Aufgrund der Kündigung des bisherigen Zertifikat-Anbieters Sectigo ist es ab dem 9. Januar 2025 12:00 Uhr und auf noch unbestimmte Zeit nicht möglich, neue Nutzerzertifikate über das RA-Portal zu beantragen. Obwohl der neue Zertifikat-Anbieter Harica uns zur Verfügung steht ist die Beantragung von Nutzerzertifikaten noch nicht möglich, da - selbst generierte Schlüssel nicht unterstützt werden - der notwendige Zeichensatz für den Common Name nicht unterstützt wird Sobald die Beantragung im RA-Portal wieder möglich wird, werden wir - diese Meldung aktualisieren - den gelben Banner "Client-Zertifikatsbeantragung ab 09.01.2025 12:00 Uhr nicht mehr möglich" im RA-Portal entfernen. --- English version --- Due to the contract termination with our previous Certificate Authority (Sectigo), it is not be possible to apply for new user certificates via RA-Portal starting January 9, 2025 12:00 CET. Although a new Certificate Authority (Harica) has been contracted, we remain unable to apply for new user certificates due to following missing functionality - submitting own generated cryptographic keys - necessary special characters in the Common Name As soon as these technical issues have been resolved, we will - enable the application for new client certificates in RA-Portal - remove the yellow banner stating "Client-Zertifikatsbeantragung ab 09.01.2025 12:00 Uhr nicht mehr möglich" in RA-Portal - update this maintenance issue, here.
Aufgrund einer unvorhergesehenen Kündigung des bisherigen Zertifikat-Anbieters Sectigo wird es ab dem 9. Januar 2025 12:00 Uhr auf noch unbestimmte Zeit nicht mehr möglich sein, Zertifikate über das RA-Portal zu beantragen oder zu widerrufen. Dies betrifft SSL- und Client-Zertifikate. GÉANT/TCS arbeitet intensiv zusammen mit DFN daran, ein lückenloses Weiterbestehen der TCS-Dienstleistung mit einem neuen Anbieter zu ermöglichen. Der DFN erkundet parallel auch die Möglichkeiten für ein eigenes unabhängiges (von GÉANT/TCS) Angebot. Es ist unklar, ob und wie ab dem 10. Januar 2025 Zertifikate des Anbieters Sectigo widerrufen werden können. --- English version --- Due to an unforeseen contract termination with our current Certificate Authority (Sectigo), it will no longer be possible to apply for or revoke certificates via RA-Portal for an indefinite period of time starting January 9, 2025 12:00 CET. This applies to SSL and client certificates. GÉANT/TCS is working intensively with DFN to ensure the seamless continuation of the TCS service with a new provider. DFN is also exploring the possibility of contracting a Certification Authority independently from GÉANT/TCS. It is unclear whether and how certificates issued by Sectigo can be revoked from January 10, 2025 onwards.
Folgende Buttons (Funktionalität) stehen ab dem 09.01.2025 12:00 Uhr im RA-Portal nicht mehr zur Verfügung: - Zertifikat neu hochladen (certificate upload) - Zertifikat an die CA absenden (certificate enroll) - Zertifikat erneuern (certificate renew) - Zertifikat widerrufen (certificate revoke) - OpenSSL-Befehlsgenerator Folgende RA-Portal API-Endpunkte werden Error 503 liefern: csr-upload, enroll, renew, revoke.
Der DFN hat einen neuen Zertifikat-Anbieter (harica.gr) beauftragt. Wir arbeiten an der Umstellung (Programmierung) des RA-Portals, sodass zunächst SSL- und später auch Client-Zertifikate über diesen Anbieter erstellt werden können. Die Umstellung für SSL-Zertifikate wird voraussichtlich 2-4 Wochen dauern. Wir bitten um Ihre Geduld. --- English version --- DFN has contracted an new Certification Authority (harica.gr). We are currently reprograming RA-Portal in order to make the issuance of SSL-Certificates over harica.gr possible. We estimate to be up and running in 2-4 weeks. Client-Certificates will follow.
Die Beantragung von SSL-Zertifikaten über das RA-Portal ist ab 07.02.2025 10:00 Uhr wieder möglich. Der neue Zertifikat-Anbieter ist Harica. - SSL-Zertifikat Ablaufzeit bleibt bei 1 Jahr - Erlaubte Schlüssellängen bleiben unverändert und sind RSA-2048, RSA-3072, RSA-4096, ECC-prime256v1 und ECC-secp384r1 - "Key Usages" (X509v3 extensions) bleiben unverändert und sind: X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication - z.Z. besteht eine Begrenzung auf 20 SANs pro Zertifikat.
