Hej,
på torsdag 16 januari kl 10:00 bjuder vi in till en zoom om den nya
TCS-tjänsten via HARICA på
https://liu-se.zoom.us/j/69513736205
Ni som vill läsa på i förväg kan titta på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Om ni idag behöver utfärda servercertifikat som inte fungerar via Let's
Encrypt eller enstaka viktiga S/MIME-certifikat, så kan vi sätta igång
processen för er redan nu. Om det inte är så bråttom rekommenderar vi
att ni först deltar på Zoomen.
Ni som arbetar på att ersätta manuella rutiner för servercertifikat med
Let's Encrypt bör inte sluta med det - bytet av leverantör påverkar ju
inte certifikatvärldens resa mot kortare och kortare giltighetstider. Vi
återkommer senare ifall vi kan och vill rekommendera motsvarande
automatisering via ACME mot HARICA.
Med vänliga hälsningar,
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Hej,
Vi har idag fått besked från GÉANT att de har tecknat avtal med HARICA
om leverans av certifikattjänster via TCS. Vi kommer att berätta mer om
det på workshopen som är planerad onsdagen den 8 januari klockan
10.00–11.00.
Länk till mötet: https://sunet.zoom.us/j/4041080224
Rimliga förväntningar på TCS-tjänsten via HARICA när den kommer igång i
januari 2025 är att ni manuellt via deras webbportal kan utfärda
server-certifikat av DV-typ och personliga S/MIME-certifikat.
Vidare funktionalitet är planerad framöver, inklusive OV-certifikat,
grid-certifikat, utfärdande av personliga certifikat via
SWAMID-inloggning (som hos Sectigo), API och ACME. När vi får reda på
konkreta datum så kommer det att meddelas.
Vi återkommer också när vi har information om hur tjänsten kommer igång:
vad vi gör centralt, vad ni gör själva, om alla är välkomna från start
eller om ansökningar behöver prioriteras efter behov, med mera.
Ni som arbetar på att ersätta manuella rutiner för servercertifikat med
Let's Encrypt bör inte sluta med det - bytet av leverantör påverkar ju
inte certifikatvärldens resa mot kortare och kortare giltighetstider.
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Här följer information om nästa Zoom:
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till en workshop (med statusuppdatering) *onsdag
den 8 januari klockan 10.00–11.00*.
Under workshopen ges tillfälle att utbyta erfarenheter med lärosäten som
redan genomfört förändringar och diskutera alternativa lösningar och vägar
framåt.
Länk till mötet i Zoom: https://sunet.zoom.us/j/4041080224
Vill du dela med dig av något under workshopen? Kontakta Kent (
kent.engstrom(a)liu.se) i förväg för att sätta upp dig på en punkt i början
av mötet.
*Preliminär dagordning:*
- Statusuppdatering
- Erfarenhetsdelning
- Frågor, svar och diskussion
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Vi har nu fått information från GÉANT att TCS via Sectigo avslutas *den 9
januari 2025*. Vi hänvisar till tidigare mail där vi ger råd om vad man ska
göra på varje lärosäte. Dessa råd gäller fortfarande:
- Förnya certifikat nu via TCS för att förlänga giltighetstiden.
Prioritera verksamhetskritiska certifikat, certifikat som är svåra att
skaffa på annat sätt och certifikat som har kort giltighetstid kvar.
- Använd Let’s Encrypt för servercertifikat där det är möjligt.
- Identifiera de certifikat som är svårare att automatisera än övriga.
- Avveckla leverantörsspecifika anpassningar kopplade till Sectigo.
- Identifiera all användning av personliga certifikat och de syften de
används för.
- Om personliga certifikat används för inloggning till webbsystem – byt
till en annan lösning, till exempel federerad inloggning via
SWAMID/eduGAIN.
- Identifiera de situationer som kräver grid-certifikat för servrar
och/eller användare.
- Identifiera andra särskilda behov som kan kräva specifika åtgärder.
Informationen ovan finns också på Sunets wikisida "Avveckling av TCS via
Sectigo" <https://wiki.sunet.se/display/TCS/Avveckling+av+TCS+via+Sectigo> och
uppdateras om/när det behövs.
