Bij de overgang naar de nieuwe leverancier is er in recordtijd een portal voor GÉANT opgeleverd met functionaliteit speciaal voor onze doelgroep. Hierbij heeft de focus gelegen op het zo snel mogelijk bieden van de minimale set benodigde functionaliteit. In zijn algemeenheid is bekend dat de interface van CertManager (nog) niet geschikt is voor organisaties van ons formaat. Ook het gebrek aan details in foutmeldingen is bekend en staat op de wensenlijst bij HARICA.
Het bijschaven van de UI (waaronder de schaling op grotere monitors) is iets waar we de komende maanden continu mee aan de slag zijn, maar wat nu nog een lage prioriteit heeft. Het ontbreekt hier en daar aan zoekfuncties, sorteerfuncties, filters, exports e.d.
Bekende bugs
Onderstaande bugs zijn bekend en worden in een komende update opgelost:
- In december wordt een update verwacht rondom de traagheid van schermen met veel items en het functioneren van zoekfuncties.
- HARICA geeft aan zich ook ten zeerste bewust te zijn van de gebrekkige foutmeldingen in sommige schermen, dat vergt grote veranderingen in de infrastructuur, maar staat hoog op de prioriteitenlijst.
- Hier en daar zijn domeinen case-sensitive, bijvoorbeeld bij het gebruik van ACME. Voeg domeinen daarom altijd lowercase toe aan CertManager.
Wensenlijst
De volgende zaken staan op de wensenlijst bij GÉANT en worden vanuit hen aan HARICA gepresenteerd, maar er is nog geen planning bekend:
- Zowel de keys als de domeinen uit een CSR gebruiken bij een handmatige aanvraag, zonder die dubbel te hoeven oploaden
- Notificatie verzenden naar alle admins i.p.v. een specifiek adres
- 2FA op basis van eduGAIN/SURFconext i.p.v. de extra TOTP
- Unieke bestandsnamen, in plaats van de huidige
cert.pem - Het kunnen zien van key size en dergelijke bij het goedkeuren van een certificaat
- Een publieke URL voor het downloaden van certificaten
- Verbeterde functionaliteit voor sub-organisaties binnen een enterprise, ook in de vorm van gedeelde EAB credentials.
X509v3 extensions en constraints:
Onze collega's van SURFconext hebben een interessante ontdekking gedaan w.b. compatibiliteitsproblemen na de overstap naar de nieuwe leverancier. Hoewel HARICA strengere eisen stelt aan de technische correctheid van TLS-certificaten, wat in grote lijnen een vooruitgang is, blijkt dit in de praktijk problemen op te leveren. De HARICA-certificaten missen namelijk de "Key Encipherment" vlag, die nodig is voor RSA-key-exchange. Hoewel deze methode al jaren niet meer wordt gebruikt, controleren sommige oudere clients, zoals Java 11 en applicaties op Red Hat 6/7-systemen, of deze vlag aanwezig is. Als gevolg hiervan weigeren deze clients verbinding te maken met de SURFconext-servers, wat het backend-verkeer ontregelt en het onmogelijk maakt om OIDC-tokens of SAML-metadata op te halen.
HARICA suggereert als oplossing over te stappen op ECC (Elliptic Curve Cryptography)-certificaten. Deze certificaten ondersteunen geen RSA-key-exchange, waardoor de oude clients geen problemen ondervinden. Deze oplossing is door SURFconext uitgebreid getest en levert geen compatibiliteitsproblemen op met oudere clients.
Daarnaast is er een verschil in hoe HARICA omgaat met de Basic Constraints. Waar andere leveranciers daar altijd een CA: FALSE toevoegen is deze volgens de RFC niet verplicht. Afwezigheid van de boolean moet als FALSE worden geinterpreteerd. HARICA laat deze daarom weg. Bijvoorbeeld ADFS server 2016 verwacht deze constraint expliciet en zal daardoor niet automatisch de juiste chain vinden. Hier is wederom de oplossing om de complete chain inclusief cross-signature naar de 2015 root op te nemen, zoals standaard meegeleverd in de PEM Bundle in CertManager.
Windows 2019 server - Oudere Android clients (<14)
Er zijn een aantal gevallen waarin er clients zijn die met de 2021 Harica root niet tot Trust komen. Hiervoor is het cross signature en de Harica root van 2015 benodigd. Windows 2019 server doet hier wat speciale dingen waarbij automatisch het meest recente rootCA wordt gedownload en geïnstalleerd. Om hier omheen te komen:
- Remove the 2021 Harica root from the trust stores
- add the cross signature & the 2015 root to the trust stores
- Make sure Root certs are not automatically updated in the registry: Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication.
Turn off Automatic Root Certificates Update