Digital Certificates Service - Technical FAQ

Laatste update 20/01/2025

Onboarding:

Welke informatie is vereist voor de onboarding?
Wanneer wordt onze organisatie geonboard?

Harica Certificate Manager:

Hoe log ik in op de Harica Certificate Manager?
Hoe kan ik de rol Admin and Approver krijgen?
Kunnen we meldingen ontvangen?
Wat is het CAA DNS-record dat moet worden gebruikt voor Harica?
Hoe voer ik een domeinvalidatie uit voor alle (root)domeinen?
Kan ik domeinen die aan mijn organisatie zijn gekoppeld verwijderen?
Waar vind ik meer technische informatie over de interface?
Bij het wijzigen van rol- en/of validatorgroepen op de pagina Account Info worden de nieuwe waarden niet getoond na het opslaan
Waarom blijft certificaataanvraag Pending?

Features:

Hoe kunnen we ACME gebruiken?
Kunnen we een API gebruiken?
SAML support

Over certificaten:

Welke certificaten zijn beschikbaar bij Harica?
Wat zijn de subcategorieën van SSL-certificaten?
Kan ik OV-certificaten aanvragen?
Kunnen we nog Grid Certificate-equivalenten gebruiken bij Harica?
Kan ik een Personal/Client Certificaat aanvragen?
Kan ik een EV (Extended Validation) certificaat aanvragen?
Zijn Document Signing-certificaten beschikbaar via Harica?
Zijn Code Signing-certificaten beschikbaar?
Mijn servercertificaat is niet uitgegeven door een bekende certificaatautoriteit (CA). Ben ik iets vergeten?

Generieke certificaatgerelateerde informatie:

Wat is een PKI?
Wat is een CSR?
Zijn Unicode- of ASCII-tekenreeksen geldig in een CSR?
Hoe zit het met de sleutellengte?
Wat is een PKCS-12-bestand?
Wat zijn SHA-1, SHA-2, SHA-256, SHA-384 enz.?

Welke informatie is vereist voor de onboarding?

Om uw organisatie te onboarden hebben we enkele gegevens nodig:

Juridische naam van uw organisatie (zoals vermeld in de Kruispuntbank van Ondernemingen)
Ondernemingsnummer
E-mail alias voor meldingen
Primair domein, bij voorkeur gebruikt voor uw e-mail

Wanneer wordt onze organisatie geonboard?

Vanaf 14 januari 2025 beginnen we met de onboarding van de organisaties.

Dit zijn de stappen voor het onboarding proces:

Belnet zal de informatie voor uw organisatie toevoegen aan de Harica Certificate Manager
Harica doet een aantal basiscontroles en activeert uw organisatie (zonder organisatievalidatie!)
Uw admins kunnen zich registreren voor een nieuw account op https://cm.harica.gr (zie hieronder)
Als het e-mailadres overeenkomt met het opgegeven primaire domein, wordt u gekoppeld aan uw organisatie.
Als u na het inloggen niet aan uw organisatie bent gekoppeld, laat het ons dan weten zodat we dit handmatig kunnen doen
De eerste gebruiker van uw organisatie moet de Enterprise Admin rol aanvragen bij Belnet
Zodra u de Enterprise Admin rol heeft, kunt u domeinen toevoegen en domeinvalidatie voltooien
DV-certificaten zijn dan beschikbaar voor gevalideerde domeinen

Op verzoek zal Harica de organisatievalidatie uitvoeren. Zodra deze is voltooid, kunt u ook OV-certificaten aanvragen.

Meer informatie kunt u nalezen in de Enterprise Admin Guide.

Hoe log ik in op de Harica Certificate Manager?

Ga naar https://cm.harica.gr
De eerste keer moet u uw account registreren:
- Klik op 'Sign up'
- Geef het e-mailadres op, bij voorkeur binnen het opgegeven primaire domein
- Vul de verplichte velden in
- Controleer uw e-mail om de registratie van uw account te bevestigen
Log nu in met uw nieuw aangemaakte account
- Schakel 2 Factor Authenticatie in
- Klik rechtsboven op uw naam → Profile
- Schakel vervolgens "Two-Factor Authentication (2FA)" in.
- U kunt de TOTP-app van uw voorkeur gebruiken (bijv. Google Authenticator)
- Als uw Login gebruik maakt van het primaire domein, logt u in op uw bedrijfsaccount

Hoe kan ik de rol Admin and Approver krijgen?