Das Widerrufen von Zertifikaten des Zertifikat-Anbieters Sectigo ist wieder möglich: - einfach den Widerrufen-Button im RA-Portal betätigen - manueller Prozess Richtung Sectigo wird ausgelöst - innerhalb den nächsten 7 Tage wird das Zertifikat widerrufen sein - den Status kann man jederzeit im RA-Portal prüfen Status: Momentan gültig SN: <Seriennummer> Certificate Authority: Sectigo Ablauf: <Ablaufdatum>, <Uhrzeit> Widerruf angefragt: <Datum>, <Uhrzeit> (<Vorname Nachname>) Angefragt von: <Vorname Nachname> via API-Token/RA-Portal oder Status: Widerrufen SN: <Seriennummer> Certificate Authority: Sectigo Widerrufen: <Datum>, <Uhrzeit> Angefragt von: <Vorname Nachname> via API-Token/RA-Portal
Wir schließen diese Meldung und bitten Sie Neuheiten über Nutzerzertifikate unter der getrennten Meldung Ihttps://maintenance.itc.rwth-aachen.de/ticket/status/messages/84/show_ticket/9722 zu folgen.
---English Version below--- Heute Abend kam es gegen ca. 20:25 - 21:00 zu einem Performance-Tief des SSO-Service und wurde innerhalb dieser Zeit von der Fachabteilung geprüft. Das Problem ist behoben und schnelle Logins ohne Wartezeiten sind wieder möglich. ---English--- This evening around 20:25 - 21:00 there was a performance low in the SSO service and was checked by the specialist department during this time. The problem has been solved and fast logins without waiting times are possible again.
Aufgrund einer unvorhergesehenen Kündigung des aktuellen Zertifikat-Anbieters Sectigo wird es ab dem 10. Januar 2025 auf noch unbestimmte Zeit nicht mehr möglich sein, Zertifikate über das RA-Portal zu beantragen. Dies betrifft SSL- und Client-Zertifikate. Wir empfehlen Ihnen - Ihre SSL-Zertifikate im RA-Portal vorzeitig zu erneuern oder neue zu beantragen - Ihre Nutzerzertifikate aus der "alten" DFN-PKI Global vorzeitig im RA-Portal neue zu beantragen Diese Empfehlung gilt für alle Zertifikate, die vor dem 01. Juli 2025 ablaufen. Wir informieren alle Netzansprechpersonen in den Einrichtungen über das empfohlene Handeln zu SSL- und Client-Zertifikaten zusätzlich via E-Mail. Wir informieren alle betroffenen Personen mit Nutzerzertifikaten in der DFN-PKI Global über das empfohlene Handeln zusätzlich via E-Mail. --- English version --- Due to an unforeseen contract termination with our current Certification Aauthority (Sectigo), it will no longer be possible to apply for certificates via RA-Portal starting January 10, 2025 and for a currenty unknown period of time. This affects both SSL and client certificates. We recommend that you - either renew or apply for new SSL certificates in RA-Portal ahead of time - apply for new user certificates in RA-Portal ahead of time, should your certificate from the "old" DFN-PKI Global expire in the near future This recommendation applies to all certificates that expire before July 1, 2025. We will inform all network contacts persons at the institutions via e-mail, regarding the recommended action with concern to SSL and client certificates. We will inform all affected end users via e-mail about the recommended action regarding their user certificates.
Die Netzansprechpersonen in den Einrichtungen wurden am 22. November 2024 via E-Mail informiert. Die betroffenen Personen mit Nutzerzertifikaten in der DFN-PKI Global wurden am 27. November 2024 via E-Mail informiert. --- English version --- The network contacts in the institutions were informed by e-mail on November 22, 2024. The affected persons with user certificates in the DFN-PKI Global were informed by e-mail on November 27, 2024.
Am 16.12.2024 wurden 292 SSL-Zertifikate durch die RWTH Registrierungsstelle automatisiert erneuert. Diese wären vor dem 01.07.2025 ersatzlos abgelaufen. Die Mitglieder der jeweiligen Netzwerkansprechpartner-Gruppen wurden via E-Mail über die Ausstellung der Zertifikate benachrichtigt.