Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 34 Next »

 

 

Binnenkort stapt SURFnet voor haar dienst SURFcertificaten over op een nieuwe aanbieder: DigiCert. Dat is het resultaat van een uitgebreid tenderproces dat de GÉANT Association (voorheen TERENA) in opdracht van SURFnet en 28 andere NREN's heeft uitgevoerd. DigiCert bleek het beste te kunnen voldoen aan de eisen: deze aanbieder levert een uitgebreide range van certificaten, snelle validatieprocessen en een goede self-serviceportal voor de uitgifte van server-, code-signing- en persoonscertificaten. DigiCert is de opvolger van COMODO, dat sinds 2009 certificaten aan de SURFnet-gemeenschap leverde. De tarieven voor de dienst blijven ongewijzigd.

Deze wiki bevat meer achtergrond bij de wijzigingen in de dienstverlening van SURFcertificaten.

 

 

Meer informatie

 

De migratie van Comodo naar DigiCert

  • De service van DigiCert gaat uit van self-service

    1. SURFcertificaten deelnemers krijgen van SURFnet 1 administrator account en maken zelf andere administrators en users. Dat is een handeling zonder papierwerk. Er zijn geen machtigingen meer nodig bij het toevoegen van mensen. Actieve systeembeheerders die regelmatig certificaten nodig hebben geef je bijvoorbeeld een user account. Vertrouwde deskundigen geef je een administrator account.

    2. Een administrator kan certificaten aanvragen en meteen goedkeuren.

    3. Een user kan wel aanvragen maar moet wachten op het goedkeuren door een administrator.

    4. Afhankelijk van het type certificaat heeft daarna de vlotte validatie afdeling van DigiCert ook nog een rol.

    5. Zowel administrators als users loggen in zonder een persoonlijk certificaat; met een username en een hopelijk uitstekend password. Intern gebruikt DigiCert al twee-factor authentacation maar nog niet bij klanten.
    6. Het aanvragen van een domain waarvoor je certificaten wil hebben gebeurt in de webinterface. Dus niet meer met een mail naar scs-ra@surfnet.nl
    7. Als je een domain aanvraagt stuurt DigiCert een challenge naar de beroemde 7 mail adressen (admin, administrator, hostmaster, postmaster, webmaster, whois-admin-contact en whois-tech-contact). Dat gebeurt in principe 1 keer per domain; dus niet voor ieder aangevraagd certificaat.

    8. Er staan uitstekende handleidingen on-line en DigiCert heeft een behulpzame support@digicert.com. Scs-ra@surfnet.nl blijft bestaan voor vragen over het gebruik van certificaten, maar doet niets bij de aanvraag ervan.

       

  • Hoe komt het balletje aan het rollen?

    1. Als je niet al een deelnemer bent van SURFcertificaten, meld je dan aan via je SURFnet account-adviseur.
    2. Bij self-service hoort verantwoordelijkheid; zorg ervoor dat iedere betrokkene een keer de juridische teksten die in de webinterface langskomen echt leest; zorg dat je niet je toegang tot de service verspeelt door een onwetende onhandigheid.
    3. Neem deel aan de voorlichtingsessies die vanaf februari 2015 georganiseerd worden; je wordt daar langs de functionaliteit van de webinterface geleid en hoort dingen die (nog) niet in deze wiki staan.
    4. In de voorlichtingsessie wordt je uitgenodigd een mail te sturen aan scs-ra@surfnet.nl Die mail verstuur je 'from:' je eigen persoonlijke mailadres waarvan je wil dat het de username wordt van de eerste administrator van de service. In de mail meld je wat de spelling van de naam van je organisatie is waarvan je hoopt dat die in certificaten komt. Dus als je bijvoorbeeld liever je Engelse naam wil terugzien dan de Nederlandse versie, of als je het woordje 'Stichting' wil weglaten, of je wil een gangbare afkorting in plaats van een lange juridische naam dan noem je hier je voorkeur.
    5. Als je weet wat de Kamer van Koophandel registratie is van de hoofdvestiging van je organisatie noem die dan ook in de mail. Voorbeeldje: volgens de 'Zoeken' functie rechtsboven op www.kvk.nl heeft de hoofdvestiging van SURFnet het nummer KVK 30090777.
    6. Als je organisatie niet geregistreerd is bij de KvK, noem dan de wet of de notariële acte die zegt dat je bestaat.
    7. Als je mail is verwerkt ontvang je op je mailadres een challenge mail van Digicert. Click op de link en houd er rekening mee dat de challenge maar beperkt geldig is, hooguit een paar dagen.
    8. Als je administrator account beschikbaar is, definieer je je organisatie en je hoofddomain. Na een telefoontje uit Utah en een stel mailtjes van Validation haal je een keer diep adem: you are in business..!

Hints bij het gebruik van de DigiCert webpagina's

  • Het startscherm https://www.digicert.com/account/login.php

  • Overview → Dashboard en Reports

  • Account → My Division en Users (oh no, Guest URLs and API keys)

  • Orders → Orders, Requests en Request a Certificate

  • Validation → Organisations en Domains

  • Tools →(oh well)

 

 

  • No labels