RA-Portal

The operating system used is undergoing an upgrade. As a result, the service may be temporarily unavailable for a short period of time.

Maintenance has been successfully completed.

Our certification authority is currently rejecting the issuance of user certificates. You can still create a save a certificate application but sending it to the CA results in an error code. We are working on a swift resolution.

We expect the application to be working as usual again during calendar week 46.

Client certificates can be requested again. There may still be errors from time to time due to the certification authority regularly updating their interfaces.

It is currently not possible to apply for client certificates via the RA portal. A solution is being worked on.

wegen einer notwendigen Hardware Wartung eines zentralen Server in Datennetzbetrieb (NOC), werden im angegebenen Zeitraum einige Systeme nicht oder nur sporadisch funktionieren:
- RWTH-guests WLAN Datenverkehr (zentraler Router)
- Registration Authority (Kommunikation mit den Dienstanbietern)
- div. Dienste auf noc-portal, welche Kommunikation mit Routern oder Switchen erfordern

Wartung beendet. Wegen eines Hardware Schadens wurden die virtualisierten Ressourcen umverteilt.
Es wird daher eine weitere Wartung zur Wiederherstellung des Zustands erfolgen. Wir informieren entsprechend.

RWTH Single Sign-On login ist not possible at the moment.
Existing sessions are not affected.
We are working on fixing the problem.

The problem has been solved.

There are currently disruptions to RWTH Single Sign-On. After entering your login details, the screen loads and then an Internal Server Error appears. This affects all services that use the RWTH Single Sign-On login.
The specialist department has been informed and is working to resolve the issue.

The problem has been fixed.

Weitere API-Endpunkte wurden für die Verwaltung von E-Mail-Accounts durch die Netzansprechpersonen heute freigeschaltet.
Diese API-Endpunkte bilden die Funktionalität ab, die man sonst unter dem Reiter "Meine E-Mail-Domains" in graphischer Form hat.
Weitere Informationen finden Sie im RA-Portal unter
https://ra-portal.itc.rwth-aachen.de/api-tokens/documentation
Diese Funktionalität ist nur relevant für Netzansprechpersonen und nicht für Endnutzer*innen die z.B. ein Client-Zertifikat beantragen möchten.

During this period, the routing of the previous XWiN routers (Nexus 7700) will be switched to the new XWiN routers (Catalyst 9600). These routers are essential for RWTH's network connection. This changeover also requires the migration of the DFN connection, which is switched redundantly to Frankfurt and Hannover, and the RWTH firewall to the new systems.
There will be complete or partial outages of the external connection during the maintenance window. All RWTH services (e.g. VPN, email, RWTHonline, RWTHmoodle) will not be available during this period. The accessibility of services within the RWTH network will be temporarily unavailable due to limited DNS functionality.

Der Uplink nach Frankfurt wurde erfolgreich auf das neue System geschwenkt.

Umbau des Uplinks nach Hannover beginnt.

Uplink nach Hannover auf das neue System umgezogen.

BGP v4/v6 nach Frankfurt und Hannover sind nun über die neue Routern funktional.

Es stehen noch ein paar kleinere Nacharbeiten an.

Wartung ist abgeschlossen. Der Datenverkehr läuft nun vollständig über die neuen Router!

Problematik mit der Anbindung zur Physik identifiziert, Lösung erfolgt morgen früh.

Das Hochladen einer selbst erzeugten (z.B. mit openssl) CSR-Datei für die Beantragung eines Nutzerzertifikats im RA-Portal ist nicht mehr möglich. Wegen der zu geringen Nutzung (weniger als 1% der Nutzerzertifikate wurden so beantragt) wird diese Funktionalität eingestellt. Nutzer*innen können weiterhin die eigene CSR-Datei im Browser erzeugen (vereinfacht ausgedrückt, die .json-Datei). Somit wird der private Schlüsselteil weder dem RA-Portal noch der CA übermittelt.

