Neue Organisationen werden von der DFN-PCA als „Enterprise“ im HARICA-System angelegt. Das initiale Setup erfolgt in direkter Absprache mit dfnpca@dfn-cert.de. Falls Sie die Rolle des Enterprise-Admins übernehmen, dann folgen Sie bitte der Anleitung unten, sobald Ihre Organisation im System angelegt wurde:

• Sie müssen sich zunächst als „normaler“ User auf https://cm.harica.gr registrieren. Die bei der Registrierung verwendete E-Mail-Adresse sorgt für die Zuordnung zu einer Organisation. Es stehen die folgenden Arten der Registrierung zur Verfügung:
  • Username/Passwort: Sie können sich über den Link im Text New to HARICA? Sign Up mit Username und Passwort neu registrieren.
  • AAI: Sie können sich mit dem Button Academic Login über die DFN-AAI neu registrieren. (Für den initialen Enterprise-Admin Account nicht empfohlen!)
• Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#user-registrierung oder https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#voraussetzungen_fuer_die_aai-nutzung

• Die Rolle Enterprise-Admin erfordert Zwei-Faktor-Authentifizierung per TOTP (2FA).
  1. Zum Aktivieren der 2FA klicken Sie angemeldet als normaler User im hochzustufenden Account rechts oben den eigenen Namen an, wählen Profile→Two Factor Authentication und folgen den weiteren Anweisungen.
  2. Danach kann ein anderer bereits eingetragener Enterprise-Admin Ihrer Organisation oder die DFN-PCA Ihren normalen User Account zum Enterprise-Admin Account hochstufen. Dazu bitte eine kurze E-Mail-Anfrage an Ihren lokalen Enterprise-Admin (sofern bereits eingerichtet) oder die DFN-PCA ti-services@dfn-cert.de schicken.
• Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#rollen

• Es können für Ihre Organisation selbständig weitere Enterprise-Admins eingerichtet werden.
• Dafür müssen die jeweiligen Personen einfach ebenfalls die obigen Schritte 1 und 2 durchführen.
• Wichtig: „Vier-Augen-Prinzip“ für die Ausstellung von Serverzertifikaten
  • Das HARICA-System fordert bei der Ausstellung von Serverzertifikaten das sogenannte „Vier-Augen-Prinzip“. Ein Serverzertifikatsantrag kann nicht vom Account des Antragstellers direkt genehmigt werden, sondern muss von einem anderen Enterprise-Admin Account oder anderen Enterprise-Approver Account bearbeitet werden. D.h., wenn Ihre Organisation z.B. nur eine für Zertifikatsverwaltung zuständige Person hat, dann benötigt diese etwa einen zweiten normalen User Account (oder Enterprise-Admin Account) zur Antragstellung von Serverzertifikaten, so dass die gestellten Anträge vom anderen Enterprise-Admin Account genehmigt werden können.
• Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#zuweisung_von_rollen und https://doku.tid.dfn.de/de:dfnpki:tcs:2025:servercerts#vier-augen-prinzip

• Für jede Organisation ist eine Kontakt-E-Mail-Adresse im HARICA-System hinterlegt (sichtbar unter Enterprise→Admin in der Auflistung der Enterprises), an die automatische Benachrichtigungen des HARICA-Systems geschickt werden.
• Bitte prüfen Sie, ob diese E-Mail-Adresse korrekt ist oder ggf. durch eine andere geeignete, z.B. eine Funktions-/Rollen-E-Mail-Adresse, ersetzt werden soll.
• Zur Änderung der hinterlegten Adresse senden Sie bitte unter Angabe Ihres Organisationsnamens eine E-Mail an support-tcs@harica.gr .

• Sobald Sie als Enterprise-Admin freigeschaltet sind, sollten Sie i.d.R. Ihre bereits eingetragene Haupt-Domain validieren lassen, oder weitere Domains eintragen und validieren.
• Siehe auch https://doku.tid.dfn.de/de:dfnpki:harica2025#domainvalidierung

• Auch ohne durchgeführte Organisationsvalidierung können Zertifikate ausgestellt werden. Sie können S/MIME-Zertifikate des Typs email-only und Serverzertifikate des Typs DV beziehen. Wenn Sie darüber hinaus auch Zertifikate mit Organisationsinformationen beziehen wollen, müssen Sie als Enterprise-Admin eine Organisationsvalidierung anstoßen. Hierfür müssen Sie Dokumente über die Organisation an das HARICA-Support-Team übermitteln. Ablauf der Übermittlung:
  1. Im CertManager Enterprise→Admin wählen, dann Tab „Enterprises“.
  2. Eigene Organisation auswählen
  3. In der aufklappenden Liste noch einmal die eigene Organisation auswählen
  4. Im nun erscheinenden Detail-Dialog das Dokumenten-Icon oben rechts auswählen und Dokumente unter „Validity OV“ per Button „Select File“ auswählen.
  5. Per Button „Upload“ an HARICA übermitteln
  6. Im Anschluss bitte HARICA informieren per englisch-sprachiger E-Mail an support-tcs@harica.gr mit cc an ti-services@dfn-cert.de. Z.B.:

        To: support-tcs@harica.gr
        Cc: ti-services@dfn-cert.de
        Subject: Organisation validation for <Organisationsname>

        Hello,

        we have uploaded documents to start the organisation validation of <Organisationsname>

        thanks,
        

• Siehe auch https://doku.tid.dfn.de/de:dfnpki:tcs:2025:enrollment#organisationsvalidierung
• Wir führen die Organisationsvalidierung auch gerne mit Ihnen gemeinsam durch. Aufgrund der möglichen Komplexität kann es hierbei zu Wartezeiten kommen.