Concept	Uitleg
Enterprise	Term die HARICA gebruikt voor een organisatie.
Enterprise Manager	Beheerder van SURF die Enterprises aanmaakt en de eerste Enterprise Admin toevoegt.
Enterprise Admin	Beheerder van een instelling die o.a. domeinen kan toevoegen en valideren. Deze Admin kan andere Users de rechten voor Admin en/of Approver toekennen. Is niet automatisch ook Approver.
Enterprise Approver	Beheerder van een instelling die certificaataanvragen kan goedkeuren (niet van zichzelf). Is niet per definitie Admin.
Enterprise User	Eindgebruiker die inlogt met een binnen CertManager bekend domein. Die kan certificaten aanvragen binnen de Enterprise. Hiervoor hoeven geen extra rechten toegekend te worden. Als een eindgebruiker TOTP instelt kan deze door een Admin rechten als Admin of Approver krijgen.

Aandachtspunten bij het aanvragen van certificaten

Domeinnamen zijn hoofdlettergevoelig. Als een domein dus met HuisStijl wordt toegevoegd, moet de domeinnaam voorbeeld.HuisStijl.nl toegevoegd worden, anders werkt het niet
Let op je DNS configuratie als deze intern andere antwoorden geeft als voor extern. Dat leidt tot CAA issues. Als het om een (sub)zone gaat die extern niet resolved moet je de NS records daarvoor ook niet publiek beschikbaar maken.
Cross-signed root. Sommige leveranciers zoals Java willen graag het 2021 naar 2015 cross-signature certificaat expliciet erbij hebben. Anders wordt de chain niet als geldig gezien. Deze wordt standaard megeleverd in de 'PEM with full chain' maar is ook hier te vinden.
Akamai heeft Harica nog niet in hun trust store. Hier wordt aan gewerkt. Als workaround kan je Certificaat pinning toe passen na het vervangen. Meer info hierover op: https://community.akamai.com/customers/s/article/How-to-rotate-origin-certificate-and-update-certificate-pinned-to-Akamai-with-minimal-to-no-downtime?language=en_US

Help! Mijn certificaataanvraag hangt vast!

1. Check of een tweede gebruiker van je instelling de certificaataanvraag goedgekeurd heeft (je kunt dit niet zelf doen). Hiervoor heeft de collega een "validator group" toewijzing van jouw organisatie nodig.
2. Check de CAA van je domein of subdomein. Hier moet op zijn minst "issue 0 harica.gr" in voorkomen.
3. Check je DNS! Gaat het om een certificaat in een interne zone? Zorg dan dat de zone niet extern aangekondigd wordt (in een NS record) of dat hij een extern NXDOMAIN geeft.

Handleiding voor Enterprise Admins

HARICA's CertManager Portal biedt Enterprise Admins uitgebreide tools voor het beheren van certificaten, domeinen en gebruikers binnen een Enterprise. Deze handleiding beschrijft stap voor stap de functies die beschikbaar zijn voor Enterprise Admins.

1. Toegang krijgen tot de rol van Enterprise Admin

Registreren op de portal:
- Ga naar HARICA’s CertManager portal en maak een account aan via de knop Academic Login.
Twee-factor-authenticatie (2FA):
- Log in en klik rechtsboven op je naam. Ga naar Profile → Account Settings en activeer 2FA.
- Volg de instructies op het scherm om 2FA succesvol in te stellen.
Toegang verkrijgen als Enterprise Admin:
- Nadat je 2FA hebt geactiveerd, informeer je de Enterprise Admin (of als je de eerste bent de Enterprise Manager via certificaten-beheer@surf.nl), zodat zij je toegang kunnen geven tot de rol van Enterprise Admin.
- Zodra toegang is verleend, verschijnt er een Enterprise-menu in de portal.

SURF User Knowledge Base > HARICA CertManager > Screenshot 2025-01-24 at 22.41.36.png

2. Rollen toewijzen aan gebruikers

Gebruikers selecteren:
- Ga binnen het Enterprise-menu naar het Users-tabblad en selecteer een gebruiker die zich heeft geregistreerd met een e-mailadres dat behoort tot een domein dat jouw Enterprise beheert.
Enterprise-rollen activeren:
- Ga naar het tabblad Account info en activeer de gewenste rollen (bijvoorbeeld Enterprise Admin of Enterprise Approver) door de bijbehorende schakelaars in te schakelen.
- Selecteer de relevantie Validator group om de gebruiker de rechten te geven domeinen te valideren. Klik daarna op Save.
Voorwaarden voor toegang:
- Zorg ervoor dat de gebruiker 2FA heeft geactiveerd voordat je hen toegang verleent tot Enterprise-rollen.

