TCS

Innen: Pro-M - Oktatási Üzletág - Wiki
A lap korábbi változatát látod, amilyen Petofi(AT)niif.hu (vitalap | szerkesztései) 2025. május 9., 09:12-kor történt szerkesztése után volt.

A PRO-M tanúsítványszolgáltatás

Értesítések:

  • Hamarosan indul a szolgáltatás!

A Megbízható Tanúsítványszolgáltatás (Trusted Certificate Service, TCS) olyan tanúsítványok kiállítását biztosítja, amelyet az elterjedt böngészők és kliensprogramok megbízhatónak tartanak, valamint bizonyos típusaik Grid hálózatokban is elfogadhatóak.

HARICA tanúsítványszolgáltatás

A görög egyetemek szövetségének fejlesztésére épül az új TCS tanúsítványszolgáltató. Gyorsan haladnak a fejlesztéssel, de jelenleg még pár funkció – több szintű jogosultságkezelés, intézmények kezelése, ACME, stb. – fejlesztés alatt áll, és nem érhető el teljes funkcionalitásában. A HARICA rendszere az alábbi linken érhető el.

Regisztráció/belépés

  1. Működik az eduID-s belépés, nincs szükség külön regisztrációra; az Academic login gombra kattintva érhető el.
HARICA login
  1. Lehetséges egyéb e-mail címmel is regisztrálni a HARICA felületére, azonban ajánljuk a hivatali email cím használatát, mivel ez alapján az adott intézményhez is rendelődik a felhasználó, amennyiben az intézmény már benne van a rendszerben, és felvette magához a domaint, valamint a tanúsítványkérelem engedélyezésénél is ez alapján döntik el a kérelem jogosságát.
  2. Belépés után, ha a tanúsítványigénylésen felül egyéb jogokat szeretnénk, akkor kötelező beállítani a kéttényezős hitelesítést. Ezt a jobb felső sarokban a saját nevünkre kattintva, a Profile menüpontnál lehet elérni. Jelenleg nem veszik figyelembe, hogy az eduID folyamatában is kéttényezős hitelesítés szerepel; ezt a problémát a GÉANT és az NREN-ek is jelezték a HARICA-nak. Valószínűleg engedélyezni fogják, hogy az intézmény kétlépcsős azonosítása esetén ne kelljen TOTP-t használni HARICA-nál.
  3. Az e-mail cím domainje alapján automatikusan a PRO-M-hez vagy az intézményhez rendeli a felhasználót.
  4. Csak ezután tudunk bárkinek bármiféle jogosultságot beállítani. Ilyen igényeket a tcs@pro-m.hu címre lehet küldeni.

Jogosultsági szintek

  • Admin: Csak a saját intézményén belül tevékenykedik; más intézményekre nem lát rá. Az adott intézmény validálását (OV), akárcsak a domainjeiét (DV) intézheti. Jogosultságokat adhat az intézmény felhasználóinak (Admin és alatta lévő jogok). Tanúsítványt igényelhet. Az Admin mellé Approver jogosultság is beállítható.
  • Approver: El tudja fogadni a beküldött tanúsítványokat (kivéve a saját maga által beküldötteket). Tanúsítványt igényelhet.
  • User: Tanúsítványt igényelhet. Felhasználóként bárki beregisztrálhat a HARICA felületére – eduID mellett felhasználó/jelszó regisztráció is működik. Ha a regisztrációhoz használt e-mail cím domainje valamely intézmény felrögzített domainjei közé tartozik, akkor a felhasználót automatikusan hozzárendeli, és az intézmény Adminjai tudják kezelni. Jogosultságot csak Admin vagy Manager adhat, ha a User beállította a 2FA-t.

Jogosultságok beállítása

Egy adott intézmény (Enterprise) admin jogosultságú felhasználója képes az intézmény usereinek jogokat beállítani (amennyiben az adott felhasználó beállította a kétfaktoros hitelesítést). Ehhez a fejlécen található Enterprise → Admin menüpontra kell elnavigálni, ott a Users fülön a felhasználók listájából kiválasztani a megfelelőt. A felugró ablakban az Account info fülön lehet beállítani a megfelelő jogokat.

Domain menedzsment

Admin felhasználóként a felső menüsoron az Enterprise → Admin gombra kattintva az intézmény adatait tartalmazó ablakra kerülünk. A Domains fülön az intézményhez felvitt domainek listája található, itt meg lehet hosszabbítani a lejárt domainek validációját. A Validate Domain gombra kattintva:

  • DNS-record módszer: itt a felugró ablaknál megadott emailcímre küldik majd a kódot, amit be kell illeszteni a DNS recordba.
  • E-mail: a választott domain alap technikai e-mail címeire küldött ellenőrző levél alapján validálunk.

