Deze pagina's zijn nog volop in ontwikkeling terwijl we de functionaliteit van de nieuwe leverancier testen en de onboardingsprocedure verder inrichten. Heb je vragen of hulp nodig, neem dan contact met ons op. Dat kan via certificaten-beheer@surf.nl. We lezen deze mailbox ook tijdens de kerstperiode.
Organisatorische FAQ
Hoe ziet de planning voor het beschikbaar komen van functies bij HARICA eruit?
In de aanloop naar het tekenen van het contract met HARICA zijn de volgende features gereed gemaakt:
- Sub CA's voor S/MIME en TLS certificaten uitgeven
- Aanpassen S/MIME profielen
- SAML authenticatie via eduGAIN
- Toevoeging van Enterprise Manager rol (super-admin rol voor admins van SURF)
- Bulkuitgifte van S/MIME certificaten (via Enterprise admin)
Er wordt hard gewerkt en men ligt op schema om de volgende features vóór 10 januari 2025 gereed te hebben:
- IGTF (grid) certificaatprofielen
- Post-ceremony acties voor het uitgeven van de Sub CA's
- Private PKI voor grid client certificaten
- HA setup voor RA services
- Accepteren van SAN input via CSR, CSV en via de web applicatie
- S/MIME certificaten in PKCS#12 formaat
Volgende zaken worden verwacht gereed te zijn eind Maart, behalve waar het anders is aangegeven:
- TLS-OV-IGTF certificaten
- Nieuwe high performance HSMs (eind januari)
- Validatie op basis van CAA/TXT
- Notificatie verzenden naar aliassen of direct naar de admins/approvers
- CDN voor CRL (eind januari)
- Flexibele ACME dienstverlening
- TLS Certification met IP-adres ipv DNS
- Pre-signed OCSP service in AWS (voor TLS certificaten)
Wat gaat de overgang betekenen voor de kosten van de dienst SURFcertificaten?
Het tarief voor de dienst SURFcertificaten zal voor 2025 niet gewijzigd worden ten opzichte van de eerder voor 2025 aangekondigde prijs. Deze vind je op de productpagina. Voor het jaar daarna wordt SURF's gebruikelijke procedure gevolgd als er aanpassingen nodig blijken aan de tarieven of het tariefmodel.
Voor sommige certificaattypen (bijvoorbeeld code-signing) wordt na de overgang naar Harica apart afgerekend.
Zijn er veranderingen in de dienstverleningsovereenkomst tussen SURF en de instellingen voor SURFcertificaten?
De dienstverleningsovereenkomst voor SURFcertificaten die door de instelling getekend is of wordt zal voor zover we nu overzien niet aangepast hoeven te worden. Voor het aanpassen van bijvoorbeeld de vermelde (sub)verwerker in de bijlagen zal gebruik gemaakt worden van de standaard procedure die SURF hier voor heeft om notificaties van een wijziging aan de instelling te communiceren.
Hoe is de dienst nu aanbesteed?
De dienst wordt samen met andere "SURF"-organisaties in Europa gezamenlijk ingekocht onder de naam TCS door de samenwerkingsorganisatie GÉANT. GÉANT heeft het contract aan HARICA gegund als "onderhandelingsprocedure zonder voorafgaande aankondiging".
Technische FAQ
Wat is het CAA record dat ik kan gebruiken voor de nieuwe leverancier?
Dat is 0 issue "harica.gr"
voor normale certificaten of 0 issuewild "harica.gr"
voor het toestaan van wildcardcertificaten. Dit wordt ook automatisch gecontroleerd in Harica CertManager tijdens de aanvraag.
Wat zijn de root-certificaten van de nieuwe leverancier?
De HARICA TLS RSA Root CA 2021 en de HARICA TLS ECC Root CA 2021 zijn de meest recente root-certificaten, voorgeïnstalleerd op Windows besturingssystemen en op MacOS vanaf versie 12. Deze zijn ook opgenomen in de root programma's van Mozilla en dergelijke. Om compatibiliteit met oudere clients te verzekeren zijn de intermediates die voor uitgifte worden gebruikt ook cross-signed door de oudere roots, in de root stores te vinden als Hellenic Academic and Research Institutions RootCA 2015
Wat zijn de tijdlijnen voor de beschikbaarheid van certificaten?
