Hvordan bli abonnent på og komme i gang med UNINETTs sertifikattjeneste

Sertifikattjenesten gir tilgang til sertifikater som utstedt av DigiCert Inc. og er knyttet opp mot rotsertifikater som er preinstallert i de fleste SSL-kapable programmer. Abonnenter kan bestille sertifikater for alle domener som eies av organisasjonen.

Organisasjoner som abonnerer på tjenesten fungerer som en Registration Authority (RA) under DigiCert og kan bestille og godkjenne sertifikater for sine egne domener og brukere. Sertifikattjenesten er en tilleggstjeneste som må bestilles av din organisasjon. Organisasjoner som allerede abonnerer på sertifikattjenesten fra Comodo må gå gjennom punktene under for å få tilgang til DigiCert-tjenesten.

Bli abonnent

Registrere administratorer og andre brukere

Validere organisasjon og domener

Portal for person- og Gridsertifikater

Ressurser på nett

 

Bli abonnent
For å bli abonnent på sertifikattjenesten eller oppgradere abonnementet til DigiCert-løsningen må organisasjonen gjøre følgende:

  1. Lese gjennom TCS subscriber agreement som beskriver rettigheter og plikter for abonnenter (Subscribers).
  2. Oppnevne minst én Administrator som er berettiget til å godkjenne søknader om sertifikater på vegne av organisasjonen. Administratorer må ha lest og forstått TCS Terms of Use. Administratorer kan registrere flere brukere og administratorer for sin organisasjon.
  3. Fylle ut abonnementsavtalen (husk minst en administrator) som signeres og sendes på e-post til UNINETT (scs-ra@uninett.no). Organisasjoner som ikke tidligere har abonnert på sertifikattjenesten må dessuten sende inn bekreftet firmaattest e.l. som identifiserer organisasjonen. Firmaattest eller registerutskrift fra Enhetsregisteret kan bestilles fra Brønnøysundregistrene.
  4. Opprette en mailing-liste for sine administratorer med navnet scs-ra@[institusjon].no. Denne vil tjene som kontaktpunkt mot UNINETT.

Sertifikatportalen
All håndtering av sertifikater gjøres via DigiCerts sertifikatportal. Abonnenter får en egen innloggingsside hvor de f.eks. kan legge inn sin egen logo. Les mer om portalen på GÉANTs wiki.

Registrere brukere og administratorer
For mer detaljert informasjon, se
DigiCert User Guide, kapittel 9, lastes ned herfra
https://wiki.geant.org/display/TCSNT/Account
https://wiki.geant.org/display/TCSNT/FAQ

Til forskjell fra tidligere, er det bare registrerte brukere som kan legge inn sertifikatbestillinger.  Det er to kategorier, definert slik av GÉANT:

Type Role Authority
User Active system admin Certificate application
Administrator Trusted Expert Certificate application, approval, revocation

Administratorer kan dessuten opprette nye brukere, både User og Administrator  UNINETT oppfordrer til å være tilbakeholdne med registrering av Administratorer, ettersom denne rollen har vide fullmakter. Nye brukere får en e-post fra DigiCert på formen

  From: DigiCERT <admin@digicert.com>
  Subject: DigiCert User Account Created - Action Required

Meldingen inneholder en lenke for å sette passord mv.  Velg passord og logg inn med dette.

Extended Validation (EV) og kodesignering (CS)
Administratorer som skal autoriseres for å godkjenne EV- og CS-sertifikater må oppgi telefonnummer og 'job title'.  Administrator blir oppringt kort tid etter registrering og er deretter autorisert for å godkjenne EV- og kodesignering for en tidsperiode.  Administrator blir ikke oppringt igjen for hvert enkelt sertifikat.  Se DigiCert User Guide kapittel 9.2 for info om administrasjon av CS- og EV-godkjennere.

Tofaktorautentisering
Digicert tilbyr tofaktorautentisering for innlogging.  Administrator kan sette policy, enten for alle eller pr bruker, klikk «Settings» / «Authentication settings».  Det finnes løsninger med sertifikat i nettleser eller engangspassord via en app (Google authenticator e.l.) UNINETT anbefaler å kreve tofaktorautentisering, i hvert fall for administratorer. Det er også mulig å etablere IP-filter, slik at brukere bare kan logge inn fra bestemte IP-ranger; se «Settings» / «IP Access restrictions».