Due to the contract termination with our previous Certificate Authority (Sectigo), it is not be possible to apply for new user certificates via RA-Portal starting January 9, 2025 12:00 CET.
Although a new Certificate Authority (Harica) has been contracted, we remain unable to apply for new user certificates due to following missing functionality
- submitting own generated cryptographic keys
- necessary special characters in the Common Name
As soon as these technical issues have been resolved, we will
- enable the application for new client certificates in RA-Portal
- update this maintenance issue, here.
- remove the yellow banner stating "Client-Zertifikatsbeantragung ab 09.01.2025 12:00 Uhr nicht mehr möglich" in RA-Portal

Client Certificates can now be requested again.
Furthermore, one can choose which forenames to use per certificate, either the full forename or the preferred forename(s) as selected in RWTH Selfservice.
Due to limitations of the characters that can be used by our Certificate Authority Harica, umlauts and other special characters in your name(s) are automatically transliterated.
It is not yet possible to upload one's own Client Certificate Request, but this feature will be available again in the future.

Bitte beachten Sie, dass alle SSL-Zertifikate, die ab dem 06.03.2025 im RA-Portal ausgestellt werden, ein neues intermediate Zertifikat in der Harica SSL-Zertifikatskette enthalten. D.h. am einfachsten die Download-Option "Zertifikat inklusive Kette (ohne Root-Zertifikat) herunterladen" im RA-Portal auswählen.

Due to an unforeseen contract termination with our current Certificate Authority (Sectigo), it will no longer be possible to apply for or revoke certificates via RA-Portal for an indefinite period of time starting January 9, 2025 12:00 CET. This applies to SSL and client certificates.
GÉANT/TCS is working intensively with DFN to ensure the seamless continuation of the TCS service with a new provider.
DFN is also exploring the possibility of contracting a Certification Authority independently from GÉANT/TCS.
It is unclear whether and how certificates issued by Sectigo can be revoked from January 10, 2025 onwards.

Folgende Buttons (Funktionalität) stehen ab dem 09.01.2025 12:00 Uhr im RA-Portal nicht mehr zur Verfügung:
- Zertifikat neu hochladen (certificate upload)
- Zertifikat an die CA absenden (certificate enroll)
- Zertifikat erneuern (certificate renew)
- Zertifikat widerrufen (certificate revoke)
- OpenSSL-Befehlsgenerator
Folgende RA-Portal API-Endpunkte werden Error 503 liefern: csr-upload, enroll, renew, revoke.

DFN has contracted an new Certification Authority (harica.gr). We are currently reprograming RA-Portal in order to make the issuance of SSL-Certificates over harica.gr possible. We estimate to be up and running in 2-4 weeks. Client-Certificates will follow.

Die Beantragung von SSL-Zertifikaten über das RA-Portal ist ab 07.02.2025 10:00 Uhr wieder möglich.
Der neue Zertifikat-Anbieter ist Harica.
- SSL-Zertifikat Ablaufzeit bleibt bei 1 Jahr
- Erlaubte Schlüssellängen bleiben unverändert und sind RSA-2048, RSA-3072, RSA-4096, ECC-prime256v1 und ECC-secp384r1
- "Key Usages" (X509v3 extensions) bleiben unverändert und sind:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
- z.Z. besteht eine Begrenzung auf 20 SANs pro Zertifikat.

Wir schließen diese Meldung und bitten Sie Neuheiten über Nutzerzertifikate unter der getrennten Meldung Ihttps:
maintenance.itc.rwth-aachen.de/ticket/status/messages/84/show_ticket/9722 zu folgen.

Das Widerrufen von Zertifikaten des Zertifikat-Anbieters Sectigo ist wieder möglich:
- einfach den Widerrufen-Button im RA-Portal betätigen
- manueller Prozess Richtung Sectigo wird ausgelöst
- innerhalb den nächsten 7 Tage wird das Zertifikat widerrufen sein
- den Status kann man jederzeit im RA-Portal prüfen
Status: Momentan gültig
SN: Seriennummer
Certificate Authority: Sectigo
Ablauf: Ablaufdatum, Uhrzeit
Widerruf angefragt: Datum, Uhrzeit (Vorname Nachname)
Angefragt von: Vorname Nachname via API-Token/RA-Portal
oder
Status: Widerrufen
SN: Seriennummer
Certificate Authority: Sectigo
Widerrufen: Datum, Uhrzeit
Angefragt von: Vorname Nachname via API-Token/RA-Portal

This evening around 20:25 - 21:00 there was a performance low in the SSO service and was checked by the specialist department during this time. The problem has been solved and fast logins without waiting times are possible again.

