TCS-administratörer,
detta angår er om er organisation utfärdar personliga certifikat
("vanliga" eller grid-varianter). Om så inte är fallet så kan ni
ignorera det här brevet.
Som vi förvarnat om tidigare, senast i mitt mejl 14/8, så är det
ändringar på gång i systemet på grund av krav från CA/B forum på
personliga certifikat från 1/9. Läs mer om detta i mitt tidigare mejl.
Jag (Kent) hade tänkt använda den här veckan för att experimentera med
det som kom in i SCM förra helgen, men hamnade istället akut på
sjukhus (ute nu, ingen akut fara med mig längre) så mina kollegor på
andra håll i Europa har fått testa utan mig. Jag har nu läst ikapp och
frågat runt och har en så god bild som jag kan få av vad som är på
gång.
På grund av detta och att vi uppmanat användare med utgående
certifikat att söka nya sådana fram till helgen, så har vi valt att
inte ändra något i SCM denna vecka som skulle kunna ställa till det
för detta. Vi börjar istället på måndag förmiddag med fixandet.
CERTIFIKATPROFILER
Det ska in två nya certifikatprofiler i SCM. Detta måste göras med
högsta behörigheten, så det gör vi. Vi åtkommer med namnen när vi ser
hur dessa slår igenom till https://cert-manager.com/customer/sunet/idp/clientgeant
osv.
ORGANISATIONSVALIDERING
Organisationer behöver omvalideras för att kunna utfärda personliga
certifikat av det nya slaget från och med måndag (då de gamla
profilerna inte längre fungerar).
Det ser ut som om man kan få det gjort i "bakgrunden" genom att
redigera och lägga in VAT-nummer i organisationsposten (det är det
enda nya fält som tillkommit), och då innebär det att servercert kan
fortsätta utfärdas medan detta sker. MEN: det finns raporter om att
ifall man redigerar två gånger, eller ifall man trycker på Revalidate,
eller kanske om man har otur(?), så hamnar man i en "vanlig" validering
som innebär att inga certifikat (inkl server) kan utfärdas innan den
är klar.
Därför: försök inte pilla med detta själva så vi riskerar att göra det
dubbelt. När ni är redo för detta (inklusive risken att det tar stopp
för servercert i timmar - dag om vi har otur) så skicka ett mejl till
tcs(a)sunet.se med ärenderad "Validera" följt av ert organisationsnamn,
så sätter vi igång. Inkludera ert VAT-nummer i mejlet, så slipper vi
surfa runt och leta (det står säkert i samband med
faktureringsinformation hos er, och baseras ju på organisationsnumret,
men ni får rota fram det själva).
Ni styr alltså risken själva - väger hur bråttom det är att komma
igång med personliga cert igen mot risken med eventuella servercert
som behöver utfärdas samtidigt men kan blockeras ett tag.
PERSONVALIDERING
Det sägs att personposten i SCM också behöver ha Validation Type satt
till High istället för Normal.
Den goda nyheten är att det nu ska vara ordnat så att detta sätts
automatiskt när nya personer skapas för att de använder vår
"clientgeant"-portal för att skaffa cert.
Den dåliga nyheten är att vi läst från de som provat att det ännu
inte verkar som om existerande personer uppdateras, och där har nästan
alla "normal" idag. Detta håller ju inte för drift, och vi har skickat
fråga via GEANT om detta men inte fått svar än.
Som en workaround bör ni dock manuellt kunna uppdatera enstaka
personer till validation type high och det ska vara OK om de inte
lagts upp på annat sätt än genom att de använt "clientgeant"-portalen.
PERSONLIGA GRID-CERTIFIKAT
Här saknar vi ordentlig information om dessa väntar på något som
Sectigo ska göra klart i SCM/clientgeant, om det ska göras något
särskilt av oss/er osv.
ÅTERKOMMER
Vi återkommer så snart vi kan när det som är dimhöljt ovan klarnar.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
TCS-administratörer,
detta rör personliga certifikat (både "vanliga" och grid-varianter).
CA/B Forum har bestämt sig för att reglera publikt betrodda personliga
certifikat också, med start från 1 september. Detta innebär ändringar
av regler för validering, subject osv.
För det särskilda som gäller för grid-certifikat, se tidigare brev 24
juli.
Sectigo jobbar på att få ändringar i SCM på plats, och har informerat
om att det kommer behövas ytterligare validering av information för
organisationer efter nästa uppdatering av SCM 19/8 för att kunna
utfärda de nya typerna av personliga certifikat. Vi återkommer när vi
har mer information om vad ni behöver göra och hur.
Sectigo har också meddelat att man från och med 28/8 (inte 1/9) inte
utfärdar den gamla typen av personliga certifikat.
Sectigo rekommenderar också att de som behöver personliga certifikat
framöver hämtar ut ett av existerande typ innan 28/8 för att minska
risken för problem vid förseningar. Vi håller med.
Vi kommer under morgondagen skicka individuella automatiska brev till
aktuella användare (till epostadressen som står i certifikatet) med
information om detta. De som redan fått motsvarande information om
grid-certifikat får inte nytt brev om dessa.
Vi återkommer med mer information när vi får det från Sectigo eller
GÉANT.
--
Kent Engström, SUNET TCS
kent.engstrom(a)liu.se, +46 13 28 4444