3. Domeinen toevoegen aan een Enterprise

Een domeinverzoek indienen:
- Selecteer een Enterprise in het tabblad Enterprises.
- Klik nogmaals op de Enterprise (dus open niet het tabblad Domains)
- Klik op Add Domains, een klein icoontje van een wereldbol rechtsbovenin het overzicht, en download de voorbeeld-CSV die wordt aangeboden.
CSV invullen en uploaden:
- Vul de CSV in met de vereiste gegevens (zoals domeinnamen en eventueel eigenaarsinformatie). Zorg ervoor dat alle gegevens correct en volledig zijn.
- Klik op Choose File om het bestand te selecteren en druk vervolgens op Upload.
Validatieproces:
- Na succesvolle indiening ontvang je een bevestigingsmail. HARICA’s validators controleren de gegevens en keuren het verzoek binnen een paar uur tot twee dagen goed.
- Na goedkeuring verschijnen de nieuwe domeinen in het tabblad Domains.

4. Domeinvalidatie starten

Ga naar het tabblad Domains:
- Navigeer naar Enterprise → Admin → Enterprises en selecteer de gewenste Enterprise.
Validatie starten:
- Klik op het tabblad Domains en druk op Validate Domain om domeinvalidatie te starten voor een nieuw domein of om een bestaande domeinvalidatie te vernieuwen.
- Tijdens de validatie wordt de DNS zone van het domein elke drie minuten gecontroleerd.
- Zodra validatie is voltooit wordt de geldigheidsdatum gewijzigd naar een datum in de toekomst.

5. Juridische documenten indienen voor validatie (OV of EV)

Dit is door SURF uitgevoerd en is dus alleen nodig bij een wijziging van de OV-gegevens of op verzoek van SURF of HARICA.

Documenten uploaden:
- Selecteer een Enterprise in het tabblad Enterprises en klik op Upload validation files.
- Upload de juridische documenten die nodig zijn voor de validatie van de Enterprise.
Opmerkingen bij het uploaden:
- Upload alleen de documenten die nodig zijn voor OV-validatie (Organization Validation). Documenten voor EV-validatie (Extended Validation) zijn in dit stadium niet vereist.
Validatie door HARICA:
- Na succesvolle indiening ontvang je een bevestigingsmail. HARICA controleert de documenten en keurt ze goed.
- Zodra goedgekeurd, wordt de validiteit van de Enterprise bijgewerkt met een nieuwe vervaldatum.

Neem voor het aanvragen van een EV-validatie contact op met certificaten-beheer@surf.nl. Het is hiervoor nodig om een "EV - QWAC Subscriber Agreement Addendum" te laten tekenen door je CIO (of vergelijkbaar). Hierna neemt HARICA contact met jouw instelling op om de aanvraag te valideren. Na validatie krijg je een kortingscode voor de EV-certificaten zoals in de portal getoond. Deze zijn geen onderdeel van het flat-fee contract en moeten dus apart worden afgerekend met creditcard.

6. Certificaten beheren

Certificaten bekijken:
- Ga naar het tabblad Certificates om een overzicht te krijgen van alle uitgegeven certificaten.
Details en downloads:
- Klik op een certificaat om de details te bekijken.
- Ga naar het tabblad Download om het openbare sleutelbestand te downloaden in diverse formaten.
Certificaten intrekken:
- Als een certificaat moet worden ingetrokken, ga dan naar het tabblad Revoke en volg de stappen om dit proces te voltooien.
Rapporten genereren:
- Klik op Download om een CSV-bestand te genereren met informatie over alle uitgegeven certificaten.

7. Bulk S/MIME certificaten uitgeven

Bulkverwerking starten:
- Ga naar Bulk Certificates → S/MIME en klik op Start here.
- Selecteer de gewenste Enterprise uit het keuzemenu.
CSV uploaden:
- Download de voorbeeld-CSV, vul de vereiste kolommen in (zoals certificaattype en gebruikersinformatie), en upload het bestand.
- Certificaattypen:
  - email_only: Voor e-mailcertificaten.
  - natural_legal_lcp: Voor SV-certificaten (Secure Validation).
Certificaten downloaden:
- Na succesvolle verwerking ontvang je een .zip-bestand met de certificaten.
- Je kunt deze direct downloaden of later openen via het tabblad Bulk Certificates → S/MIME.
Certificaten beheren:
- Bekijk individuele certificaten in het Details-tabblad of download een .zip-bestand via het tabblad Info.
- Intrekken is mogelijk door op de X-knop te klikken bij een specifiek certificaat.