Due to an unforeseen contract termination with our current Certification Aauthority (Sectigo), it will no longer be possible to apply for certificates via RA-Portal starting January 10, 2025 and for a currenty unknown period of time. This affects both SSL and client certificates.
We recommend that you
- either renew or apply for new SSL certificates in RA-Portal ahead of time
- apply for new user certificates in RA-Portal ahead of time, should your certificate from the "old" DFN-PKI Global expire in the near future
This recommendation applies to all certificates that expire before July 1, 2025.
We will inform all network contacts persons at the institutions via e-mail, regarding the recommended action with concern to SSL and client certificates.
We will inform all affected end users via e-mail about the recommended action regarding their user certificates.

The network contacts in the institutions were informed by e-mail on November 22, 2024.
The affected persons with user certificates in the DFN-PKI Global were informed by e-mail on November 27, 2024.

Am 16.12.2024 wurden 292 SSL-Zertifikate durch die RWTH Registrierungsstelle automatisiert erneuert. Diese wären vor dem 01.07.2025 ersatzlos abgelaufen. Die Mitglieder der jeweiligen Netzwerkansprechpartner-Gruppen wurden via E-Mail über die Ausstellung der Zertifikate benachrichtigt.

At the moment, single sign-on and multi-factor authentication are sporadically disrupted. We are already working on a solution and ask for your patience.

Wegen einer RWTH-internen Umkonfiguration der aus dem RA-Portal angesprochenen Mailserver, konnten einige ausgehende E-Mails (aus dem RA-Portal an die Endnutzer) nicht zugestellt werden.

wegen der Migration unseres Datenbankservers werden im Wartungszeitraum Applikationen auf TK-Portal, RA-Portal und NOC-Portal, sowie der Zugang zum WLAN RWTH-guests mit Gastkennung nicht zur Verfügung stehen.

Die Wartung ist beendet.

Due to problems with the load balancers (F5), the majority of services such as RWTHmoodle, RWTH Single Sign-On, RWTH E-Mail etc. and all services behind the RWTH Single Sign-On are disrupted.

A technician from the manufacturer has now also been called in to solve the problem.

The fault has been rectified. However, there may still be delays in delivery or receipt.

Wegen eines SW-Fehlers versendet das RA-Portal z.Z. keine E-Mails z.B. zur Zertifikatsausstellung, Challenges an die Nutzer*innen usw. Wir arbeiten an die Lösung.

Due to database maintenance, login to applications protected by RWTH Single Sign-On (e.g. RWTHonline, RWTHmoodle, Selfservice, SAP) will not be possible for a short time during the specified period.
Please log in to the application in which you would like to work during this period before the maintenance.
We assume that the interruption of the login will last about five minutes.

An update restarts the web server among others on the RA portal.

Wegen eines SW Fehlers ist das Hochladen einer im Browser generierten CSR-Datei für ein Client-Zertifikat mit mehreren E-Mail-Adressen z.Z. nicht möglich. Wir arbeiten an einer Lösung und werden den Fehler voraussichtlich am 28.10.2024 beheben können.

Das Erstellen von Client-Zertifikatsanträgen mit mehreren SANs ist im Browser wieder möglich.

2a. C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
3a. C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
4a. C = DE, ST = Nordrhein-Westfalen, O = RWTH Aachen University, CN = FQDN
2b. C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
3b. C = NL, O = GEANT Vereniging, CN = GEANT OV RSA CA 4
4b. C = DE, ST = Nordrhein-Westfalen, O = RWTH Aachen University, CN = FQDN

Im Reiter "Meine E-Mail-Domains" können Netzansprechpersonen die E-Mail-Adressen der jeweiligen Einrichtung im RA-Portal verwalten. Bei "E-Mail-Account hinzufügen" war das Eintragen einer Absender-E-Mail bis dato case sensitive. Dies haben wir auf case insensitive geändert. D.h. wenn z.B. der Eintrag "email@itc.rwth-aachen.de" existiert, dann kann der Eintrag "Email@itc.rwth-aachen.de" usw. nicht hinzugefügt werden. Das Editieren der Absender-E-Mail war immer unterbunden. D.h. wenn Sie eine fehlerhafte Absender-E-Mail eingetragen haben, löschen Sie einfach den Eintrag. Wenn Sie aber die Challenge-E-Mail(s) schon ausgelöst haben, melden Sie sich bei ra@rwth-aachen.de, da das Löschen nicht mehr möglich ist.

