Soorten Certificaten

FAQ

Mijn certificaat wordt niet uitgegeven/geaccepteerd waar ligt dat aan?

Zie de aandachtspunten op CertManager Eindgebruikershandleidingen. De oorzaak staat daar in de meeste gevallen tussen.

Wat is het CAA record dat ik kan gebruiken?

Maak hiervoor een record van type CAA aan, met als waarde  0 issue "harica.gr". Dit wordt ook automatisch gecontroleerd in Harica CertManager tijdens de aanvraag. Voor S/MIME certificaten is dat  0 issuemail "harica.gr", en voor wilcardcertificaten  0 issuewild "harica.gr". 

Wat zijn de root-certificaten van de CA?

De HARICA TLS RSA Root CA 2021 en de HARICA TLS ECC Root CA 2021 zijn de meest recente root-certificaten, voorgeïnstalleerd op Windows besturingssystemen en op MacOS vanaf versie 12. Deze zijn ook opgenomen in de root programma's van Mozilla en dergelijke. Om compatibiliteit met oudere clients te verzekeren zijn de intermediates die voor uitgifte worden gebruikt ook cross-signed door de oudere 2015 roots. Dit intermediate wordt standaard megeleverd in de 'PEM with full chain' maar is ook hier te vinden.

En welke intermediates worden gebruikt voor uitgifte? 

Deze vind je in de 'repository' op https://repo.harica.gr/rep_dyn. Onder Intermediate Certification Authorities staan vier 'HARICA GEANT' intermediates. Let op dat de naam in de dropdown niet per definitie overeen komt met de CN.

Ik krijg: "The validity of the requested domain name has expired. Please contact your organization’s administrator.”

Het aanvragen van een certificaat via de UI werkt binnen een Enterprise alleen met reeds gevalideerde domeinen. Die moeten dus eerst door een Enterprise Admin gevalideerd worden onder Enterprise Admin -> Klik op je instelling -> Domains -> Validate. Zie ook de algemene CertManager documentatie.

Hoe kan ik mijn eigen certificaataanvraag goedkeuren?

Dat kan niet. Dit is een keuze van HARICA en wij/GÉANT zijn het daar mee eens. Voor admins onderling kan dit overdreven zijn, maar wij vinden dit een best-practise die niet vreemd is om af te dwingen. Voor systeembeheerders en ander grootgebruik verwachten we dat er ACME gebruikt wordt. Daar geldt deze beperking niet.

Waarvoor worden OV en EV certificaten aangeraden?

OV, EV en DV-certificaten verschillen in validatieniveau door de certificaatautoriteit, maar browsers tonen dit onderscheid tegenwoordig niet meer. Er zijn geen significante verschillen in versleuteling/beveiliging tussen deze certificaten, behalve voor de zichtbaarheid in de instellingen. De strengere validatie-eisen bemoeilijken automatisering, en de geldigheidsduur van certificaten wordt momenteel herzien. Voor de meeste toepassingen zijn DV-certificaten voldoende, terwijl OV en EV mogelijk nog nodig zijn voor specifieke gevallen

Kan ik EV-certificaten aanvragen?

Ja, maar deze zitten niet meer in de flat fee van de dienst. Hier moet dus apart voor worden afgerekend binnen CertManager.

Doet HARICA nog OCSP?

Ja, maar dat wordt eind 2026 uitgefaseerd, net als bij andere CA's. Daar heeft SURF ook op aangestuurd.

Wat betekenen Chrome's nieuwe regels voor certificaathiërarchieën voor ons?

Niet zo veel. HARICA zal ook in de toekomst IGTF clientcertificaten blijven uitgeven, die komen nu ook al uit een aparte chain. De S/MIME certificaten hebben ook de Client Authentication EKU, en die zijn ook publiek vertrouwd uit een aparte chain. Alleen voor servercertificaten wordt deze key usage niet meer toegestaan. Als je nu mTLS gebruikt zal dat dus in de toekomst met twee certificaten moeten omdat servercertificaten niet óók gebruikt kunnen worden voor client authentication. Dit is een manier van gebruik die we niet veel zien, degenen die dit doen weten dit waarschijnlijk zelf. Voorlopig lijkt het advies te zijn om certificaten te vernieuwen terwijl clientauthenticatie nog steeds is toegestaan, en later te bekijken wat er op de lange termijn moet gebeuren.

Waarom niet gewoon Let's Encrypt?

Let's Encrypt is een uitstekende gratis dienst van een non-profit leverancier die voor veel toepassingen goed werkt. Het heeft enkele beperkingen die een beheerde dienst zoals TCS kan verhelpen, waaronder:

• Certificaatbeheer via een portal voor een duidelijk overzicht van bestelde certificaten en hun levensduur
• Apart toe te wijzen rechten voor beheerders en eindgebruikers
• Mogelijkheid alle certificaattypes op één plek te bestellen.
• OV en EV als opties voor specifieke toepassingen.
• Het afdwingen van een baseline aan TLS-standaarden
• Ondersteuning voor IGTF-certificaten.
• Ondersteuning door experts van SURF en HARICA
• Geen rate limits
• EU-gebaseerde voorwaarden en contracten die voor je worden onderhandeld.

Wat zijn de gebruikte domeinen voor CRL en OCSP?

Hieronder staat een lijstje om eventueel toe te voegen aan een firewall o.i.d. bij niet-internetverbonden systemen. Dit zou in de meeste gevallen niet nodig hoeven te zijn, omdat de meeste browsers een mislukte check interpreteren als 'geen probleem'. OCSP wordt eind 2026 uitgefaseerd.

• ocsp.geant-prv.harica.gr
• ocsp.harica.gr
• crl.geant-prv.harica.gr
• crl.harica.gr

Hoe kunnen we certificaten uitgegeven door de vorige leverancier intrekken?

Reeds uitgegeven certificaten door de vorige leverancier blijven geldig tot de einddatum in het certificaat. Als er tijdens de geldigheidsduur een situatie ontstaat waarvoor intrekken noodzakelijk is, kan dat via het support-kanaal van de oude leverancier of direct via https://sectigo.com/support/revocation. Volgens de richtlijnen in het CA/browser forum moet hier altijd snel gehoor aan gegeven worden.

Hoe voorkom ik certificaatprompts bij het wisselen van Radius-certificaat voor eduroam?

Eindgebruikers kunnen hun device het beste configureren via geteduroam, of via profielen uitgeleverd door eduroam CAT. Daarbij wordt niet alleen de juiste CA root gespecificeerd maar ook andere instellingen zodat het werkt en veilig is, wat voor eindgebruikers niet altijd evident is. Certificaatwisselingen geven dan geen prompts meer. Voor meer informatie over geteduroam of eduroam CAT kun je terecht bij het eduroam-team. 

Hoe is de dienst aanbesteed?

De dienst wordt samen met andere NRENs ("SURF"-organisaties in Europa) gezamenlijk ingekocht onder de naam TCS door de samenwerkingsorganisatie GÉANT. GÉANT heeft het contract tot 2027 aan HARICA gegund als "onderhandelingsprocedure zonder voorafgaande aankondiging". Vanaf april tot en met juli 2026 werken we met GÉANT aan een nieuwe aanbesteding met een langere contractuur (4+2+2 jaar).

Leveren jullie ook PKI-overheid en Zorg ID certificaten?

Nee, dat kunnen slechts een paar leveranciers en het geeft een boel specifiek werk voor alleen de Nederlandse context. We willen hier in de toekomst nog eens naar kijken, maar dat hangt ook sterk af van hoe toegankelijk Logius en de VZVZ hun stelsels willen maken.