Concept

Uitleg
Enterprise
Term die HARICA gebruikt voor een organisatie.
Enterprise ManagerBeheerder van SURF die Enterprises aanmaakt en de eerste Enterprise Admin toevoegt. 
Enterprise AdminBeheerder van een instelling die o.a. domeinen kan toevoegen en valideren. Deze Admin kan andere Users de rechten voor Admin en/of Approver toekennen. Is niet automatisch ook Approver.
Enterprise ApproverBeheerder van een instelling die certificaataanvragen kan goedkeuren (niet van zichzelf). Is niet per definitie Admin.
Enterprise UserEindgebruiker die inlogt met een binnen CertManager bekend domein. Die kan certificaten aanvragen binnen de Enterprise. Hiervoor hoeven geen extra rechten toegekend te worden. Als een eindgebruiker TOTP instelt kan deze door een Admin rechten als Admin of Approver krijgen. 

Aandachtspunten bij het aanvragen van certificaten

  1. Domeinnamen zijn hoofdlettergevoelig. Als een domein dus met HuisStijl wordt toegevoegd, moet de domeinnaam voorbeeld.HuisStijl.nl toegevoegd worden, anders werkt het niet

  2. Basis domein voor wildcard certificaten niet als SAN toevoegen. Voor een wildcard *.voorbeeld.nl kun je dus niet voorbeeld.nl als SAN toevoegen. Deze wordt automatisch toegevoegd door Harica. Je aanvraag valideert niet als je dat wel doet.
  3. Let op je DNS configuratie als deze intern andere antwoorden geeft als voor extern. Dat leidt tot CAA issues. Als het om een (sub)zone gaat die extern niet resolved moet je de NS records daarvoor ook niet publiek beschikbaar maken.
  4. Cross-signed root. Sommige leveranciers zoals Java willen graag het 2021 naar 2015 cross-signature certificaat expliciet erbij hebben. Anders wordt de chain niet als geldig gezien. Deze is hier te vinden.
  5. Akamai heeft Harica nog niet in hun trust store. Hier wordt aan gewerkt.

Help! Mijn certificaataanvraag hangt vast!

1. Check of een tweede gebruiker van je instelling de certificaataanvraag goedgekeurd heeft (je kunt dit niet zelf doen). Hiervoor heeft de collega een "validator group" toewijzing van jouw organisatie nodig.
2. Check de CAA van je domein of subdomein. Hier moet op zijn minst "issue 0 harica.gr" in voorkomen.
3. Check je DNS! Gaat het om een certificaat in een interne zone? Zorg dan dat de zone niet extern aangekondigd wordt (in een NS record) of dat hij een extern NXDOMAIN geeft.

Handleiding voor Enterprise Admins

HARICA's CertManager Portal biedt Enterprise Admins uitgebreide tools voor het beheren van certificaten, domeinen en gebruikers binnen een Enterprise. Deze handleiding beschrijft stap voor stap de functies die beschikbaar zijn voor Enterprise Admins.

1. Toegang krijgen tot de rol van Enterprise Admin

  1. Registreren op de portal:

  2. Twee-factor-authenticatie (2FA):

    • Log in en klik rechtsboven op je naam. Ga naar Profile → Account Settings en activeer 2FA.
    • Volg de instructies op het scherm om 2FA succesvol in te stellen.

  3. Toegang verkrijgen als Enterprise Admin:

    • Nadat je 2FA hebt geactiveerd, informeer je de Enterprise Manager of een bestaande Enterprise Admin, zodat zij je toegang kunnen geven tot de rol van Enterprise Admin.
    • Zodra toegang is verleend, verschijnt er een Enterprise-menu in de portal.

2. Rollen toewijzen aan gebruikers

  1. Gebruikers selecteren:

    • Ga binnen het Enterprise-menu naar het Users-tabblad en selecteer een gebruiker die zich heeft geregistreerd met een e-mailadres dat behoort tot een domein dat jouw Enterprise beheert.

  2. Enterprise-rollen activeren:

    • Ga naar het tabblad Account info en activeer de gewenste rollen (bijvoorbeeld Enterprise Admin of Enterprise Approver) door de bijbehorende schakelaars in te schakelen.
    • Selecteer de relevantie Validator group om de gebruiker de rechten te geven domeinen te valideren. Klik daarna op Save.