Handleiding voor Enterprise Approvers

Als Enterprise Approver heb je de verantwoordelijkheid om SSL- en S/MIME-certificaatverzoeken te beoordelen, goed te keuren en certificaten te beheren binnen HARICA’s CertManager Portal. Deze handleiding legt stap voor stap uit hoe je deze taken kunt uitvoeren.

1. Toegang krijgen tot de rol van Enterprise Approver

Registreren en inloggen:
- Bezoek HARICA’s CertManager portal en maak een account aan via de knop Academic Login
Twee-factor-authenticatie (2FA):
- Log in, klik rechtsboven op je naam en ga naar Profile → Account Settings. Activeer 2FA door de instructies te volgen.
Toegang verkrijgen als Enterprise Approver:
- Na het activeren van 2FA, informeer een Enterprise Admin binnen je Enterprise om je toegang te geven tot de rol van Enterprise Approver. Enterprise Mangers van SURF kunnen dit niet.
- Zodra je toegang hebt, verschijnt er een nieuw menu Enterprise in de portal.
Bevoegdheden van een Enterprise Approver:
- Het bekijken en goedkeuren van SSL- en S/MIME-certificaatverzoeken.
- Het beheren van SSL- en S/MIME-certificaten.
- Hieronder zie je dat voor een Enterprise Approver een aantal extra menu-items verschijnen. Het stukje 'Admin' is alleen zichtbaar als de Approver óók Enterprise Admin is.

SURF User Knowledge Base > HARICA CertManager > Screenshot 2025-06-19 at 09.26.56.png

2. SSL-certificaatverzoeken beoordelen

Certificaatverzoeken bekijken:
- Ga naar Enterprise → SSL Requests om een lijst van SSL-certificaatverzoeken te bekijken.
- Certificaatverzoeken hebben vier mogelijke statussen:
  - Pending: Verzoeken die wachten op goedkeuring.
  - Ready: Goedgekeurde verzoeken waarvoor het certificaat nog niet is ingeschreven.
  - Completed: Verzoeken waarbij het certificaat succesvol is uitgegeven.
  - Cancelled: Geannuleerde verzoeken.
Een verzoek beoordelen:
- Klik op een Pending-verzoek of druk op Show details aan de rechterkant.
- In de pop-up zie je drie tabbladen: Organization, Consent, en Domains.
  - Ga naar Domains om te controleren of de gebruiker eigenaar is van de aangevraagde domeinen.
  - Voeg onder het tabblad Consent een interne opmerking toe (dit mag ook een spatie zijn) en klik op Accept om goed te keuren.
- Klik op de X-knop om een verzoek af te wijzen en te annuleren.

3. S/MIME-certificaatverzoeken beoordelen

Certificaatverzoeken bekijken:
- Ga naar Enterprise → S/MIME Certificate Requests om een lijst van S/MIME-verzoeken te bekijken.
- De statussen zijn hetzelfde als bij SSL-verzoeken: Pending, Ready, Completed, en Cancelled.
Een verzoek beoordelen:
- Klik op een Pending-verzoek of druk op Show details.
- In de pop-up zie je drie tabbladen: Natural Person, Organization (voor S/MIME IV+OV), en Emails.
  - Ga naar Natural Person om de persoonlijke gegevens van de gebruiker te controleren met hun identiteitsbewijs. Je kunt het document bekijken via Open file.
  - Controleer onder Emails of de e-mailvalidatie is voltooid (aangegeven met een vinkje).
Goedkeuren of afwijzen:
- Voeg een interne opmerking toe onder Natural Person en klik op Accept om het verzoek goed te keuren.
- Klik op Update als je de informatie van de gebruiker moet aanpassen voordat je goedkeurt.
- Gebruik de X-knop om een verzoek af te wijzen.

4. Certificaten beheren

Uitgegeven certificaten bekijken:
- Ga naar het menu Enterprise en selecteer SSL Certificates of S/MIME Certificates.
- Klik op een certificaat om de details te bekijken.
Certificaatbeheer:
- Ga naar het tabblad Download om het openbare sleutelbestand te downloaden in diverse formaten.
- Gebruik het tabblad Revoke om certificaten in te trekken als dat nodig is.