Új domain hozzáadásához vissza kell navigálni az Enterprises fülre, majd ott az intézményt kiválasztva, a megjelenő ablak jobb felső sarkában található földgömb ikonra kattintani. A letöltött CSV fájlt értelemszerűen kitöltve kell megadni az új domaineket. A felkínált minta fájlt kell használni, mert más formátum esetén hibát kapunk. Az admin saját emailcímére kap egy visszajelzést, hogy beküldött x db domaint a szervezetéhez. (HARICA Notification, Your request for x new Domain(s) in yourenterprise has been submitted.) A domainek elfogadásáról azonban nincs visszajelzés, kb 1 napon belül megjelennek a listában.

Tanúsítvány igénylés

Minden tanúsítvány igénylés a rendszer bal oldali menüjében található menüpontokkal történik. A tanúsítványkérelmek létrehozásához rendelkeznie kell egy felhasználóval a rendszerben (lásd fent), de a felhasználónak nem kell szerepkörrel rendelkeznie. Felhasználó saját kérését nem hagyhatja jóvá, még akkor sem ha adminisztrátor. Ezt egy másik Szervezeti jóváhagyó (Approver) szerepkörrel rendelkező felhasználónak kell megtennie. Ezzel szemben, ha administrátor fogja jóváhagyni a tanúsítványt, akkor egy másik felhasználónak kell igényelnie.

Figyelem Approver-eknek: Tanúsítványigénylést bárki be tud küldeni, akár másik intézménytől is, ezért érdemes alaposan ellenőrizni az igénylést, beleértve az igénylő személyét is, hogy valóban jogosult a cert kiadására!

Szerver tanúsítványok

Használja a Certificate Requests → Server útvonalat.

Az első oldalon adjon meg egy opcionális becenevet a tanúsítványnak, majd adjon hozzá egy vagy több domain nevet, amely szerepelni fog a tanúsítványban. Az első hozzáadott név a tanúsítvány CN-je lesz, és az összes hozzáadott név SAN DNS-bejegyzésként jelenik meg a tanúsítványban. Ha nem törli a jelölést a név alatti jelölőnégyzetből, akkor a rendszer hozzáad egy további nevet a www előtaggal SAN DNS-ként.

A becenév csak a kérelmező számára jelenik meg a tanúsítvány listákon. A jóváhagyók/adminisztrátorok nem fogják látni. Javasoljuk, hogy hagyja üresen, mivel ebben az esetben a CN (az első beírt domainnév) jelenik meg.

CAA rekord megléte a domain zónájában nem kötelező, csak ha már létezik más CA-hoz tartozó CAA. Ez esetben megjeleníti milyen CAA-kat szeretne látni: 

CAA 0 issue "harica.gr"
CAA 0 issuewild "harica.gr"

A később feltöltött CSR-ből nem veszik fel a tanúsítványhoz tartozó neveket. Ebben a szakaszban hozzá kell adnia őket. Ez a jövőben változhat.

Jelenleg legfeljebb 100 domain név adható meg (és feltételezzük, hogy ez összesen 200-t jelent, ha elfogadja az összes www-előtt nevet is).

Wildcard tanúsítvány a szokásos eljárással igényelhető. Például a domainnév mezőben a *.example.com formában adjuk meg. Ilyenkor az example.com-t nem kell a kérésbe belefoglalni.

A következő oldalon válassza ki a tanúsítvány típusát:

  1. DV – mindig elérhető, amint a domain validálása megtörtént, és csak a domain információkat tartalmazza. Ez a típusú tanúsítvány hasonlít leginkább arra tanusítványra, amelyet a Let's Encrypt-től lehet kapni.
  2. OV – a Szervezet érvényesítése után érhető el. Ez ugyanaz a típusú tanúsítvány, amelyet korábban a Sectigo-tól lehetett kapni.
  3. EV – Ne válassza a „Vállalkozásoknak vagy szervezeteknek (EV)” lehetőséget, mivel ez a fajta tanusítvány nem szerepel a GÉANT TCS szerződésben. .

Ha a DV vagy OV opció a “free” helyett “from AMOUNT€ year” felirattal jelenik meg, ne folytassa. A valószínű okok a következők:

  • Elírást vétett, és olyan domain nevet adott meg, amely nem tartozik az Ön Szervezetéhez. Kezdje elölről, és ellenőrizze, hogy a nevek helyesek-e.
  • Olyan domaint próbált használni, amelyet még nem adott hozzá és nem validált a rendszerben. (Lásd fent: További domainek hozzáadása) Erősítse meg a típusválasztást, majd erősítse meg az információkat, és fogadja el a használati feltételeket stb.