 

Validering av organisasjon og domener
Her følger en kort oversikt over valideringsprosessen. For mer detaljert informasjon se
https://wiki.geant.org/display/TCSNT/Validation
https://wiki.geant.org/display/TCSNT/Account
DigiCert User Guide, kapittel 9, lastes ned herfra
 

Organisasjoner
Hver abonnent er tilordnet en divisjon under UNINETT NREN.  Dette er en rent adminstrativ enhet, og abonnenten må først opprette en organisasjon, som er enheten som eier domenene.  Hver divisjon får sin egen innloggingsside hos DigiCert hvor dere kan legge inn egen logo.

Logg inn på portalen, klikk «Certificates», «Organizations» og velg «New organization». Legg inn data for organisasjonen, samt en Validation Contact.  DigiCert benytter Brønnøysundregistrene for å sjekke og verifisere organisasjonen, så bruk fortrinnsvis samme adresse som er registrert der.  Validering av organisasjonen kan typisk ta et par timer.  Validation Contact kan bli oppringt under prosessen og får melding på e-post når valideringen er gjennomført.

Domener
Alle domener det skal kunne bestilles sertifikater til må forhåndsgodkjennes.  Dette er omtrent samme prosess som Comodos Domain Control Validation (DCV), men gjennomføres bare én gang årlig pr. domene.

Klikk «Certificates»/«Domains» og velg «Add domain».  Legg in domenenavn, velg korrekt organisasjon og velg hvilke typer sertifikater som skal kunne utstedes for domenet. Klikk «Save Domain».  DigiCert sender automatisk e-post til følgende adresser for domenet:

admin, administrator, hostmaster, postmaster, webmaster, whois admin contact og whois-tech.

Etter at denne meldingen er prosessert, er domenet validert for ett år, og det behøves ingen validering pr. sertifikat.  Domener må revalideres årlig. DigiCert sender automatisk ut melding om revalidering av domener.

 

Portal for person- og Gridsertifikater

Gjennom DigiCert-portalen er det mulig å få utstedt personsertifikater («Client Certificate») og sertifikater for Grid-tjenester, se https://wiki.geant.org/display/TCSNT/Request+a+certificate.

Det er dessuten nulig å få utstedt slike sertifikater gjennom en egen portal med Feide-innlogging, lokalisert på https://digicert.com/sso. Dermed kan f.eks. brukere av Grid-tjenester få utstedt sertifikater direkte, uten å måtte gå via de som har tilgang til DigiCert-portalen.

For at brukere på din institusjon skal få tilgang, må dere gå gjennom følgende trinn:

Feide

  1. En Feide-admin i din institusjon må aktivere tjenesten på kundeportalen til Feide:
    Logg inn på https://kunde.feide.no
    Åpne fanen «Tjenestetilgang», velg «Vis internasjonale tjenester». Søk etter «TCS» i søkefeltet. Velg og aktiver tjenesten «GÉANT Trusted Certificate Service (TCS)».
  2. Attributten schacHomeOrganization må legges til for aktuelle brukere og settes til realm for organisasjonen
  3. For alle brukere må minst en av følgende eduPersonEntitlement verdier settes:
       urn:mace:terena.org:tcs:escience-user
       urn:mace:terena.org:tcs:personal-user
    Disse attributtene behandles likt av DigiCert, og begge gir tilgang til både vanlige personsertifikater og Grid-sertifikater.

DigiCert

  1. Logg inn på DigiCert som administrator.  Sørg for at du har rollen «SAML Admin» som følger:
      Klikk «Account»/«Manage Users»
      Velg relevant bruker, klikk «Edit» og kryss av for «Role: SAML Admin».
      Logg ut og inn igjen for at denne rollen skal bli satt.
  2. Klikk «SAML organization Mapping»
  3. Klikk «New Mapping»
    Velg
     Identity provider    Feide
     Organization        <Navn på din organisasjon>
     Attribute value    <Domene for din organisasjon>
  4. Klikk «Add Organization»

Ressurser på nett

DigiCert User Guide

"The DigiCert portal" på GÉANTs TCS-wiki

FAQ på GÉANTs TCS-wiki

GEANTs New TCS repository: Nyeste versjon av CPS og andre dokumenter som regulerer tjenesten.
 

Kontakt: