Rechenzentrum
Behoben: GÉANT TCS: Aktuell können keine Server- und Userzertifikate erstellt werden | Currently it is not possible to create server and user certificates.
22. August 2023, von RRZ-ServiceLine
English version below
Update 18.09.2023 - BEHOBEN
Das Erstellen persönlicher Zertifikate ist nun wieder möglich. Eine Anleitung dazu ist unter folgendem Link zu finden:
https://www.rrz.uni-hamburg.de/services/sicherheit/pki/hilfe-fuer-persoenliche-zertifikate.htm
-
Update 18.09.2023 - RESOLVED
Creating personal certificates is now possible again. Instructions can be found at the following link:
https://www.rrz.uni-hamburg.de/services/sicherheit/pki/hilfe-fuer-persoenliche-zertifikate.htm
--
Update 14.09.2023 - 11:00 Uhr
Prinzipiell sollte jetzt auch das Erstellen persönlicher Zertifikate wieder möglich sein
Update 30.08.2023 - 11:00 Uhr
Die Ausstellung von Server-Zertifikaten ist wieder möglich. Wir informieren Sie an dieser Stelle, wenn auch persönliche Zertifikate wieder ausgestellt werden können.
The issuance of server certificates is possible again. We will inform you here when personal certificates can also be issued again
Update 23.08.2023 - 21:00 Uhr
Vor kurzem erreichte uns die Information, dass es beim Versuch, die UHH im Cert-Manager des DFN-Vereins in Vorbreitung auf die für den 28.08. avisierten Änderungen (siehe unten) entsprechend anzupassen, zu Problemen aufseiten der DFN-CERT Services GmbH gekommen ist. Darum können aktuell keine Zertifikate ausgestellt werden.
Wir informieren Sie an dieser Stelle, wenn die Probleme behoben wurden.
--
Update 14.09.2023 - 11:00 pm
In principle, it should now also be possible to create personal certificates again
Update 23.08.2023 - 09:00 pm
We were recently informed that DFN-CERT Services GmbH encountered problems when attempting to adjust the UHH in the DFN-Verein Cert Manager in preparation for the changes announced for August 28 (see below). Therefore, no certificates can be issued at the moment.
We will inform you here when the problems have been solved.
Voraussichtlich ab dem 28.08.2023 wird es beim GÉANT TCS zu einer Unterbrechung der Zertifikatsausstellung für Client-Zertifikate (für die S/MIME Signatur und Verschlüsselung von E-Mails) von unbekannter Dauer kommen.
Hintergrund sind umfängliche Änderungen und Anpassungen an die neuen S/MIME Baseline Requirements des Browser Forum, für die unser Dienstleister Sectigo mit einem Update der Management-Software die ersten technischen Voraussetzungen geschaffen hat, um nach dem Inkrafttreten der neuen S/MIME-BRs weiterhin Zertifikate für die E-Mail-Nutzung ausstellen zu können.
Neben diesen technischen Voraussetzungen gibt es allerdings absehbare weitere Probleme:
- Es wird nach Aussage von Sectigo für jede Organisation die Validierung eines "Organization Identifiers" vorausgesetzt, um ab 28.08.weiterhin Client-Zertifikate ausstellen zu können.
Der für uns sichtbare Teil des Prozesses ist so gestaltet, dass es nach Einschätzung des RRZ nicht möglich ist, dass das Sectigo Validierungsteam bis zu diesem Zeitpunkt alle Organization Identifier bestätigen konnte. Es ist auch unklar, wann beispielsweise die Universität Hamburg an der Reihe ist, von Sectigo neu validiert zu werden. - Als technisches Nebenproblem ist die Anpassung an die Shibboleth-Schnittstellen der Universitäten noch nicht vorgenommen worden. Die Anpassungen sollten laut Sectigo zum Termin fertig werden, allerdings erkennen die Kollegen vom der DFN-PKI, die hierzu im engen Austausch mit dem Dienstleister stehen, bislang noch keine nennenswerten Aktivitäten.
Diese verzögerte Vorgehensweise seitens des Dienstleisters ist sehr bedauerlich und unverständlich, da Sectigo einen Vorlauf seit Herbst 2022 für die erforderlichen Änderungen hatte.
Empfehlung:
Wir empfehlen, für dringend notwendige Client-Zertifikate, die Zeit bis zum von Sectigo genannten Stichtag (28.08., 9 Uhr UTC) oder alternativ die DFN-PKI Global bis zu deren Ende (End of businessday 29.08.) zu nutzen.
Zertifikate für Server (SSL-Zertifikate) sollen nicht von der Unterbrechung betroffen sein.
From August 28th, 2023, we are expecting an interruption of the certificate issuance for client certificates by GÉANT TCS of a duration that is difficult to predict.
The background is extensive changes and adjustments to the new S/MIME Baseline Requirements of the Browser Forum, which our service provider Sectigo must make in order to continue to be able to issue certificates.
In addition to these technical requirements, however, there are other foreseeable problems:
- According to Sectigo, for each organization theValidation of an " Organization Identifiers " is required to continue the issuance of client certificates past August 28th.
In our opinion, it is illusory that the Sectigo validation team could confirm all organization identifiers up to this point. It is also unclear when, for example, the University of Hamburg will have its turn to be re-validated by Sectigo. - As a technical side problem, the adaptation to the Shibboleth interfaces of the Universities has not yet been made. According to Sectigo, the adjustments should be ready by the deadline, but the colleagues from the DFN-PKI, who are in close contact with the service provider, have not yet identified any significant activities.
This delayed procedure on the part of the service provider is very regrettable and incomprehensible, since Sectigo had a lead time for the necessary changes since autumn 2022.
Recommendation:
For urgently needed client certificates, we recommend to apply for new certificates before the date specified by Sectigo (28 August, 9 a.m. UTC) or alternatively use the DFN-PKI Global interface a last time until its final shutdown (End of businessday 29.08.)
Certificates for servers (SSL certificates) should not be affected by the interruption.