In dem Zeitraum wird das Routing der bisherigen XWiN-Router (Nexus 7700) auf die neuen XWiN-Router (Catalyst 9600) umgestellt. Diese Router sind für die Netzverbindung der RWTH unerlässlich. Für diese Umstellung ist auch die Migration der DFN-Anbindung, welche redundant nach Frankfurt und Hannover geschaltet sind, sowie der RWTH-Firewall auf die neuen System erforderlich. Innerhalb des Wartungsfensters wird es zu Ausfällen oder Teilausfällen der Außenanbindung kommen. Alle Services der RWTH (bspw. VPN, Email, RWTHonline, RWTHmoodle) werden innerhalb dieses Zeitraums nicht zur Verfügung zu stehen. Die Erreichbarkeit von Services innerhalb des RWTH-Netzes ist aufgrund eingeschränkter DNS-Funktionalität zeitweise nicht gegeben. ---english--- During this period, the routing of the previous XWiN routers (Nexus 7700) will be switched to the new XWiN routers (Catalyst 9600). These routers are essential for RWTH's network connection. This changeover also requires the migration of the DFN connection, which is switched redundantly to Frankfurt and Hannover, and the RWTH firewall to the new systems. There will be complete or partial outages of the external connection during the maintenance window. All RWTH services (e.g. VPN, email, RWTHonline, RWTHmoodle) will not be available during this period. The accessibility of services within the RWTH network will be temporarily unavailable due to limited DNS functionality.
Die neuen Systemen verfügen über eine höhere Portdichte mit leistungsfähigeren Anschlüssen bei geringerem Energiebedarf. Die Routing-Tabelle kann bei Fehlerfällen deutlich schneller angepasst werden, wodurch die Verfügbarkeit des RWTH Netzes weiter gesteigert wird.
Das Hochladen einer selbst erzeugten (z.B. mit openssl) CSR-Datei für die Beantragung eines Nutzerzertifikats im RA-Portal ist nicht mehr möglich. Wegen der zu geringen Nutzung (weniger als 1% der Nutzerzertifikate wurden so beantragt) wird diese Funktionalität eingestellt. Nutzer*innen können weiterhin die eigene CSR-Datei im Browser erzeugen (vereinfacht ausgedrückt, die .json-Datei). Somit wird der private Schlüsselteil weder dem RA-Portal noch der CA übermittelt.
Aufgrund der Kündigung des bisherigen Zertifikat-Anbieters Sectigo ist es ab dem 9. Januar 2025 12:00 Uhr und auf noch unbestimmte Zeit nicht möglich, neue Nutzerzertifikate über das RA-Portal zu beantragen. Obwohl der neue Zertifikat-Anbieter Harica uns zur Verfügung steht ist die Beantragung von Nutzerzertifikaten noch nicht möglich, da - selbst generierte Schlüssel nicht unterstützt werden - der notwendige Zeichensatz für den Common Name nicht unterstützt wird Sobald die Beantragung im RA-Portal wieder möglich wird, werden wir - diese Meldung aktualisieren - den gelben Banner "Client-Zertifikatsbeantragung ab 09.01.2025 12:00 Uhr nicht mehr möglich" im RA-Portal entfernen. --- English version --- Due to the contract termination with our previous Certificate Authority (Sectigo), it is not be possible to apply for new user certificates via RA-Portal starting January 9, 2025 12:00 CET. Although a new Certificate Authority (Harica) has been contracted, we remain unable to apply for new user certificates due to following missing functionality - submitting own generated cryptographic keys - necessary special characters in the Common Name As soon as these technical issues have been resolved, we will - enable the application for new client certificates in RA-Portal - remove the yellow banner stating "Client-Zertifikatsbeantragung ab 09.01.2025 12:00 Uhr nicht mehr möglich" in RA-Portal - update this maintenance issue, here.
Die Beantragung von Client-Zertifikaten ist wieder möglich. Außerdem ist es jetzt möglich, auszuwählen, welche Vornamen im Zertifikat übernommen werden sollen (entweder Rufname oder voller Vorname). Aufgrund von Beschränkungen des Zeichensatzes seitens des Zertifikat-Anbieters Harica müssen wir Umlaute und sonstige Sonderzeichen im Namen automatisiert transkribieren. Die Funktion, einen selbst erzeugten Client-Zertifikatsantrag hochzuladen, ist noch nicht verfügbar. Dies wird aber zu einem späteren Zeitpunkt wieder möglich sein. --- English version --- Client Certificates can now be requested again. Furthermore, one can choose which forenames to use per certificate, either the full forename or the preferred forename(s) as selected in RWTH Selfservice. Due to limitations of the characters that can be used by our Certificate Authority Harica, umlauts and other special characters in your name(s) are automatically transliterated. It is not yet possible to upload one's own Client Certificate Request, but this feature will be available again in the future.
Bitte beachten Sie, dass alle SSL-Zertifikate, die ab dem 06.03.2025 im RA-Portal ausgestellt werden, ein neues intermediate Zertifikat in der Harica SSL-Zertifikatskette enthalten. D.h. am einfachsten die Download-Option "Zertifikat inklusive Kette (ohne Root-Zertifikat) herunterladen" im RA-Portal auswählen.
Neues RSA GÉANT Intermediate SSL-Zertifikat Serial Number: 14:d5:7b:f3:69:22:28:21:9a:55:67:fa:91:65:1b:22 Issuer: C = GR, O = Hellenic Academic and Research Institutions CA, CN = HARICA TLS RSA Root CA 2021 Validity Not Before: Jan 3 11:15:00 2025 GMT Not After : Dec 31 11:14:59 2039 GMT Subject: C = GR, O = Hellenic Academic and Research Institutions CA, CN = GEANT TLS RSA 1 X509v3 Authority Key Identifier: 0A:48:23:A6:60:A4:92:0A:33:EA:93:5B:C5:57:EA:25:4D:BD:12:EE X509v3 Subject Key Identifier: 86:01:72:3F:8C:A9:70:E2:31:06:53:16:CE:01:5F:5B:79:C8:3C:3B Neues ECC GÉANT Intermediate SSL-Zertifikat Serial Number: 42:fd:dc:e1:26:16:07:e1:a5:e6:93:5a:40:01:61:dd Issuer: C = GR, O = Hellenic Academic and Research Institutions CA, CN = HARICA TLS ECC Root CA 2021 Validity Not Before: Jan 3 11:14:21 2025 GMT Not After : Dec 31 11:14:20 2039 GMT Subject: C = GR, O = Hellenic Academic and Research Institutions CA, CN = GEANT TLS ECC 1 X509v3 Authority Key Identifier: C9:1B:53:81:12:FE:04:D5:16:D1:AA:BC:9A:6F:B7:A0:95:19:6E:CA X509v3 Subject Key Identifier: E9:99:06:8D:17:1F:AB:FB:96:1A:5A:C8:5B:5E:5D:5E:EC:DA:9C:8F Weitere Informationen zu den eingesetzten SSL-Ketten finden Sie unter https://help.itc.rwth-aachen.de/service/81a55cea5f2b416892901cf1736bcfc7/article/e8fd7876865044eab62977098679be31/