De fasering van de overgang naar de nieuwe leverancier ziet er op hoofdlijnen als volgt uit:
- SURF start – zodra het kan – met het onboarden van alle instellingen. Hiervoor gebruiken we de organisatiegegevens, domeinen en accounts (via SURFconext) uit de portal van de huidige leverancier.
- DV-certificaten zullen naar verwachting meteen vanaf het begin beschikbaar zijn, met automatische DV via ACME op een gedeeld endpoint voor SURF.
- Nadat de organisativalidaties zijn afgerond is het ook mogelijk om handmatig OV-TLS/SSL en clientcertificaten aan te vragen, waarmee we in de urgentste verlengwensen kunnen voorzien.
In januari is er meer zicht op de exacte planning. Dan prioriteren we samen met GÉANT en de leverancier ook de meer geavanceerde use cases. Daarbij moeten we rekening houden met het feit dat de complexere automatiseringsfunctionaliteit zoals ACME met EAB voor OV-certificaten, en het gebruik van een API, nog even op zich kunnen laten wachten.
Ondersteunt de nieuwe leverancier ook External Account Binding via ACME?
De nieuwe leverancier werkt nog aan de ondersteuning van EAB. Deze functie zal niet niet meteen vanaf Q1 beschikbaar zijn, maar de verwachting is dat hier in Q2 concrete stappen mee gezet worden.
Hou er ook rekening mee dat ACME zonder EAB op termijn sowieso niet meer betekent dat je geen domeinvalidatie hoeft te doen (HTTPS óf DNS). Omdat de geldigheidsduur van domeinvalidaties mee gaat zakken met de geldigheidsduur van de certificaten, zal het automatisch doen van DV via ACME, óók voor OV certificaten onvermijdelijk worden.
Heeft de nieuwe leverancier een API die we kunnen inzetten?
De nieuwe leverancier heeft een API, maar nog niet met dezelfde volwassenheid als Sectigo. We zijn op dit moment nog bezig het beeld helder te krijgen wat daar wel en niet mee kan. Documentatie is beschikbaar op https://developer.harica.gr/ met voorbeelden op https://guides.harica.gr/docs/Guides/Developer/. Zodra we implementatievoorbeelden beschikbaar hebben zullen we die hier delen, tot die tijd heeft het geen zin ons hierover te mailen.
Hoe kan ik een .csr bestand maken?
Bij voorkeur doe je dit op de machine waar het certificaat nodig is, maar Harica biedt hier ook een veilige online tool voor: https://www.harica.gr/en/Tools/KeyGeneration
Is het mogelijk om een wildcard certificaat aan te vragen voor een hoofddomein?
Dat kan technisch wel, maar we raden het af.
Bedenk bij het installeren van een wildcard certificaat op een server wat er gaat gebeuren als de private key op een van die servers gecompromitteerd raakt. Hoe meer servers, hoe groter de ellende, ervan uitgaande dat je nog precies weet op welke servers dat certificaat allemaal staat.
Het is makkelijk om elke server een eigen certificaat te geven via ACME. Alleen in geval van certificaten op clusters e.d. kunnen wildcard certificaten een handige toepassing zijn.
Hoe kunnen we certificaten uitgegeven door de oude leverancier intrekken?
Reeds uitgegeven certificaten door de vorige leverancier blijven geldig tot de einddatum in het certificaat. Als er tijdens de geldigheidsduur een situatie ontstaat waarvoor intrekken noodzakelijk is, kan dat via het support-kanaal van de oude leverancier. Volgens de richtlijnen in het CA/browser forum moet hier altijd snel gehoor aan gegeven worden.
Radius-certificaat wisselen voor eduroam: hoe voorkom ik certificaatprompts bij de eindgebruiker?
Eindgebruikers kunnen hun device het beste configureren via geteduroam, of via profielen uitgeleverd door eduroam CAT. Daarbij wordt niet alleen de juiste CA root gespecificeerd maar ook andere instellingen zo gemaakt dat het werkt en dat het veilig is, wat voor eindgebruikers niet altijd evident is. Certificaatwisselingen geven dan geen prompts meer. Voor meer informatie over geteduroam of eduroam CAT kun je terecht bij het eduroam-team.