Hej!
Har någon lyckats sätta upp notifiering vid den händelse att en
certifikatbegäran eller delegation av domän blir avslagen?
Som det är nu har jag fått till det så att den som ansöker får mail vid
ansökan och godkännande, men inte vid avslag.
Jag behöver alltså maila manuellt om jag avslår en ansökan.
Jag har inte testat hur det ser ut vid enrollment-ansökan utan
ovanstående gäller för DRAO-ansökan.
Hälsningar,
Patrick Forsberg
Chalmers
Sectigo har nu lagt till en flagga man kan sätta på RAOs så att dessa
kan lägga till domäner utan att jag behöver göra Approve som MRAO.
Innan jag funderar på hur jag smidigast ska sätta den på örton RAOs vill
jag se att den funkar som tänkt. Så: är det någon av er som har
erfarenhet av systemet som i närtid (idag eller imorgon) tänker lägga
till en ytterligare domän? I så fall tala om vilken RAO-användare som
ska göra det, så ordnar jag flaggan och så ser vi hur det blir
annorlunda.
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Om ni som redan är med i systemet har kollegor som missat tidigare
tillfällen och tänkt vara med och lyssna på dagens ombordstigningsmöte,
så berätta för dem att vi håller till på
https://liu-se.zoom.us/j/67746903716?pwd=K3RlSzFnbEZDYllkK2pTRU9zWDdjZz09
Meeting ID: 677 4690 3716
Password: 471142
istället för mitt personliga möte.
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Vi har fått en del frågor om kedjecertifikaten, särskilt att några ser
ut att gå ut 2020-05-30. Jag har lagt till information om detta på
slutet av
https://wiki.sunet.se/display/TCS/SUNET+TCS+2020-+Information+for+administr…
och passat på att lägga till lite mer också:
What about the expiring certificates in the certificate chain?
Some of you may have noticed that the chain certificates we get from
Sectigo contains a certificate at the top with CN = AddTrust External CA
Root and an expiration on 2020-05-30. For an explanation of why this
should not cause problems for you, please see "Sectigo AddTrust External
CA Root Expiring May 30, 2020" on the Sectigo site.
You may also notice that the next level down in the chain is CN =
USERTrust RSA Certification Authority which also expires on 2020-05-30,
and that is the certificate that has signed the CN = GEANT OV RSA CA 4
certificate that in turn has signed the SSL certificate for your server.
That also seems bad, doesn't it? It turns out that certificate is there
to support the CN = AddTrust External CA Root "feature" and that there
is another version of CN = AddTrust External CA Root present in the root
store of the browsers (using the same key) which is valid until
2038-01-18, and that is the one that matters and makes the browser trust
the GEANT-branded CA certificate and therefore your server certificate.
The conclusion is that things will work after 2020-05-30 too.
Do we really need all those certificates in the chain?
No. You should be fine with only the GEANT-branded sub-CA certificate
(CN = GEANT OV RSA CA 4 or similar) configured as chain certificate in
your server.
Where can we check if our server sends the correct chain?
We recommend Qualys SSL Server Test which tests this and and a lot of
other useful things (most of them related to you server configuration,
not the certificates as such). For the chain specifically, look at the
"Chain issues" heading where you want to see "None" (if you have trimmed
the unnecessary certificates from the chain) or "Contains anchor" (if
you have kept the full set).
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
Testare, nypåstigna användare,
Erik Anderssom på UmU har uppmärksammat oss på att när man använder
typen GÉANT OV SSL så får man ett "bonusnamn" bland Subject Altenative
Names: ett certifikat för mail.test.example.org får också
www.mail.test.example.org.
Vi ser för tillfället inga konkreta säkerhetsproblem med detta som inte
kräver väldigt kreativ uppdelning av ansvar för olika namn/tjänster, men
det är likväl fel och fult.
Detta är felanmält till GÉANT som får ta det med Sectigo. Tills detta är
löst rekommenderar vi att ni använder GÉANT OV Multi-Domain (som inte
har denna "finess") även för certifikat med bara ett namn (lämna
extranamnsrutan tom). Ni kan också använda Customize-knappen under era SSL
Certificates-inställningar för organisationen för att slå av typen GÉANT
OV SSL så ingen väljer den av misstag.
--
Kent Engström, SUNET TCS
kent at nsc.liu.se, +46 13 28 4444