Eerst moet u 2FA inschakelen op uw account
Vervolgens kan een andere admin of uw organisatie of Belnet de admin en/of approver rol aan u toewijzen

Meer informatie kunt u nalezen in de Enterprise Admin Guide en de Enterprise Approver Guide.

Kunnen we meldingen ontvangen?

Op dit moment worden alle meldingen (nieuwe aanvragen klaar voor goedkeuring, waarschuwingen voor het verlopen van certificaten, enz.) naar het aangeleverde e-mailadres gestuurd. We raden aan om hiervoor een e-mail alias te gebruiken, zodat u deze kunt doorsturen naar de benodigde gebruikers.

Wat is het CAA DNS-record dat moet worden gebruikt voor Harica?

Als u CAA DNS-records gebruikt voor uw domeinen om de uitgifte van certificaten te beperken tot bepaalde CA's, zorg er dan voor dat u het CAA-record voor Harica hebt:

yourdomain.be. 3600 IN CAA 0 issue "harica.gr"

Optioneel voor wildcardcertificaten:

yourdomain.be. 3600 IN CAA 0 issuewild "harica.gr"

Hoe voer ik een domeinvalidatie uit voor alle (root)domeinen?

Voordat u voor een domein een certificaat kan aanvragen, moet u het domein aan uw organisatie toevoegen en vervolgende valideren (DCV).

Een Enterprise Admin kan domeinvalidatie (DCV) uitvoeren via het menu Enterprise → Admin.

Meer informatie vindt u in de Enterprise Admin Guide

Kan ik domeinen die aan mijn organisatie zijn gekoppeld verwijderen?

Het is niet mogelijk om domeinen die aan uw organisatie zijn gekoppeld te verwijderen in de Harica portal, zelfs niet als u de Enterprise Admin rol heeft.

Om domeinen te verwijderen, gelieve een ticket te openen via de Belnet servicedesk. Wij sturen het verzoek door naar Harica.

Waar vind ik meer technische informatie over de interface?

Alle nodige informatie vindt u op: https://guides.harica.gr/

Bij het wijzigen van rol- en/of validatorgroepen op de pagina Account Info worden de nieuwe waarden niet getoond na het opslaan

Als u merkt dat na het bewerken van Account Info voor een Enterprise Admin/ de wijziging(en) die u heeft gemaakt niet wordt weergegeven.

Om correct te worden weergegeven, moet u het deelvenster Users verlaten, naar iets anders navigeren en teruggaan om de instellingen voor Account Info opnieuw te controleren. De informatie zou nu correct moeten worden weergegeven.

Waarom blijft certificaataanvraag Pending?

Elke certificaataanvraag moet steeds door een andere approver worden goedgekeurd. U kan uw eigen aanvraag dus niet zelf goedkeuren.

Daarom heeft elke organisatie minstens 2 approvers nodig.

Hoe kunnen we ACME gebruiken?

Harica biedt momenteel een beperkte ACME ondersteuning:

Enkel DV certificaten
Gebruikt geen pre-validatie van uw domeinen, dus bij elke aanvraag is een validatie nodig, via HTTP-01 of DNS-01 challenge.
EAB (External Account Binding) noodzakelijk, maar slecht 1 account zonder instellingen

Harica voorziet een uitgebreidere ACME ondersteuning, vermoedelijk in maart 2025.

Gelieve een ticket te openen via onze ServiceDesk om de ACME gegevens aan te vragen.

Hier een voorbeeld van hoe u ACME via certbot (op Linux) kan gebruiken:

Eerst registreert u het account op de server

certbot register --email <your_email_address> --agree-tos --server https://acme.harica.gr/TCS-DV/directory --eab-kid <your_eab_kid> --eab-hmac-key <your_hmac>

Vervolgens gebruikt u bij elke certbot call ‘--server …’ , bv om een nieuwe certificaat aan te vragen:

certbot certonly --apache --server https://acme.harica.gr/TCS-DV/directory -d test.belnet.be,newtest.belnet.be

Kunnen we een API gebruiken?

Momenteel is alleen de basis API beschikbaar: https://developer.harica.gr/

De Enterprise Admin API functie zal later beschikbaar zijn.