The servers must be restarted in the course of a system update.

For a short period of time, there was an error while using RWTH Single Sign-On.
The problem has been solved.

Due to the expired certificate for idm.rwth-aachen.de, no IdM applications and the applications that use RWTH Single Sign-On can be accessed.
We are working on a solution.
- An insecure connection message is displayed when calling up IdM applications.
- When calling up applications with access via RWTH Single Sign-On, a message about missing authorisations is displayed.

The certificate has been updated and the applications can be accessed again. Please delete the browser cache before accessing the pages again.

The servers must be restarted in the course of a system update.

Wartung ist beendet

Wegen eines SW Fehlers waren im genannten Zeitraum auch für die Netzansprechpersonen aller Einrichtungen keine E-Mail-Domains unter dem Reiter "Meine E-Mail-Domains" sichtbar.

Aufgrund von kritischer Updates wird es durch einen Neustart des NOC-Portals zu einem kurzen Ausfall kommen.
Durch Schnittstellen zwischen den System, sind kurzfristig ebenfalls das TK-Portal und RA-Portal betroffen.

Updates abgeschlossen und Neustart durchgeführt.
Services laufen wieder wie gewohnt weiter.

The servers must be restarted in the course of a system update.

Due to DNS disruption, the name servers of various providers are currently not returning an IP address for hosts under *.rwth-aachen.de.
As a workaround, you can store alternative DNS servers in your connection settings, e.g. the Level3-Nameserver (4.2.2.2 and 4.2.2.1) or Comodo (8.26.56.26 und 8.20.247.20). It may also be possible to reach the RWTH VPN server, in which case please use VPN.

Instructions for configuring an alternative DNS server under Windows can be found via the following links:
https:
www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/
https:
www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html
You can also use VPN as an alternative. If you cannot reach the VPN server, you can adjust the host file under Windows according to the following instructions. This will allow you to reach the server vpn.rwth-aachen.de. To do this, the following entry must be added:
134.130.5.231 vpn.rwth-aachen.de
https:
www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/

The hosts of RWTH Aachen University can now be reached again from outside the RWTH network.

Individual users may have experienced problems even after the fault was rectified on 25 August at 9 pm. On 26.8. at 9 a.m. all follow-up work was completed, so there should be no further problems.

Wegen einer Wartung des zugrundeliegenden Datenbankservers ist im Wartungszeitraum mit Ausfällen von Webdiensten zu rechnen:
* NOC-Portal (z.B. DNS-Admin, DHCP-Admin, RADIUS-Admin, Interface-Admin, WLAN Gäste einrichten)
* TK-Portal
* RA-Portal
Die Dienste laufen wie gewohnt weiter. Bitte versuchen Sie zu einem späteren Zeitpunkt Ihre gewünschten Änderungen einzutragen.

leider ist die Wartung noch nicht zum Abschluss gekommen, weswegen die Daten heute für ca 1h nicht zur Verfügung stehen.

Die Migration ist abgeschlossen

The servers must be restarted in the course of a system update.

Wartung ist beendet

Aufgrund von Erneuerung der SSL Zertifikate wird der vCenter Server im genannten Zeitraum teilweise kurzzeitig nicht erreichbar sein.
Alle VMs laufen wie gewohnt weiter und die Erreichbarkeit der darauf laufenden Dienste wird NICHT durch diese Wartung beeinträchtigt werden. Lediglich die Funktionen des HTML5 Clients für das Management ihrer VMs werden nicht verfügbar sein, da Sie sich während der Wartung nicht am vCenter Server einloggen können.

Während der Wartung ist es zu Fehlern gekommen, sodass die Wartung verlängert werden muss.

---englisch version below---
Due to maintenance, some servers are currently unavailable.
There are temporary connection problems with some services.

