TCS-medlemmar,
det nuvarande avtalet med HARICA löper på två år (det längsta som
GEANT kunde få till i samband med den förtida övergången från
Sectigo). Det innebär att det under 2026 är dags att få ett nytt avtal
på plats som ska gälla från 2027.
I samband med sådana övergångar frågas det alltid om vad som borde
behållas, tas bort och läggas till.
Vi har på Sunet-nivån mindre möjlighet nu att se vad ni använder, och
vi kan ju inte se varför och vilka planer ni har, så vi vill ställa
några frågor till er.
Vi börjar med frågor som rör vad tjänsten erbjuder. Vi kan komma att
återkomma senare med frågor som rör kostnad om det blir aktuellt
att ändra vad som ingår och vad som kostar extra.
Generellt:
Behöver ni Sunet TCS från 2027 och framåt? Om så, för vilka slags
certifikat? Om inte, vad använder ni eller tänker använda istället?
Mer specifikt:
Har ni något användningsfall där DV-certifikat inte har fungerat men
OV-certifikat har gjort det?
Använder ni personliga cert (det som heter "Email" hos HARICA)?
Vilken/vilka typer ("Email-only", "IV+OV")? Tänker ni använda dessa
framöver?
Använder ni autentiseringscert som fungerar för gridanvändning (det
som heter "IGTF Client Auth" hos HARICA)? Vilka syften använder ni
dessa för? Är det för grid-användning? Är det för annan autentisering
som egentligen inte har med grid-världen att göra?
Använder ni servercertifikat som fungerar för gridanvändning
(OV-certifikat med kryssrutan för "Request an IGTF eScience Digital
Certificate" vald)? Om så, berätta mer om vad ni använder dem till?
Använder ni ACME hos HARICA?
Saknar ni någon typ av certifikat hos HARICA i dagsläget? Hur har ni i
så fall skaffat detta på annat sätt?
Finns det något annat med tjänsten som ni tycker borde ändras?
Svara till kent.engstrom(a)liu.se (inte till hela listan och inte till
tcs(a)sunet.se) senast 7 november.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
här kommer några blandade uppdateringar för er som inte tagit del av
detta redan via TCS-forumet på Sunet Forum (https://forum.sunet.se/s/tcs/)
eller påminnelser för de av er som har sett det tidigare.
Certifikat från förra årsskiftet
--------------------------------
Glöm inte bort om ni har en hög certifikat ni utfärdade hos Sectigo
under slutet av förra året.
I samband med det abrupta Sectigo-avslutet runt förra årsskiftet, så
var ju en del av hanteringen att migrera till Let’s Encrypt och senare
också att börja använda TCS hos HARICA, men en annan del var ju att
förnya certifikat hos Sectigo innan det upphörde att fungera.
Det innebär att en del av er har en hög Sectigo-certifikat som går ut
runt årsskiftet som kommer. Det kan vara läge att ta hand om dessa i
god tid för att slippa obehagliga plötsligt påkomna arbetsbehov under
ledigheterna när larmen börjar lysa.
ACME
----
ACME har satts i produktion under sommaren. Se
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
och länken vidare till dokumentation hos GEANT.
API-hantering uppdaterad
------------------------
HARICA har tidigare i oktober driftsatt en uppdaterad API-hantering,
där man kan skaffa API-nycklar och sedan anropa ett antal API:er med
hjälp av dessa, istället för den tidigare modellen där man mer eller
mindre fick simulera användare som klickar i webbläsare.
Länk till deras dokumentation finns på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Full kedja med korssignering viktigare med HARICA än med Sectigo
----------------------------------------------------------------
HARICA använder samma knep som Sectigo gjorde, där deras senaste
rot-certifikat (från 2021) också finns i en version signerad av deras
äldre rot-certifikat (2015). Det ser dock ut som det knepet är
viktigare för HARICA, då 2021-roten t.ex. saknas i Java trust stores.
Läs mer på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Se till att ni har mer än en Enterprise Admin
---------------------------------------------
Detta är såklart bra i allmänhet för att verksamheten inte ska vara
beroende av en enda person, men det är också bra i synnerhet om ni
måste återställa 2FA för (en av era) Enterprise Admin - en användare
som får 2FA återställd tappar nänligen roller som Enterprise Admin och
Enterprise Approver, och då är det smidigt om ni själva kan återställa
det åt varandra istället för att behöva kontakta TCS-supporten.
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-medlemmar,
se meddelande om nertid från HARICA:
> We would like to inform you about an upcoming upgrade to HARICA’s CA software,
> scheduled for Thursday, March 6, at 14:00 CET. During this time, certificate
> issuance will be temporarily suspended for approximately one and a half hours.