Vi fortsätter att ge uppdateringar via e-postlistan
sunet-tcs-members(a)lists.sunet.se, där alla Sunet TCS-medlemmar ska vara
med. Kontrollera att rätt personer i din organisation är med i listan. Vid
tveksamhet, kontakta tcs(a)sunet.se. Information delas även i Sunets forum
för TCS-certifikat <https://forum.sunet.se/s/tcs/>, där det också finns
möjlighet att utbyta erfarenheter.
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till ytterligare en workshop torsdag den 12
december klockan 13.00–14.30.
Under workshopen ges tillfälle att lyssna på lärosäten som redan
genomfört förändringar och diskutera alternativa lösningar och vägar
framåt.
Länk till mötet i Zoom: https://sunet.zoom.us/j/64073424989
Vill du dela med dig av något under workshopen? Kontakta Kent
(kent.engstrom(a)liu.se) i förväg för att sätta upp dig på en punkt i
början av mötet.
Preliminär dagordning:
- Erfarenhetsdelning
- Hanteringen av Sunet-tjänster med lärosätescertifikat
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Sunet TCS-medlemmar,
ni som var med på förra zoomen i onsdags vet att det kommer en ny på
onsdag 27/11, men här får ni som missade det en inbjudan, och så får ni
zoom-länken. Mailet nedan har gått till Sunets allmänna kontaktpersonslista.
Vi skulle behöva hjälp från er som sedan tidigare är en bit på vägen med
Let's Encrypt som alternativ för servercert - några korta presentationer
hur det fungerat och om ev problem. Då det är svårt för oss att se i
TCS-systemen vilka som är duktiga på att köra Let's Ecnrypt hoppas vi
att några av er räcker upp handen som frivilliga --- hör av er till
kent.engstrom(a)liu.se!
-- inklippt mail --
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till en workshop onsdagen den 27 november
klockan 13.00–14.30.
Under workshopen ges tillfälle att lyssna på lärosäten som redan genomfört
förändringar och diskutera alternativa lösningar och vägar framåt.
Länk till mötet i Zoom:
https://sunet.zoom.us/j/64936497883
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Vi har fått ny information från GÉANT angående förhandlingarna med
leverantören av TCS-tjänsten. Beskedet innebär att TCS-tjänsten riskerar
att avslutas i närtid.
Vi bjuder in till Zoom-möte nu på *onsdag 13 november kl 13:00* på länk
https://sunet.zoom.us/j/68323695167 för att ge en mer ingående
statusuppdatering.
Detta är naturligtvis en mycket problematisk situation. GÉANT har gjort
allt de kunnat för att hitta en överenskommelse med leverantören Sectigo
men ser inte att leverantörens önskade prisökning går att hantera inom
ramen för det upphandlade avtalet.
Nedan följer några råd inför vad som tyvärr kan komma att bli en krävande
förändring inom denna tjänst:
- Förnya certifikat nu via TCS för att förlänga giltighetstiden.
Prioritera verksamhetskritiska certifikat, certifikat som är svåra att
skaffa på annat sätt och certifikat som har kort giltighetstid kvar.
- Använd Let’s Encrypt för servercertifikat där det är möjligt.
- Identifiera de certifikat som är svårare att automatisera än övriga.
- Avveckla leverantörsspecifika anpassningar kopplade till Sectigo.
- Identifiera all användning av personliga certifikat och de syften de
används för.
- Om personliga certifikat används för inloggning till webbsystem – byt
till en annan lösning, till exempel federerad inloggning via SWAMID/eduGAIN.
- Identifiera de situationer som kräver grid-certifikat för servrar
och/eller användare.
- Identifiera andra särskilda behov som kan kräva specifika åtgärder.
Vi kommer framöver att ge uppdateringar via e-postlistan
sunet-tcs-members(a)lists.sunet.se där alla Sunets TCS-medlemmar ska vara
med. Kontrollera att rätt personer i din organisation är med i listan. Vid
tveksamhet, kontakta tcs(a)sunet.se. Information delas även i forumet för
TCS-certifikat <https://forum.sunet.se/s/tcs/>.
