UNINETT TCS med DigiCERT

(Redirected from Wiki)

Ressurser på nett

DigiCERT User Guide

"The DigiCert portal" på GÉANTs TCS-wiki
FAQ på GÉANTs TCS-wiki

GEANTs New TCS repository: Nyeste versjon av CPS og andre dokumenter som regulerer tjenesten.

 

Etablering av DigiCert-abonnement

I DigiCert-terminologi er hver abonnent på tjenesten en division. UNINETT oppretter divisjoner for abonnentene fortløpende etter at kontrakten er undertegnet.  En division blir initielt opprettet med et antall administratorer som kan godkjenne sertifikatbestillinger.
Administratorer kan i sin tur etter behov opprette andre administratorer og users, som kan legge inn bestillinger, men ikke godkjenne.

Hver division har en egen innlogginsside hos DigiCert på formen
https://www.digicert.com/account/login.php?ekey=<identifikator>
Her kan dere legge inn organisasjonens logo.

 

Første gangs pålogging for ny administrator

Nye brukere får tilsendt en e-post fra DigiCERT på formen

 From: DigiCERT <admin@digicert.com>
 Subject: DigiCert User Account Created - Action Required

Meldingen inneholder en lenke for å sette passord mv.  Velg passord og logg inn med dette.

 

Registrering og validering av organisasjon og domener

Første punkt er å opprette en «Organization», som er enheten som eier domenene.
Logg inn, klikk Account/Organization Validation
Klikk New Organization
Her legger dere inn data for institutusjonen, samt en validation contact.  DigiCert bruker Brønnøysundregistrene for å validere organisasjoner, så bruk samme stavemåte og adresse som er registrert der. Etter at organisajonen er registrert, gjennomfører DigiCert en validering
som skal ta maksimalt et par timer.  Validation Contact kan bli oppringt under prosessen, og får melding på e-post når valideringen er gjennomført.

Klikk Domain Validation for å tilordne domener til organiasjonen.  Dere kan starte å legge inn domener organisasjonen er ferdig validert.  DigiCert validerer domenene på samme måte som «DCV challenge: Det blir sendt e-post til hostmaster, admin, administrator, webmaster + adresser som ligger i WHOIS-recorden til domenet.  Etter at denne er besvart, er domenet validert for 3 år, og det er ikke nødvendig med DCV challenge for hvert sertifikat.  Godkjenningsprosessen kan følges ved å klikke Domain Validation.

Les mer om organisasjon og validering på disse GÉANT-lenkene:
https://wiki.geant.org/display/TCSNT/Account
https://wiki.geant.org/display/TCSNT/Validation

 

Opprette brukere og administratorer

I DigiCert-systemet er det ikke mulig for uregistrerte personer å legge inn bestillinger, alt må gå via registrerte brukere (user/administrator). Vi oppfordrer til å være tilbakeholdne med å registrere for mange Administratorer.  GÉANT definerer rollene slik:

Type        Role                
Admin     Trusted expert              application, approval and revocation
User        Active system admin    application

Klikk Account/Manage Users for å legge til eller slette brukere.

 

Bestille sertifikater og håndtere bestillinger

Klikk orders. Følgende typer tjenersertifikater er tilgjengelig:
EV Multi-domain              multi-domain EV
EV SSL Plus                    single-domain EV
Unified Communications  multi-domain OV, opp til 100 SAN (ikke 25 som angitt)
SSL Plus                          single-domain OV
WildCard Plus                  Wildcard OV

Sertifikater med Organization Validation (OV) er nå standard, og Domain Validation (DV) er ikke lenger tilgjengelig.

Les mer om bestilling her:
https://wiki.geant.org/display/TCSNT/Orders

 


Andre tips

Tofaktorautentisering

Digicert tilbyr tofaktorautentisering for innlogging.  Administrator kan sette policy, enten for alle eller pr. bruker.  Det finnes p.t. løsninger med sertifikat i nettleser eller engangspassord via en app (Google authenticator e.l.)  UNINETT har testet begge deler og har ikke støtt på
problemer.  Håndteres via Settings / Authentication settings. UNINETT anbefaler å bruke tofaktor, i hvert fall for administratorer.


Extended Validation (EV) og kodesignering (*CS)
Både administratorer og user som skal bestille/godkjenne EV- og kodesigneringsssertifikater må oppgi telefonnummer og 'job title'. Administrator blir oppringt kort tid etter registrering, blir deretter autorisert for å godkjenne EV- og CS- sertifikater for en tidperiode.  Blir /ikke/ oppringt igjen for hvert enkelt sertifikat. Fremgangsmåte for å legge til flere EV- og CS-autoriserte administratorer finnes i kapittel 6.2.5 i DIgiCERT User's Guide.


Påminnelser om sertifikater er i ferd med å utløpe
Klikk «Certificate orders» og klikk «view» for et sertifikat. Klikk Manage renewal notice frequency.
Default er følgende:
 Email 90 Days Before Expiration
 Email 60 Days Before Expiration
 Email 30 Days Before Expiration
 Email 7 Days Before Expiration
 Email 3 Days Before Expiration
 Email 7 Days After Expiration

 

Nye sertifikatkjeder
Med ny leverandør må selvsagt også sertifikatkjeden byttes ut. Digicert benytter p.t. følgende kjeder for tjenersertifikater:

DigiCert High Assurance EV Root CA
   TERENA SSL High Assurance CA 3
       <EV-tjenersertifikat>

DigiCERT Assured ID Root CA
   TERENA SSL CA 3
       <tjenersertifikat>


Verktøy
Digicert tilbyr diverse verktøy for sine kunder, blant annet:

  • SSL Discovery Tool: Finn navn og utløpsdato for alle sertifikater som er i bruk i nettverket.
  • SHA1 sunset tool: Finn sertifikater i ditt domene i med SHA-1
  • CSR generation tool: åpen for alle
0 Attachments
219 Views
Comments