De meddelar också att de samma dag kommer byta så att certifikaten
utfärdas av GEANT-specifik sub-CA istället för deras vanliga:
> Additionally, on the same day, we will complete the transition of TCS member
> certificate issuance to the newly branded GEANT issuers, as mentioned in our
> previous message last week.
mvh,
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Hej,
på torsdag 16 januari kl 10:00 bjuder vi in till en zoom om den nya
TCS-tjänsten via HARICA på
https://liu-se.zoom.us/j/69513736205
Ni som vill läsa på i förväg kan titta på
https://wiki.sunet.se/display/TCS/Sunet+TCS+2025-+Information+for+administr…
Om ni idag behöver utfärda servercertifikat som inte fungerar via Let's
Encrypt eller enstaka viktiga S/MIME-certifikat, så kan vi sätta igång
processen för er redan nu. Om det inte är så bråttom rekommenderar vi
att ni först deltar på Zoomen.
Ni som arbetar på att ersätta manuella rutiner för servercertifikat med
Let's Encrypt bör inte sluta med det - bytet av leverantör påverkar ju
inte certifikatvärldens resa mot kortare och kortare giltighetstider. Vi
återkommer senare ifall vi kan och vill rekommendera motsvarande
automatisering via ACME mot HARICA.
Med vänliga hälsningar,
--
Kent Engström, Sunet TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Hej,
Vi har idag fått besked från GÉANT att de har tecknat avtal med HARICA
om leverans av certifikattjänster via TCS. Vi kommer att berätta mer om
det på workshopen som är planerad onsdagen den 8 januari klockan
10.00–11.00.
Länk till mötet: https://sunet.zoom.us/j/4041080224
Rimliga förväntningar på TCS-tjänsten via HARICA när den kommer igång i
januari 2025 är att ni manuellt via deras webbportal kan utfärda
server-certifikat av DV-typ och personliga S/MIME-certifikat.
Vidare funktionalitet är planerad framöver, inklusive OV-certifikat,
grid-certifikat, utfärdande av personliga certifikat via
SWAMID-inloggning (som hos Sectigo), API och ACME. När vi får reda på
konkreta datum så kommer det att meddelas.
Vi återkommer också när vi har information om hur tjänsten kommer igång:
vad vi gör centralt, vad ni gör själva, om alla är välkomna från start
eller om ansökningar behöver prioriteras efter behov, med mera.
Ni som arbetar på att ersätta manuella rutiner för servercertifikat med
Let's Encrypt bör inte sluta med det - bytet av leverantör påverkar ju
inte certifikatvärldens resa mot kortare och kortare giltighetstider.
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Här följer information om nästa Zoom:
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till en workshop (med statusuppdatering) *onsdag
den 8 januari klockan 10.00–11.00*.
Under workshopen ges tillfälle att utbyta erfarenheter med lärosäten som
redan genomfört förändringar och diskutera alternativa lösningar och vägar
framåt.
Länk till mötet i Zoom: https://sunet.zoom.us/j/4041080224
Vill du dela med dig av något under workshopen? Kontakta Kent (
kent.engstrom(a)liu.se) i förväg för att sätta upp dig på en punkt i början
av mötet.
*Preliminär dagordning:*
- Statusuppdatering
- Erfarenhetsdelning
- Frågor, svar och diskussion
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Vi har nu fått information från GÉANT att TCS via Sectigo avslutas *den 9
januari 2025*. Vi hänvisar till tidigare mail där vi ger råd om vad man ska
göra på varje lärosäte. Dessa råd gäller fortfarande:
- Förnya certifikat nu via TCS för att förlänga giltighetstiden.
Prioritera verksamhetskritiska certifikat, certifikat som är svåra att
skaffa på annat sätt och certifikat som har kort giltighetstid kvar.
- Använd Let’s Encrypt för servercertifikat där det är möjligt.
- Identifiera de certifikat som är svårare att automatisera än övriga.
- Avveckla leverantörsspecifika anpassningar kopplade till Sectigo.
- Identifiera all användning av personliga certifikat och de syften de
används för.
- Om personliga certifikat används för inloggning till webbsystem – byt
till en annan lösning, till exempel federerad inloggning via
SWAMID/eduGAIN.
- Identifiera de situationer som kräver grid-certifikat för servrar
och/eller användare.
- Identifiera andra särskilda behov som kan kräva specifika åtgärder.
