SUNET TCS TREFpunkt 21 Kent Engström kent.engstrom@liu.se
SUNET TCS TCS-gruppen Servercertifikat via SUNET TCS Avveckling av SUNET SCS Kodsigneringscertifikat Personliga certifikat (Leif Johansson)
TCS-gruppen Bestämmer rutiner för SUNET TCS Hanterar ärenden medlemsregistreringar felrapporter frågor... Sköter vår instans av RA-applikationen
Medlemmar i TCS-gruppen Kent Engström, LiU Erik Andersson, UmU Arne Nilsson, UU Thomas Stridh, UU Joakim Vallentin, KI Leif Johansson, SUNET (vissa uppgifter)
Servercertifikat via SUNET TCS TERENA-upphandling under 2008 TCS är TERENA Certificate Service SCS-representantmöte 17 februari 2009 Frivilliga för CPS-skrivande utsedda Frivilliga för gränssnittstestning utsedda Kontrakt med Comodo 16 april CPS version 1.0 klar 17 juni Videokonferenser 17, 23 juni Presentation av API, RA-applikationsprototyp
Servercertifikat via SUNET TCS SUNET TCS aktiverat hos Comodo 29 juni Första medlem i SUNET TCS 11 augusti Linköpings universitet frivilliga Tjänsten officiellt igång 28 augusti Alla SUNET-anslutna erbjudna att gå med
Statistik 26 medlemmar 224 certifikat 199 utfärdade, giltiga 12 begärda (men ej godkända än) 7 avslagna 6 revokerade (måndag kväll 19 oktober)
Gå med i SUNET TCS Se https://tcs.sunet.se/info/ Skicka intresseanmälan till tcs@sunet.se Skapa konton för administrativa kontakter Då behöver ni information ni fick som svar på eposten ovan! Fyll i blankett Rektor eller annan firmatecknare ska skriva under Skicka in blankett
Gå med i SUNET TCS Få svar från SUNET TCS Testa applikationen Utveckla eller anpassa lokala rutiner Det som fungerade för SCS borde fungera här Anpassa lokala texter i applikationen Börja utfärda riktiga certifikat
Namn i certifikaten Hårdare styrning av namn än i SCS C är alltid SE ST och L används inte (tas bort!) O bestäms när ni ansöker (CSR-värde ignoreras!) OU sätts av ansökaren CN tas från certifikatet Systemet vet vilka domäner som är OK för er
Certifikatvariant Normal certificate (Unicode) ger en variant där eventuella ÅÄÖ i organisationsnamnet finns med. Normal certificate (ASCII) ger en variant där så inte är fallet (ersatta med AAO). Använd alltid Unicode-varianten om det inte finns ett specifikt tekniskt skäl att välja ASCII. Se då till att det inte står några ÅÄÖ i eventuell OUkomponent heller
Subject Alternative Names Använd inte SCS-tricket med flera CN SAN plockas upp från CSR Microsoft IIS m fl lägger dit dem korrekt Vår FAQ visar hur man gör med OpenSSL SAN kan också skrivas in i efterhand i samband med att CSR läggs in
Wildcards Certifikat med wildcard i CN fungerar Missbruka inte detta för att utfärda ett enda certifikat för en hel institution för en rad servrar som inte sitter ihop Använd detta för tjänster som Ezproxy och liknande Wildcard och SAN ihop fungerar inte ihop Kontakta oss med bra skäl om detta verkligen är nödvändigt, så vi kan undersöka mera
Certifikatkedja Som vanligt behöver certifikatkedjan installeras tillsammans med certifikatet i servern Server-certifikatet TERENA SSL CA UTN-USERFirst-Hardware AddTrust External CA Root Vissa klienter litar redan på UTN-USERFirst- Hardware, andra på AddTrust External CA Root
Certifikatkedja Rapporter om problem att installera kedjan korrekt på Windows / IIS: Håll koll på vår FAQ framöver Rapporter om att vissa klienter har problem för att kedjan är i fel ordning jämfört med vad de förväntar sig Kontakta tcs@sunet.se om ni råkar ut för detta
Applikationen Källa: http://xkcd.com/353/
Applikationen Utvecklad av Kent Engström Python, Django, MySQL,... Pratar API mot Comodo SUNET-instans körs hos NUNOC Koden används också av några andra NREN:s Vi kan ändra saker som blivit fel Vi kan införa förbättringar framöver
Kommande i applikationen Federerad inloggning via SWAMID Snart, hoppas vi! Påminnelse om certifikat som håller på att gå ut... Innan första utfärdade certifikat når den gränsen
Avveckling av SUNET SCS I SCS-kontraktet med GlobalSign finns ingen klausul om att certifikaten ska fortsätta vara giltiga fram till utgångsdatum om kontraktet med dem sägs upp eller inte förnyas. TERENA har inte gjort om samma misstag i TCS-kontraktet! Certifikat ska fortsätta vara giltiga och revokerbara fram till utgångsdatum även om vi byter leverantör framöver.
Avveckling av SUNET SCS När 2009 är slut utfärdar vi inte längre certifikat via SUNET SCS Kontraktsperioden tar slut 9 januari 2010 SUNET SCS-certifikat ska inte användas efter mars 2010 Tremånadersperiod för avveckling i kontraktet Varje SCS-certifikat ni utfärdar nu är ett certifikat ni måste flytta till TCS!
Kodsigneringscertifikat SUNET är med på denna del också Arbete pågår med CPS för detta Förhoppningsvis kan vi integrera beställning i samma applikation som servercertifikaten
Personliga certifikat SUNET är med på denna del också Intresse från grid-världen Inte hanterbart att ha lika mycket manuell hantering som för servercertifikat Bygg certifikatutdelningen på identitet från en identitetsfederation! Leif Johansson