Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Fix certificate generation #99

Open
Zalfsten opened this issue Jan 13, 2025 · 0 comments
Open

Fix certificate generation #99

Zalfsten opened this issue Jan 13, 2025 · 0 comments
Assignees
@darnold-zalf

Comments

@Zalfsten
Copy link
Contributor

Currently we're using DFN/Géant certificates issued by Sectigo.
Sectigo has been replaced by https://harica.gr, so certificate generate (ACME) need to be adapted accordingly.
Alternatively we could use Letsencrypt -- which should be much simpler.

Here the message from ZALF-IT:

Sehr geehrte Kollegen,

DFN hat mit HARICA einen neuen Dienstanbieter mit dem Ausstellen von Zertifikaten beauftragt.
Weitere Informationen dazu auf https://doku.tid.dfn.de/de:dfnpki:harica2025

User-Registrierung
User registrieren sich bitte auf https://cm.harica.gr/ mit Username/Passwort.
Username ist entsprechend [email protected] .
Es gibt keinen Prozess, bei dem ein Admin andere User anlegen kann.
Die bei der Registrierung verwendete E-Mail-Adresse sorgt für die Zuordnung zu einer Einrichtung.
User können sich über den Link im Text „New to HARICA? Sign Up“ mit Username und Passwort registrieren.
Hiernach schalten Sie bitte eine Zwei-Faktor-Authentifizierung für sich frei.
Hierzu klickt man rechts oben den eigenen Namen an, wählt „Profile --> Two Factor Authentication“ und folgt
den weiteren Anweisungen. Als App dafür kann Google Authenticator genutzt werden.

Rollen
Es gibt die folgenden Rollen:
Normale User ohne erhöhte Rechte. Kann für sich Zertifikate beantragen.
Enterprise Approver: Genehmigt gestellte Zertifikatanträge. Es gibt getrennte Rollen für S/MIME und Serverzertifikate
Enterprise Admin: Kann Domains verwalten und die Rollen Enterprise Admin und Enterprise Approver vergeben.

Neue Normale User, die sich mit Mail-Adressen aus der Domain der Einrichtung registriert haben, können
von einem Enterprise Admin weitere Rollen zugewiesen bekommen.

Enterprise Admins und Approver müssen Zwei-Faktor-Authentifizierung in ihrem Profil angeschaltet haben.

Weitere Informationen finden Sie hier: https://doku.tid.dfn.de/de:dfnpki:harica2025#user-registrierung

Domains
Ich habe bereits folgende Domains hinzugefügt:
bonares.de
nfdi4agri.de
fairagro.net

Jeweilige Nutzer dieser Domains müssen ihre Domain als Enterprise Admin selbst validieren.
Bei der E-Mail-Validierung wird zunächst an eine der generischen Adressen hostmaster@ usw. ein Link übermittelt, der
dann von der Person mit dem Account im HARICA-System mit Login aufgerufen werden muss.
Dazu bitte wie auf https://doku.tid.dfn.de/de:dfnpki:harica2025#domainvalidierung dargestellt vorgehen.

Mit freundlichen Grüßen,
Matthias Höhne
@darnold-zalf darnold-zalf self-assigned this Jan 22, 2025
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@darnold-zalf darnold-zalf

Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@Zalfsten @darnold-zalf