IGTF OV szerver tanúsítvány igényléséhez a szervezethez be kell kapcsolni az IGTF tanúsítványigénylés engedélyezését. Ezt a szervezet információi oldalon a jobb felső sarokban lévő Tags gombon megjelenő ablakban lehet megtenni. (Admin szintű jogosultság szükséges)

A Submit Request lépésben használja a CSR beküldése manuálisan lehetőséget, hogy beillessze a CSR-t. Fogadja el újra a használati feltételeket stb., és küldje el a kérelmet.

CSR generálás a következő paranccsal lehetséges: (4096 bites RSA kulcs létrehozásához) 

openssl req -new -newkey rsa:4096 -nodes \ -out peldadomain.hu.csr \ -keyout peldadomain.hu.key \ -subj "/C=HU/L=Budapest/O=Pro-M Zrt/CN=peldadomain.hu"

Azonban a -subj utáni résznek nincs jelentősége, mert:

  • DV esetén nem lesz értelme, mert csak a CN-t tartalmazza,
  • OV esetében pedig a Szervezet - annak létrehozásakor megadott - C=HU,L=Budapest,O=Pro-M Zrt. értékeit fogja felvenni.

Ha az “Auto-generate CSR” módot választjuk, akkor a privát kulcs közvetlenül jön létre, és a rendszer automatikusan generálja a CSR-t. Ekkor a privát kulcsot védő, legalább 8 karakteres jelszó megadása szükséges, és a privát kulcs letöltésének megtörténtét is meg kell erősíteni. Annak pótlására nincs lehetőség a későbbiekben.

2025-01-16-án felfedezett BUG: A következő hibaüzenet jelenhet meg: ”You have already used this key before. If your private key gets compromised, we will have to revoke ALL CERTIFICATES associated with this key.“ ha van egy üres sor a CSR előtt a mezőben (és esetleg más szintaktikai hibák esetén is). Ne folytassa, hanem ellenőrizze, hogy a CSR formátuma megfelelő-e, és küldje be újra. Természetesen akkor is ezt az üzenetet fogja kapni, ha újra megpróbál egy kulcsot használni.

Tanúsítványkérelme mostantól a függőben lévő (Pending) tanúsítványok között lesz felsorolva, amíg az egyik Szervezetéhez tartozó jóváhagyó jóvá nem hagyja azt. A függőben lévő jóváhagyásról e-mailt küld a rendszer az intézyményi értesítési aliasra.

Ha egy Szervezetéhez tartozó jóváhagyó jóváhagyta a tanúsítványt, a listában a tanúsítványtól jobbra található letöltési nyíl segítségével töltheti le.

Értesítések e-mailben

Értesítések lejáró S/MIME tanúsítványok esetében

Terv alatt álló funkció:

Egyedi tanúsítványigénylések esetén a rendszer automatikusan lejárati értesítést küld a CertManager portálról, a tanúsítványban szereplő e-mail címre, a lejárat előtt 30, 15, 5 és 1 nappal.

Tömeges (bulk) igénylések esetén a felhasználók egyetlen értesítést kapnak 30 nappal a lejárat előtt, közvetlenül a tanúsítványkiadótól (CA).

A tanúsítvány lejáratáról szóló e-mail az alábbihoz hasonló:

A xxxxxxxxxxxx sorszámú tanúsítvány, amely az alábbi entitás részére került kiadásra:
E=xxxxx@auth.gr, CN=Aristotle University of Thessaloniki, O=Aristotle University of Thessaloniki, L=Thessaloniki, C=GR,
és amelyet az alábbi tanúsítványkiadó bocsátott ki:
CN=HARICA S/MIME RSA SubCA R3, O=Hellenic Academic and Research Institutions Cert. Authority, L=Athens, C=GR,
lejár: 2025-05-14 10:14:45+03:00.

Amint a tömeges kérésekkel kiadott S/MIME tanúsítványok is megjelennek a "S/MIME Certificates" fülön, az értesítési rendszer ezekre is alkalmazni fogja a fenti figyelmeztetési időpontokat.

Szervezeti események

Az Organization felvételekor megadott emailcím értesítést kap:

  • tanúsítvány igénylés érkezése
  • tanúsítványigénylés elfogadása
  • tanúsítvány visszavonása
  • domain validálása

Leírások angol nyelven

Segítség

PRO-M ügyfélszolgálat

Amennyiben ez a dokumentum nem tartalmazza a kérdésre a választ vagy megoldást a problémájára, az alábbi oldalon keresztül jelezhet nekünk: PRO-M Ügyfélszolgálat

A lap eredeti címe: „https://wiki.niif.hu/index.php?title=TCS&oldid=5084