TCS-medlemmar,
det nuvarande avtalet med HARICA löper på två år (det längsta som
GEANT kunde få till i samband med den förtida övergången från
Sectigo). Det innebär att det under 2026 är dags att få ett nytt avtal
på plats som ska gälla från 2027.
I samband med sådana övergångar frågas det alltid om vad som borde
behållas, tas bort och läggas till.
Vi har på Sunet-nivån mindre möjlighet nu att se vad ni använder, och
vi kan ju inte se varför och vilka planer ni har, så vi vill ställa
några frågor till er.
Vi börjar med frågor som rör vad tjänsten erbjuder. Vi kan komma att
återkomma senare med frågor som rör kostnad om det blir aktuellt
att ändra vad som ingår och vad som kostar extra.
Generellt:
Behöver ni Sunet TCS från 2027 och framåt? Om så, för vilka slags
certifikat? Om inte, vad använder ni eller tänker använda istället?
Mer specifikt:
Har ni något användningsfall där DV-certifikat inte har fungerat men
OV-certifikat har gjort det?
Använder ni personliga cert (det som heter "Email" hos HARICA)?
Vilken/vilka typer ("Email-only", "IV+OV")? Tänker ni använda dessa
framöver?
Använder ni autentiseringscert som fungerar för gridanvändning (det
som heter "IGTF Client Auth" hos HARICA)? Vilka syften använder ni
dessa för? Är det för grid-användning? Är det för annan autentisering
som egentligen inte har med grid-världen att göra?
Använder ni servercertifikat som fungerar för gridanvändning
(OV-certifikat med kryssrutan för "Request an IGTF eScience Digital
Certificate" vald)? Om så, berätta mer om vad ni använder dem till?
Använder ni ACME hos HARICA?
Saknar ni någon typ av certifikat hos HARICA i dagsläget? Hur har ni i
så fall skaffat detta på annat sätt?
Finns det något annat med tjänsten som ni tycker borde ändras?
Svara till kent.engstrom(a)liu.se (inte till hela listan och inte till
tcs(a)sunet.se) senast 7 november.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
här kommer några blandade uppdateringar för er som inte tagit del av
detta redan via TCS-forumet på Sunet Forum (https://forum.sunet.se/s/tcs/)
eller påminnelser för de av er som har sett det tidigare.
Certifikat från förra årsskiftet
--------------------------------
Glöm inte bort om ni har en hög certifikat ni utfärdade hos Sectigo
under slutet av förra året.
I samband med det abrupta Sectigo-avslutet runt förra årsskiftet, så
var ju en del av hanteringen att migrera till Let’s Encrypt och senare
också att börja använda TCS hos HARICA, men en annan del var ju att
förnya certifikat hos Sectigo innan det upphörde att fungera.
Det innebär att en del av er har en hög Sectigo-certifikat som går ut
runt årsskiftet som kommer. Det kan vara läge att ta hand om dessa i
god tid för att slippa obehagliga plötsligt påkomna arbetsbehov under
ledigheterna när larmen börjar lysa.
ACME
----
ACME har satts i produktion under sommaren. Se
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
och länken vidare till dokumentation hos GEANT.
API-hantering uppdaterad
------------------------
HARICA har tidigare i oktober driftsatt en uppdaterad API-hantering,
där man kan skaffa API-nycklar och sedan anropa ett antal API:er med
hjälp av dessa, istället för den tidigare modellen där man mer eller
mindre fick simulera användare som klickar i webbläsare.
Länk till deras dokumentation finns på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Full kedja med korssignering viktigare med HARICA än med Sectigo
----------------------------------------------------------------
HARICA använder samma knep som Sectigo gjorde, där deras senaste
rot-certifikat (från 2021) också finns i en version signerad av deras
äldre rot-certifikat (2015). Det ser dock ut som det knepet är
viktigare för HARICA, då 2021-roten t.ex. saknas i Java trust stores.
Läs mer på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Se till att ni har mer än en Enterprise Admin
---------------------------------------------
Detta är såklart bra i allmänhet för att verksamheten inte ska vara
beroende av en enda person, men det är också bra i synnerhet om ni
måste återställa 2FA för (en av era) Enterprise Admin - en användare
som får 2FA återställd tappar nänligen roller som Enterprise Admin och
Enterprise Approver, och då är det smidigt om ni själva kan återställa
det åt varandra istället för att behöva kontakta TCS-supporten.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