  3. Voorwaarden voor toegang:

    • Zorg ervoor dat de gebruiker 2FA heeft geactiveerd voordat je hen toegang verleent tot Enterprise-rollen.

3. Domeinvalidatie starten

  1. Ga naar het tabblad Domains:

    • Navigeer naar Enterprise → Admin → Enterprises en selecteer de gewenste Enterprise.

  2. Validatie starten:

    • Klik op het tabblad Domains en druk op Validate Domain om domeinvalidatie te starten voor een nieuw domein of om een bestaande domeinvalidatie te vernieuwen.
    • Tijdens de validatie wordt de DNS zone van het domein elke drie minuten gecontroleerd.
    • Zodra validatie is voltooit wordt de geldigheidsdatum gewijzigd naar een datum in de toekomst.

  3. Voorwaarden:

    • Zorg ervoor dat de gebruiker die het domein valideert geregistreerd is in de CertManager portal.

4. Domeinen toevoegen aan een Enterprise

  1. Een domeinverzoek indienen:

    • Selecteer een Enterprise in het tabblad Enterprises.
    • Klik nogmaals op de Enterprise (dus open niet het tabblad Domains)
    • Klik op Add Domains, een klein icoontje van een wereldbol rechtsbovenin het overzicht, en download de voorbeeld-CSV die wordt aangeboden.

  2. CSV invullen en uploaden:

    • Vul de CSV in met de vereiste gegevens (zoals domeinnamen en eventueel eigenaarsinformatie). Zorg ervoor dat alle gegevens correct en volledig zijn.
    • Klik op Choose File om het bestand te selecteren en druk vervolgens op Upload.

  3. Validatieproces:

    • Na succesvolle indiening ontvang je een bevestigingsmail. HARICA’s validators controleren de gegevens en keuren het verzoek goed.
    • Na goedkeuring verschijnen de nieuwe domeinen in het tabblad Domains.

5. Juridische documenten indienen voor validatie

Dit is door SURF uitgevoerd en is dus alleen nodig bij een wijziging van de OV-gegevens of op verzoek van SURF of HARICA.

  1. Documenten uploaden:

    • Selecteer een Enterprise in het tabblad Enterprises en klik op Upload validation files.
    • Upload de juridische documenten die nodig zijn voor de validatie van de Enterprise.

  2. Opmerkingen bij het uploaden:

    • Upload alleen de documenten die nodig zijn voor OV-validatie (Organization Validation). Documenten voor EV-validatie (Extended Validation) zijn in dit stadium niet vereist.

  3. Validatie door HARICA:

    • Na succesvolle indiening ontvang je een bevestigingsmail. HARICA controleert de documenten en keurt ze goed.
    • Zodra goedgekeurd, wordt de validiteit van de Enterprise bijgewerkt met een nieuwe vervaldatum.

6. Certificaten beheren

  1. Certificaten bekijken:

    • Ga naar het tabblad Certificates om een overzicht te krijgen van alle uitgegeven certificaten.

  2. Details en downloads:

    • Klik op een certificaat om de details te bekijken.
    • Ga naar het tabblad Download om het openbare sleutelbestand te downloaden in diverse formaten.

  3. Certificaten intrekken:

    • Als een certificaat moet worden ingetrokken, ga dan naar het tabblad Revoke en volg de stappen om dit proces te voltooien.

  4. Rapporten genereren:

    • Klik op Download om een CSV-bestand te genereren met informatie over alle uitgegeven certificaten.

7. Bulk S/MIME-certificaten uitgeven

  1. Bulkverwerking starten:

    • Ga naar Bulk Certificates → S/MIME en klik op Start here.
    • Selecteer de gewenste Enterprise uit het keuzemenu.

  2. CSV uploaden:

    • Download de voorbeeld-CSV, vul de vereiste kolommen in (zoals certificaattype en gebruikersinformatie), en upload het bestand.
    • Certificaattypen:
      • email_only: Voor e-mailcertificaten.
      • natural_legal_lcp: Voor SV-certificaten (Secure Validation).

  3. Certificaten downloaden:

    • Na succesvolle verwerking ontvang je een .zip-bestand met de certificaten.
    • Je kunt deze direct downloaden of later openen via het tabblad Bulk Certificates → S/MIME.

