:95:3A:06:65:39:B1:15:82:DC:48:7B:48:33 | {{ :de:dfnpki:ca:haricaeccrootca2015.cer | .cer}} {{ :de:dfnpki:ca:haricaeccrootca2015.pem | .pem}} {{ :de:dfnpki:ca:haricaeccrootca2015.txt | .txt}}| |
| | | | | | 9F:F1:71:8D:92:D5:9A:F3:7D:74:97:B4:BC:6F:84:68:0B:BA:B6:66 | | |
| | ====Server-Zertifikate==== |
| | Diese CA-Zertifikate sind, je nach Algorithmus des Schlüssels, von der ''HARICA TLS RSA Root CA 2021'' oder der ''HARICA TLS ECC Root CA 2021'' signiert. |
| | |
| | Aktuell werden alle Server-Zertifikate aus GÉANT TCS (HARICA 2025) von diesen CAs ausgestellt, je nach Algorithmus des Schlüssels (''RSA'' / ''ECC'') und der gewählten Validierungsart |
| | (''OV'' - Organisation Validated / ''DV'' - Domain Validated): |
| | |
| | ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | |
| | | | | | | | |
| | | ''HARICA DV TLS ECC'' | Issuing-CA | Mar 15 09:22:32 2036 GMT | 39:23:77:A7:19:E3:E6:5A:40:D8:65:1B:92:36:1D:B9:53:20:B3:9C:A3:61:07:2A:3A:3C:F4:2C:66:E0:0D:BC | {{ :de:dfnpki:ca:harica-dv-tls-sub-e1.cer | .cer}} {{ :de:dfnpki:ca:harica-dv-tls-sub-e1.pem | .pem}} {{ :de:dfnpki:ca:harica-dv-tls-sub-e1.txt | .txt}}| |
| | | | | | E9:BA:65:6D:63:71:E4:75:50:97:D7:37:53:8E:45:4B:5D:E5:F1:5D | | |
| | | ''HARICA DV TLS RSA'' | Issuing-CA | Mar 15 09:24:03 2036 GMT | 28:10:1E:E3:CD:2F:F6:F2:25:FB:F0:ED:E9:4A:B5:0D:67:62:AF:DB:AB:96:4F:7C:9D:3C:CF:7F:02:EE:98:38 | {{ :de:dfnpki:ca:harica-dv-tls-sub-r1.cer | .cer}} {{ :de:dfnpki:ca:harica-dv-tls-sub-r1.pem | .pem}} {{ :de:dfnpki:ca:harica-dv-tls-sub-r1.txt | .txt}}| |
| | | | | | 53:4A:55:0E:D7:DA:3C:97:6E:82:5D:A8:0A:8C:C2:4D:69:E9:92:F8 | | |
| | | ''HARICA OV TLS ECC'' | Issuing-CA | Mar 15 09:33:51 2036 GMT | 32:93:50:0C:AA:50:7B:1E:92:0A:44:1F:27:7B:AD:CB:B7:50:02:CA:EC:62:82:D2:3A:35:78:F7:81:7D:23:80 | {{ :de:dfnpki:ca:harica-ov-tls-sub-e1.cer | .cer}} {{ :de:dfnpki:ca:harica-ov-tls-sub-e1.pem | .pem}} {{ :de:dfnpki:ca:harica-ov-tls-sub-e1.txt | .txt}}| |
| | | | | | 15:5C:A9:53:5D:FE:9B:16:3E:20:1E:71:7F:C9:B0:DE:1E:49:FD:2C | | |
| | | ''HARICA OV TLS RSA'' | Issuing-CA | Mar 15 09:34:16 2036 GMT | 9F:BD:88:69:45:FB:6C:B6:3E:EB:F1:10:77:DA:C9:80:E4:53:68:D2:45:8B:A5:EF:0A:8D:72:70:46:FC:D2:92 | {{ :de:dfnpki:ca:harica-ov-tls-sub-r1.cer | .cer}} {{ :de:dfnpki:ca:harica-ov-tls-sub-r1.pem | .pem}} {{ :de:dfnpki:ca:harica-ov-tls-sub-r1.txt | .txt}}| |
| | | | | | 0E:B2:CA:9D:D9:89:CF:6E:A0:89:EF:48:10:05:80:E7:5F:E4:52:90 | | |
| | |
| | Die spezifischen GÉANT TCS CAs werden zu einem zukünftigen Zeitpunkt in Betrieb genommen, noch stellen diese CAs keine Server-Zertifikate aus: |
| | |
| | ^ CommonName ^ Einsatz ^ Gültigkeitsende ^ SHA256/SHA1 Fingerprint | | |
| | | | | | | | |
| | | ''GEANT TLS ECC 1'' | Issuing-CA | Dec 31 11:14:20 2039 GMT | 6C:DF:0B:A1:71:1E:85:6D:22:8B:A0:0C:A0:4C:5C:1C:3D:79:94:4C:03:7B:71:3B:15:5A:4E:E4:B4:7E:C5:3C | {{ :de:dfnpki:ca:harica-geant-tls-e1.cer | .cer}} {{ :de:dfnpki:ca:harica-geant-tls-e1.pem | .pem}} {{ :de:dfnpki:ca:harica-geant-tls-e1.txt | .txt}}| |
| | | | | | CC:73:33:46:67:05:F1:43:BE:7D:76:DD:B8:E7:74:40:7A:3D:91:C8 | | |
| | | ''GEANT TLS RSA 1'' | Issuing-CA | Dec 31 11:14:59 2039 GMT | 5B:67:8D:C4:40:95:A5:28:95:B6:3B:31:F2:72:27:F4:B3:6C:3E:34:74:91:BF:2B:FA:69:18:37:A5:FB:8C:79 | {{ :de:dfnpki:ca:harica-geant-tls-r1.cer | .cer}} {{ :de:dfnpki:ca:harica-geant-tls-r1.pem | .pem}} {{ :de:dfnpki:ca:harica-geant-tls-r1.txt | .txt}}| |
| | | | | | BE:7F:0B:36:F8:8A:22:DD:DE:D3:62:DB:9A:F7:9C:8E:65:82:B9:19 | | |
| |
| Seit 09/2023 werden Personenzertifikate für Grid-Computing / IGTF / Authentifizierung in einer nicht im Browser verankerten, privaten Zertifizierungshierarchie ausgestellt. | |