Sunet TCS-medlemmar,
förra våren hade vi i samband med TCS-status på Sunetdagarna ett pass
där några organisationer delade med sig av sina erfarenheter av
certifikatautomatisering (API via TCS, ACME via TCS på olika sätt, Let's
Encrypt, ...) vilket var mycket uppskattat.
Det bör finnas fler organisationer som provat nu, och uppdaterade
erfarenheter från de som hållt på ett tag, och frågan är än mer aktuell
nu.
Vi vill bjuda in till en ny Zoom innan jul om detta för
erfarenhetsutbyte. För att det ska fungera behöver några av er ställa
upp och presentera era erfarenheter (10-20 min beroende på vad ni har
att säga). Har vi några frivilliga? Hör i så fall av er till
kent.engstrom(a)liu.se.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-administratörer,
detta angår er om er organisation utfärdar personliga certifikat
("vanliga" eller grid-varianter). Om så inte är fallet så kan ni
ignorera det här brevet.
Som vi förvarnat om tidigare, senast i mitt mejl 14/8, så är det
ändringar på gång i systemet på grund av krav från CA/B forum på
personliga certifikat från 1/9. Läs mer om detta i mitt tidigare mejl.
Jag (Kent) hade tänkt använda den här veckan för att experimentera med
det som kom in i SCM förra helgen, men hamnade istället akut på
sjukhus (ute nu, ingen akut fara med mig längre) så mina kollegor på
andra håll i Europa har fått testa utan mig. Jag har nu läst ikapp och
frågat runt och har en så god bild som jag kan få av vad som är på
gång.
På grund av detta och att vi uppmanat användare med utgående
certifikat att söka nya sådana fram till helgen, så har vi valt att
inte ändra något i SCM denna vecka som skulle kunna ställa till det
för detta. Vi börjar istället på måndag förmiddag med fixandet.
CERTIFIKATPROFILER
Det ska in två nya certifikatprofiler i SCM. Detta måste göras med
högsta behörigheten, så det gör vi. Vi åtkommer med namnen när vi ser
hur dessa slår igenom till https://cert-manager.com/customer/sunet/idp/clientgeant
osv.
ORGANISATIONSVALIDERING
Organisationer behöver omvalideras för att kunna utfärda personliga
certifikat av det nya slaget från och med måndag (då de gamla
profilerna inte längre fungerar).
Det ser ut som om man kan få det gjort i "bakgrunden" genom att
redigera och lägga in VAT-nummer i organisationsposten (det är det
enda nya fält som tillkommit), och då innebär det att servercert kan
fortsätta utfärdas medan detta sker. MEN: det finns raporter om att
ifall man redigerar två gånger, eller ifall man trycker på Revalidate,
eller kanske om man har otur(?), så hamnar man i en "vanlig" validering
som innebär att inga certifikat (inkl server) kan utfärdas innan den
är klar.
Därför: försök inte pilla med detta själva så vi riskerar att göra det
dubbelt. När ni är redo för detta (inklusive risken att det tar stopp
för servercert i timmar - dag om vi har otur) så skicka ett mejl till
tcs(a)sunet.se med ärenderad "Validera" följt av ert organisationsnamn,
så sätter vi igång. Inkludera ert VAT-nummer i mejlet, så slipper vi
surfa runt och leta (det står säkert i samband med
faktureringsinformation hos er, och baseras ju på organisationsnumret,
men ni får rota fram det själva).
Ni styr alltså risken själva - väger hur bråttom det är att komma
igång med personliga cert igen mot risken med eventuella servercert
som behöver utfärdas samtidigt men kan blockeras ett tag.
PERSONVALIDERING
Det sägs att personposten i SCM också behöver ha Validation Type satt
till High istället för Normal.
Den goda nyheten är att det nu ska vara ordnat så att detta sätts
automatiskt när nya personer skapas för att de använder vår
"clientgeant"-portal för att skaffa cert.
Den dåliga nyheten är att vi läst från de som provat att det ännu
inte verkar som om existerande personer uppdateras, och där har nästan
alla "normal" idag. Detta håller ju inte för drift, och vi har skickat
fråga via GEANT om detta men inte fått svar än.
Som en workaround bör ni dock manuellt kunna uppdatera enstaka
personer till validation type high och det ska vara OK om de inte
lagts upp på annat sätt än genom att de använt "clientgeant"-portalen.
PERSONLIGA GRID-CERTIFIKAT
Här saknar vi ordentlig information om dessa väntar på något som
Sectigo ska göra klart i SCM/clientgeant, om det ska göras något
särskilt av oss/er osv.
ÅTERKOMMER
Vi återkommer så snart vi kan när det som är dimhöljt ovan klarnar.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-administratörer,
detta rör personliga certifikat (både "vanliga" och grid-varianter).
CA/B Forum har bestämt sig för att reglera publikt betrodda personliga
certifikat också, med start från 1 september. Detta innebär ändringar
av regler för validering, subject osv.
För det särskilda som gäller för grid-certifikat, se tidigare brev 24
juli.