  4. Certificaten beheren:

    • Bekijk individuele certificaten in het Details-tabblad of download een .zip-bestand via het tabblad Info.
    • Intrekken is mogelijk door op de X-knop te klikken bij een specifiek certificaat.

Handleiding voor Enterprise Approvers

Als Enterprise Approver heb je de verantwoordelijkheid om SSL- en S/MIME-certificaatverzoeken te beoordelen, goed te keuren en certificaten te beheren binnen HARICA’s CertManager Portal. Deze handleiding legt stap voor stap uit hoe je deze taken kunt uitvoeren.

1. Toegang krijgen tot de rol van Enterprise Approver

  1. Registreren en inloggen:

  2. Twee-factor-authenticatie (2FA):

    • Log in, klik rechtsboven op je naam en ga naar Profile → Account Settings. Activeer 2FA door de instructies te volgen.

  3. Toegang verkrijgen als Enterprise Approver:

    • Na het activeren van 2FA, informeer een Enterprise Admin binnen je Enterprise om je toegang te geven tot de rol van Enterprise Approver. Enterprise Mangers van SURF kunnen dit niet.
    • Zodra je toegang hebt, verschijnt er een nieuw menu Enterprise in de portal.

  4. Bevoegdheden van een Enterprise Approver:

    • Het bekijken en goedkeuren van SSL- en S/MIME-certificaatverzoeken.
    • Het beheren van SSL- en S/MIME-certificaten.

2. SSL-certificaatverzoeken beoordelen

  1. Certificaatverzoeken bekijken:

    • Ga naar Enterprise → SSL Requests om een lijst van SSL-certificaatverzoeken te bekijken.
    • Certificaatverzoeken hebben vier mogelijke statussen:
      • Pending: Verzoeken die wachten op goedkeuring.
      • Ready: Goedgekeurde verzoeken waarvoor het certificaat nog niet is ingeschreven.
      • Completed: Verzoeken waarbij het certificaat succesvol is uitgegeven.
      • Cancelled: Geannuleerde verzoeken.

  2. Een verzoek beoordelen:

    • Klik op een Pending-verzoek of druk op Show details aan de rechterkant.
    • In de pop-up zie je drie tabbladen: Organization, Consent, en Domains.
      • Ga naar Domains om te controleren of de gebruiker eigenaar is van de aangevraagde domeinen.
      • Voeg onder het tabblad Consent een interne opmerking toe (dit mag ook een spatie zijn) en klik op Accept om goed te keuren. 
    • Klik op de X-knop om een verzoek af te wijzen en te annuleren.

3. S/MIME-certificaatverzoeken beoordelen

  1. Certificaatverzoeken bekijken:

    • Ga naar Enterprise → S/MIME Certificate Requests om een lijst van S/MIME-verzoeken te bekijken.
    • De statussen zijn hetzelfde als bij SSL-verzoeken: Pending, Ready, Completed, en Cancelled.

  2. Een verzoek beoordelen:

    • Klik op een Pending-verzoek of druk op Show details.
    • In de pop-up zie je drie tabbladen: Natural Person, Organization (voor S/MIME IV+OV), en Emails.
      • Ga naar Natural Person om de persoonlijke gegevens van de gebruiker te controleren met hun identiteitsbewijs. Je kunt het document bekijken via Open file.
      • Controleer onder Emails of de e-mailvalidatie is voltooid (aangegeven met een vinkje).

  3. Goedkeuren of afwijzen:

    • Voeg een interne opmerking toe onder Natural Person en klik op Accept om het verzoek goed te keuren.
    • Klik op Update als je de informatie van de gebruiker moet aanpassen voordat je goedkeurt.
    • Gebruik de X-knop om een verzoek af te wijzen.

4. Certificaten beheren

  1. Uitgegeven certificaten bekijken:

    • Ga naar het menu Enterprise en selecteer SSL Certificates of S/MIME Certificates.
    • Klik op een certificaat om de details te bekijken.

  2. Certificaatbeheer:

    • Ga naar het tabblad Download om het openbare sleutelbestand te downloaden in diverse formaten.
    • Gebruik het tabblad Revoke om certificaten in te trekken als dat nodig is.
  • No labels