Hälsningar,
För Sunet, Leif Johansson, Kent Engström
TCS-medlemmar,
vi har fått felrapporter om självbetjäningsportalen för personliga
certifikat (klientcertifikat) idag, och tester ger vid handen att det
ser ut som om detta påverkar alla organisationer.
Istället för att komma vidare till val av certifikattyp osv efter
inloggning på https://cert-manager.com/customer/sunet/idp/clientgeant
får man röd felmeddelandebox i stil med "None of emails
(YOUR-EMAIL-ADDRESS) matches to validated domains delegated to
organization YOUR-ORGANIZATION. Please contact your security
administrator." för sin mejladress och organsation.
Vi har felanmält till Sectigo och har dessutom fått reda på att våra
tyska kollegor redan felanmält och begärt eskalering.
Vi meddelar när det fungerar igen.
Med vänliga hälsningar,
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
SUNET TCS-medlemmar,
detta berör er om ni använder federerad inloggning (via er SWAMID-IdP)
mot Sectigo Certificate Manager och/eller portalen för
klientcert-självbetjäning.
Om er IdP inte tar emot uppdaterad metadata för tjänster via SWAMID
automatiskt behöver ni se till att era IdP-admins triggar detta manuellt
efter bytet för att det ska fortsätta fungera.
Jag tror ingen av er har krånglat med "hard-code login links" eller
"bypass the discovery service", men skulle så vara fallet, se
informationen om detta nedan.
Casper Dreef <casper.dreef(a)geant.org> writes:
> Subject: Important: Required Action for Trusted Certificate Service Subscribers Using Federated Access
>
> Dear TCS MRAO,
>
> We are writing to inform you about an update to the Sectigo Certificate Manager that will go live today, August 8, at 17:00CEST.
>
> The update will affect anyone logging into the Sectigo Certificate Manager using federated SSO (single sign-on) authentication.
>
> Scheduled Update:
> - Sectigo is issuing new assertion consumer service endpoints for the Sectigo Certificate Manager, with indexes 3 and 4, as well as new discovery response and logout endpoints.
> - The update will take effect at 17:00 CEST on today, August 8, 2024.
> - The Sectigo Certificate Manager will invoke logins for TCS subscribers using these new endpoints.
> - The old endpoints will be withdrawn from service in the next few weeks.
>
> Required Actions:
> - Certificate Service RAOs (Registration Authority Officers) that hard-code login links for their customers need to update their login URLs by following these instructions:
> - If you bypass the discovery service, you will need to update the URL with the following, substituting your IdP’s entityID where indicated:
>
> https://cert-manager.com/saml2int/Shibboleth.sso/geant?target=https://cert-…<CUSTOMER>/idp-saml2int&entityID=<your IdP's URL-encoded entityID>
> Note: <CUSTOMER> equals to the NREN tag used in SCM.
>
> If you use the discovery service, no manual URL update is required.
>
> IdP (Identity Provider) operators need to refresh their metadata to
> receive the new Sectigo Certificate Manager assertion consumer service
> endpoints. We recommend that you refresh metadata at least once a day
> or use MDQ (Metadata Query) as a best practice. If you follow our
> recommendations, no manual metadata update is required.
>
> If you have followed the above guidance and are still experiencing issues, please contact the Sectigo helpdesk.
>
> Best regards,
>
> Casper Dreef
> Service Specialist - Trust & Security
> GÉANT
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
förra våren hade vi i samband med TCS-status på Sunetdagarna ett pass
där några organisationer delade med sig av sina erfarenheter av
certifikatautomatisering (API via TCS, ACME via TCS på olika sätt, Let's
Encrypt, ...) vilket var mycket uppskattat.
Vi kör nu en ny omgång av detta där TCS-användare från SU, Ladok och
GU delar med sig av sina erfarenheter. Det kommer också finnas
möjlighet för statusuppdateringar från er andra och frågor.
Boka datum och tid redan nu: torsdag 8 februari kl 10-12.
Vi återkommer med Zoom-länk i samband med senare påminnelse.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
