Aandachtspunten bij het aanvragen van certificaten

1. Domeinen moeten eerst zijn toegevoegd door een beheerder. Ook wel 'Enterprise Admin' genoemd binnen de gebruikte portal. Dit is een beheerder binnen de instelling ('Enterprise'). Pas daarna kunnen 'gewone' gebruikers er certificaten voor aanvragen. 

2. Check je CAA record, ook die van eventuele SAN's in het certificaat. Er moet óf geen record óf die van HARICA zijn.

3. Let op je DNS configuratie als deze intern andere antwoorden geeft als voor extern. Dat leidt tot CAA issues. Als het om een (sub)zone gaat die extern niet resolved moet je de NS records daarvoor ook niet publiek beschikbaar maken.
4. Domeinnamen zijn hoofdlettergevoelig. Als een domein dus met HuisStijl wordt toegevoegd, moet de domeinnaam voorbeeld.HuisStijl.nl aangevraagd worden, anders werkt het niet
5. Cross-signed root. Sommige toepassingen (zoals Java) of oudere clients willen graag het 2021 naar 2015 cross-signature certificaat expliciet erbij hebben. Anders wordt de chain niet als geldig gezien. Dit intermediate wordt standaard megeleverd als je de certificaten via ACME aanvraagt of als je vanuit CertManager de 'PEM with full chain' download. Het certificaat is los ook hier te vinden.

Ondersteuning voor Eindgebruikers

Om dubbel werk te besparen bied SURF deze algemene handleidingen voor eindgebruikers aan. Ondersteuning hierbij gaat echter altijd in eerste instantie via de onderwijs- of onderzoeksinstelling zelf. Meestal kan je hiervoor contact opnemen met een ICT Servicedesk. 

1. TLS servercertificaten via ACME

Voor ACME zie onze ACME pagina.

2. TLS servercertificaten via de HARICA CertManager

Zie hiervoor de documentatie van Harica. Gebruikers binnen elke instelling kunnen via 'Academic Logon' inloggen om toegang te krijgen, hiervoor zijn geen extra stappen nodig.

3. Persoonlijke (S/MIME) certificaten voor email

1. De Harica documentatie voor het verkrijgen van het certificaat is hier te vinden. Kies voor IV only of IV+OV. 
2. Voor het installeren van S/MIME certificaten in je mailagent zie:
   1. Hier voor Microsoft Outlook
   2. Hier voor Apple Mail
   3. Hier voor Thunderbird

Certificaten voor niet-persoonlijke mailadressen kunnen door instellingsbeheerder (Enterprise Admins) via de bulk-functionaliteit worden aangevraagd.

4. Code-Signingcertificaten

Hier de link naar de Harica documentatie: klik hier

Er is een 20% kortingscode die je kunt aanvragen voor een codesigning certificaat. Neem daarvoor contact op met certificaten-beheer@surf.nl.

5. Document-Signing certificaten

De handleiding voor documentsigning van Harica is hier te vinden.

Er is een 20% kortingscode die je kunt aanvragen voor een codesigning certificaat. Neem daarvoor contact op met certificaten-beheer@surf.nl.