Sectigo jobbar på att få ändringar i SCM på plats, och har informerat
om att det kommer behövas ytterligare validering av information för
organisationer efter nästa uppdatering av SCM 19/8 för att kunna
utfärda de nya typerna av personliga certifikat. Vi återkommer när vi
har mer information om vad ni behöver göra och hur.
Sectigo har också meddelat att man från och med 28/8 (inte 1/9) inte
utfärdar den gamla typen av personliga certifikat.
Sectigo rekommenderar också att de som behöver personliga certifikat
framöver hämtar ut ett av existerande typ innan 28/8 för att minska
risken för problem vid förseningar. Vi håller med.
Vi kommer under morgondagen skicka individuella automatiska brev till
aktuella användare (till epostadressen som står i certifikatet) med
information om detta. De som redan fått motsvarande information om
grid-certifikat får inte nytt brev om dessa.
Vi återkommer med mer information när vi får det från Sectigo eller
GÉANT.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-administratörer,
detta rör personliga certifikat av grid/IGTF-typ (profilerna GÉANT
IGTF-MICS Personal och GÉANT IGTF-MICS-Rbot Personal i portalen på
https://cert-manager.com/customer/sunet/idp/clientgeant)
De personliga grid-certifikaten som är betrodda inom grid-världen har
också varit publikt betrodda i epost-program etc. (på samma
sätt som den "vanliga" profilen GÉANT Personal Certificate).
CA/B Forum har bestämt sig för att reglera publikt betrodda personliga
certifikat också, och reglerna innebär att Subject-namnen behöver
ändras för personliga certifikat. För den vanliga profilen vars
huvudsakliga användning är att signera epost med mera spelar det
mindre roll eftersom formatet där inte "hugget i sten" (det ska
identifiera personen och innehålla eposten), men för grid-certifikaten
som används för autentisering och där Subject används som
användarnamn/identifierare i olika system, så är det viktigt att
behålla Subject helt oförändrat. Samtidigt är det krasst sett inte
nödvändigt att dessa certifikat är publikt betrodda i epost-program
etc (normalt för personliga grid-certifikat från annat håll är att de
inte är det.)
GÉANT TCS har därför valt vägen framåt att skapa en ny privat CA/rot
som kommer vara betrodd inom grid-världen (och av andra tjänster som
väljer att lita på den). Den kommer inte vara publikt betrodd, och
omfattas därmed inte av CA/B Forums regler och existerande format för
Subject kan fortsätta användas.
GÉANT TCS and Sectigo jobbar hårt på att få roten på plats, få roten
distribuerad via grid-kanalerna, clientgeant-portalen uppdaterad, osv,
men deadline för de nya reglerna är 2023-09-01.
Vi gör bedömningen att det finns en viss risk att detta inte är klart
2023-09-01. För att minimera risken att ett uppehåll i möjligheten att
utfärda personliga grid-certifikat orsakar problem för existerande
användare, så uppmanar vi dessa att förnya sina personliga
gridcertifikat i tid innan 2023-09-01 ifall de går ut under hösten
(eller har gått ut nyss men fortfarande behövs).
Vi kommer under morgondagen skicka individuella automatiska brev till
aktuella användare (till epostadressen som står i certifikatet) med
information om detta.
Vi återkommer med mer information när vi har den.
Med vänliga hälsningar,
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
Sunet TCS-medlemmar,
sedan någon gång förra veckan (om rapporter om framgång och fel stämmer,
någon gång mellan onsdag och torsdag) så är det problem med nedladdning
av personliga certifikat via portalen på
https://cert-manager.com/customer/sunet/idp/clientgeant
Det verkar som om det är varianten med Key Generation som inte fungerar
(cert skapas, men hämtningen av cert till portalen misslyckas). Om man
använder varianten där man tankar upp CSR så ser det fortfarande ut att
fungera. Det är kanske en klen tröst dock, om det är Key Generation som
fungerar väl för användarna.
GEANT är medvetna (detta drabbar hela tjänsten, inte bara Sunet TCS) och
har felrapporterat till Sectigo. Vi återkommer när vi har mer
information.
--
Kent Engström, SUNET TCS
kent(a)nsc.liu.se, +46 13 28 4444
Hej,
Har du anmält dig <https://www.sunetdagarna.se> till Sunetdagarna? Den
18–20 april träffas vi på Mälardalens universitet, Campus Eskilstuna, för
några fullmatade dagar om IT-infrastruktur och digitala tjänster för högre
utbildning och forskning. Programmet finns på www.sunetdagarna.se.
Några av de ämnen som tas upp är:
- Digitalt campus
- Mänskliga reaktioner i extrema situationer
- AI för effektivt lärande
- EU:s digitala identitetsplånbok
- Projektet “Studentens digitala resa”
- Sunet datacenter för framtiden
- Öppna digitala resurser för studenters lärande
- Nätverkautomation och IT-säkerhet
- Polar Connect – robust nätanslutning via Arktis
- Badges och Microcredentials
- Vad är Sunet?
- Digital pedagogisk kompetens
Anmäl dig på www.sunetdagarna.se. Platserna är begränsade så vänta inte för
länge!