Informationen ovan finns också på Sunets wikisida "Avveckling av TCS via
Sectigo" <https://wiki.sunet.se/display/TCS/Avveckling+av+TCS+via+Sectigo> och
uppdateras om/när det behövs.
Vi fortsätter att ge uppdateringar via e-postlistan
sunet-tcs-members(a)lists.sunet.se, där alla Sunet TCS-medlemmar ska vara
med. Kontrollera att rätt personer i din organisation är med i listan. Vid
tveksamhet, kontakta tcs(a)sunet.se. Information delas även i Sunets forum
för TCS-certifikat <https://forum.sunet.se/s/tcs/>, där det också finns
möjlighet att utbyta erfarenheter.
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till ytterligare en workshop torsdag den 12
december klockan 13.00–14.30.
Under workshopen ges tillfälle att lyssna på lärosäten som redan
genomfört förändringar och diskutera alternativa lösningar och vägar
framåt.
Länk till mötet i Zoom: https://sunet.zoom.us/j/64073424989
Vill du dela med dig av något under workshopen? Kontakta Kent
(kent.engstrom(a)liu.se) i förväg för att sätta upp dig på en punkt i
början av mötet.
Preliminär dagordning:
- Erfarenhetsdelning
- Hanteringen av Sunet-tjänster med lärosätescertifikat
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Sunet TCS-medlemmar,
ni som var med på förra zoomen i onsdags vet att det kommer en ny på
onsdag 27/11, men här får ni som missade det en inbjudan, och så får ni
zoom-länken. Mailet nedan har gått till Sunets allmänna kontaktpersonslista.
Vi skulle behöva hjälp från er som sedan tidigare är en bit på vägen med
Let's Encrypt som alternativ för servercert - några korta presentationer
hur det fungerat och om ev problem. Då det är svårt för oss att se i
TCS-systemen vilka som är duktiga på att köra Let's Ecnrypt hoppas vi
att några av er räcker upp handen som frivilliga --- hör av er till
kent.engstrom(a)liu.se!
-- inklippt mail --
Hej,
Med anledning av de förväntade förändringarna i Sunets tjänst för
TCS-certifikat bjuder vi in till en workshop onsdagen den 27 november
klockan 13.00–14.30.
Under workshopen ges tillfälle att lyssna på lärosäten som redan genomfört
förändringar och diskutera alternativa lösningar och vägar framåt.
Länk till mötet i Zoom:
https://sunet.zoom.us/j/64936497883
Hälsningar,
För Sunet, Leif Johansson och Kent Engström
Hej,
Vi har fått ny information från GÉANT angående förhandlingarna med
leverantören av TCS-tjänsten. Beskedet innebär att TCS-tjänsten riskerar
att avslutas i närtid.
Vi bjuder in till Zoom-möte nu på *onsdag 13 november kl 13:00* på länk
https://sunet.zoom.us/j/68323695167 för att ge en mer ingående
statusuppdatering.
Detta är naturligtvis en mycket problematisk situation. GÉANT har gjort
allt de kunnat för att hitta en överenskommelse med leverantören Sectigo
men ser inte att leverantörens önskade prisökning går att hantera inom
ramen för det upphandlade avtalet.
Nedan följer några råd inför vad som tyvärr kan komma att bli en krävande
förändring inom denna tjänst:
- Förnya certifikat nu via TCS för att förlänga giltighetstiden.
Prioritera verksamhetskritiska certifikat, certifikat som är svåra att
skaffa på annat sätt och certifikat som har kort giltighetstid kvar.
- Använd Let’s Encrypt för servercertifikat där det är möjligt.
- Identifiera de certifikat som är svårare att automatisera än övriga.
- Avveckla leverantörsspecifika anpassningar kopplade till Sectigo.
- Identifiera all användning av personliga certifikat och de syften de
används för.
- Om personliga certifikat används för inloggning till webbsystem – byt
till en annan lösning, till exempel federerad inloggning via SWAMID/eduGAIN.
- Identifiera de situationer som kräver grid-certifikat för servrar
och/eller användare.
- Identifiera andra särskilda behov som kan kräva specifika åtgärder.
Vi kommer framöver att ge uppdateringar via e-postlistan
sunet-tcs-members(a)lists.sunet.se där alla Sunets TCS-medlemmar ska vara
med. Kontrollera att rätt personer i din organisation är med i listan. Vid
tveksamhet, kontakta tcs(a)sunet.se. Information delas även i forumet för
TCS-certifikat <https://forum.sunet.se/s/tcs/>.
Hälsningar,
För Sunet, Leif Johansson, Kent Engström