Das Abfragen der validierten Domains hat wegen eines SW Updates auf Sectigo Seite nicht funktioniert. Als Folge konnten während der Störung keine Zertifikate beantragt werden oder E-Mail-Adressen durch den Netzsprechpersonen in RA-Portal eingetragen werden.

Due to a system update, the RA portal must be restarted, which means that the portal (e.g. download of certificates or upload of certificate signing requests) will be temporarily unavailable.

Since July 2, 2024, the RWTH Single Sign-On (SSO) and the login of all SSO-connected services is protected with multifactor-authentication (MFA). In addition to an individual password, users must now enter a second factor when logging in. The second factor must be generated in Selfservice [1] via the Token Manager. Further information can be found on IT Center Help [2] and the IT Center Blog [3].
[1] http:
www.rwth-aachen.de/selfservice
[2] https:
help.itc.rwth-aachen.de/service/0f861f53818c44e9a5df6ea7b244dacd/article/b084004d1bcf40a3be00f456f3e4a543/
[3] https:
blog.rwth-aachen.de/itc/en/tag/mfa/

Unfortunately, the login via the RWTH Single Sign-On and thus into the connected services is currently only successful in individual cases.
If you receive an error message, please try to log in again in about an hour.
People who are already successfully logged in are not affected by the disruption.

The servers are currently at full capacity. We therefore ask you to try to log in at a later time (approx. in one hour). We are working on a solution to the problem.

Through various measures, which have significantly increased the overall performance of the servers, the loading difficulties and login problems were resolved around 3 pm.
For the time being, the message remains as a note, as we continue to monitor the load on the system.

The login to the RWTH Single Sign-On is stabilized. For this reason, we are ending this notice.

The servers must be restarted in the course of a system update.

Wartung ist beendet

The servers must be restarted in the course of a system update.

Update ist erfolgt | update finished

Wegen einer fehlerhaften SW Implementierung konnten seit Oktober 2023 auch Mitglieder aller sekundären Admin-Gruppen für eine Domain diese unter "Meine E-Mail-Domains" sehen und verwalten. Die korrekte Implementierung der Admin-Reche ist aber, dass nur die Mitglieder der primären Domain-Kontakt-Gruppe diese verwalten sollen. Es gibt hier eine Ausnahme, Mitglieder einer sekundären Domain-Kontakt-Gruppe mit dem Extra-Recht "RA-Portal-Email-Domain" können auch die Domain unter "Meine E-Mail-Domains" verwalten. Die korrekte Implementierung wurde am 26.03.2024 umgesetzt.

Wegen eines SW-Fehlers wurden im Zeitraum vom 09. bis 23.04.2024 keine "SSL-Zertifikat [common_name] ausgestellt" und keine "SSL-Zertifikat [common_name] Ablauf am [ablaufdatum]" E-Mails versendet. Das RA-Portal hat das Absenden aller diesen fehlenden E-Mails am 24.04.2024 nachgeholt.

When accessing the RA portal, the error message "Server error (error 500)" currently appears and the portal cannot be used. We are already working on a solution to the problem.

Der Fehler in der Kommunikation mit der Datenbank wurde behoben. RA-Portal funktioniert wieder.

Aktuell kann es zu Problemen bei der IPv6-Adressvergabe durch die DHCP-Server kommen.
Dies führt teilweise dazu, dass Geräte nicht oder nur teilweise erreichbar sind.

Wegen einer Störung im MailAdm ist z.Z. die Beantragung von Client-Zertifikaten im RA-Portal nicht möglich. Das RA-Portal fragt den MailAdm nach den E-Mail-Adressen der Nutzer*innen. Die E-Mail-Kollegen arbeiten an die Behebung der Ursache.

Die Kommunikation zum MailAdm wurde wiederhergestellt.

Wegen einer Störung der Konnektivität zum internen RWTH-Mail-System, ist die Beantragung von neuen Nutzerzertifikaten (+ CLIENT-ZERTIFIKAT BEANTRAGEN) z.Z. nicht möglich. Wir arbeiten an der Lösung.

Die Kommunikation zum RWTH-Mail-System wurde wiederhergestellt, danke Mail/Firewall-Kollegen.