Pål
Hej,
ni som använder kodsigneringscertifikat behöver ta till er detta.
Övriga inte.
Som vi förvarnade om på Sunetdagarna i oktober, så har CA/B Forum
bestämt hårdare regler för kodsigneringscertifikat av OV-typ, så att
nyckeln för dessa måste genereras på hårdvara, något som tidigare
krävts bara för EV-typen.
Sectigo har nu meddelat att 24 april 2023 är dagen då de inte längre
utfärdar OV-kodsigneringscert på det gamla sättet (då man kunde
generera nyckel själv på valfritt sätt).
GEANT reder ut med Sectigo hur man inom TCS beställer efter detta
datum så vi får återkomma om det, men det kan bli något som påminner
om EV-varianten.
Hursomhelst, ni som använder OV-kodsignering idag bör i god tid innan
24 april 2023 plocka ut aktuella certifikat med längsta giltighetstid
för att minska risken för strul.
Om ni inte är säkra på vad ni har, titta i SCM under Certificates ->
Code Signing Certificates.
Från Sectigos epost om detta:
> Dear Sectigo Customer,
>
> Last year, the CA Browser (CA/B) Forum announced changes to its
> regulations for Code Signing certificates and services, requiring all
> Certificate Authorities to ensure that the Subscriber’s Private Key is
> generated, stored, and used in a suitable FIPS-compliant hardware.
> This change from the CA/B Forum aims to improve security and help
> reduce risk of compromise.
>
> The deadline for implementation of the new regulations is June 1,
> 2023. In future, Sectigo OV code signing certificates will be either:
>
> - Installed on a Sectigo token and shipped securely to the customer
> - Available as a download to be installed on the customer’s own HSM.
> The hardware devices (e.g. tokens, HSMs, etc.) must be FIPS-compliant
> and support externally verifiable key attestation.
>
> Starting April 24, 2023, you will no longer be able to purchase or
> issue standard OV Code Signing certificates.
>
> What should you do next?
>
> Issue any already purchased OV Code Signing certificates, or purchase
> and issue new OV Code Signing certificates with a validity of up to 3
> years, prior to April 24, 2023. If you fail to do so, you will have to
> use your own FIPS-compliant hardware, or pay extra for receiving a
> Sectigo-issued token.
--
Kent Engström, SUNET TCS
kent(a)nsc.liu.se, +46 13 28 4444
Hej,
Sunetdagarna hösten 2022 är redan inne på tredje dagen och det är dags
att påminna om att det även denna gång blir ett pass om TCS, på torsdag
20 oktober kl 15:00. I höste blir det som en del gånger tidigare ett
kortare statusmöte (vad har hänt? vad är aktuellt? vad kommer framöver?)
med möjlighet att ställa frågor och lämna återkoppling.
Möteslänken är https://sunet.zoom.us/my/sunet och hela programmet för
Sunetdagarna finns på
https://wiki.sunet.se/pages/viewpage.action?pageId=112172232
Vi ses,
--
Kent Engström, SUNET TCS
kent(a)nsc.liu.se, +46 13 28 4444
Kent Engström <kent.engstrom(a)liu.se> writes:
> TCS-medlemmar,
>
> vi har fått en inbjudan till webinar om de olika extratjänster, som
> t.ex. HashiCorp Vault- och Azure-integration, som finns hos Sectigo men
> som inte ingår i TCS för tillfället.
>
> Ja, vi har berättat för GEANT hur bra det fungerar för oss i Sverige att
> man lagt detta på midsommarafton. Är ni intresserade nog får ni gärna
> anmäla er ändå, annars har Nicole lovat att det kommer en inspelning
> kort efteråt.
En länk till presentationen finns nu på
https://wiki.geant.org/display/TCSNT/TCS+Training
GÉANT har också lovat att att skicka fråga om intresse för
extratjänster. Vi återkommer när det kommer.
> Nicole Harris <nicole.harris(a)geant.org> writes:
>> Dear All
>>
>> As we have had many ad hoc enquiries about features offered by Sectigo
>> that are not part of the TCS contract, I have asked Sectigo to run a
>> webinar to present these options to the community. This event will
>> take place online on 24th June 2022 from 15:00 CEST - 16:00 CEST.
>>
>> As part of its Cert Manager platform, Sectigo offers a range of
>> additional integrations that are not currently part of the TCS offer -
>> such as AzureKey Vault and Hashi Corp Vault Module. In this webinar,
>> the Sectigo team will present the additional options that could be
>> available to the TCS community. After this, GÉANT will carry out a
>> consultation to see if there is any interest in the community to
>> include any of these potential integrations in the TCS contract.
>> Please attend so that we can get a good sense of what additional
>> features are needed by the community.
>>
>> You can sign up at: https://events.geant.org/event/1224/.
>>
>> Please feel free to share widely with your customers and let me know if you have any questiions.
>>
>> Kind regards
>>
>> Nicole
--
Kent Engström, SUNET TCS
kent(a)nsc.liu.se, +46 13 28 4444