SAML support

Organisaties die ook Identity Providers in eduGAIN zijn, moeten de volgende attributen vrijgeven:

givenName
sn
email
edupersonTargetedID

en kunnen ook hetvolgende vrijgeven:

eduPersonPrimaryAffiliation
eduPersonPrincipalName (vereist door GEANT voor GRID Client Authentication Certificates)
eduPersonEntitlement (values TBD)

naar de volgende HARICA EntityIDs:

PRODUCTION
- “https://www.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/pki-grnet-sp”
STAGING:
- “https://cm-stg.harica.gr/simplesamlphp/module.php/saml/sp/metadata.php/harica-cm-stg-sp”
DEV:
- “https://cm-dev.harica.gr/saml/module.php/saml/sp/metadata.php/harica-cm-dev-sp”.

Gekende problemen:

Meerdere waarden in het mailattribuut worden momenteel niet ondersteund

Welke certificaten zijn beschikbaar bij Harica?

SSL certificaten
S/Mime (Client) certificaten

Wat zijn de subcategorieën van SSL-certificaten?

DV SSL
OV SSL (na validatie van de organisatie door HARICA)

Kan ik OV-certificaten aanvragen?

In eerste instantie zullen enkel DV (Domain Validated) certificaten beschikbaar zijn.

OV-certificaten kunnen pas aangevraagd worden wanneer uw organisatie gevalideerd werd door Harica. Dit zal naar verwachting pas vanaf eind januari (2025) zijn.

Belnet levert de OV ‘evidence’ aan Harica. Dit moet u dus niet meer zelf uploaden als Enterprise Admin.

Kunnen we nog Grid Certificate-equivalenten gebruiken bij Harica?

Nog na te vragen

Kan ik een Personal/Client Certificaat aanvragen?

Nog na te vragen

Kan ik een EV (Extended Validation) certificaat aanvragen?

EV certificaten zijn niet inbegrepen.

Zijn Document Signing-certificaten beschikbaar via Harica?

Nog na te vragen

Zijn Code Signing-certificaten beschikbaar?

Spoedig meer informatie

Mijn servercertificaat is niet uitgegeven door een bekende certificaatautoriteit (CA). Ben ik iets vergeten?

U bent mogelijk vergeten het vertrouwde keychain-bestand te downloaden en dit samen met uw certificaat op uw webserver te installeren.

Wat is een PKI?

PKI (Public Key Infrastructure) is een operationele invoering van een cryptografisch systeem met openbare sleutels dat certificaten, CA's, RA's enz. gebruikt. Het is bedoeld om verschillende partijen de digitale identiteit van personen of servers te laten verifiëren. Hoewel dit niet verplicht is, gebruikt PKI certificaten als basiscomponent.

Wat is een CSR?

Een CSR (Certificate Signing Request) is een document dat alle gegevens bevat die moeten worden ondertekend voordat een certificaatautoriteit een certificaat (openbare sleutel en identiteit) kan uitgeven.

U genereert de CSR bij voorkeur op uw server. Maar indien nodig kan u ook de online tool van Harica gebruiken: https://www.harica.gr/en/Tools/KeyGeneration

Zijn Unicode- of ASCII-tekenreeksen geldig in een CSR?

Ja, deze zijn beide geldig. Selecteer gewoon het type op de aanvraagpagina (Unicode is standaard ingesteld, maar u kunt ook ASCII gebruiken als u dit wenst).

Hoe zit het met de sleutellengte?

We raden aan een sleutellengte van minstens 2048 bits te gebruiken.

Wat is een PKCS-12-bestand?

Dit is een bestandsindeling die wordt gebruikt om certificaten als geheel (inclusief openbare en privésleutels) te verwerken. Dit bestandstype maakt het bijvoorbeeld mogelijk om certificaten van één machine naar een andere te verplaatsen.

Wat zijn SHA-1, SHA-2, SHA-256, SHA-384 enz.?

SHA staat voor 'Secure Hash Algorithm'. SHA's zijn onderverdeeld in verschillende families (momenteel SHA-1, SHA-2 en SHA-3). Dit zijn allemaal algoritmes die een hash berekenen van een bericht met een bepaalde lengte in gebruikte bits

SHA-1-hashes zijn 160 bits lang.
SHA-2-hashes zijn 224, 256, 384 of 512 bits lang (vandaar de namen SHA-256, SHA-384 enz).
SHA-3 is de volgende nieuwe NIST-standaard en zal SHA-2 vervangen. Hoewel SHA-3 bekend en gedocumenteerd is, is dit nog niet als standaard gepubliceerd. Dit algoritme wordt dus niet beschouwd als geschikt om in productieomgevingen te gebruiken.

Vond u deze FAQ nuttig?

Uw mening is belangrijk voor ons. Kunt u uitleggen wat er verbeterd moet worden om deze FAQ nuttiger of duidelijker te maken?

betrokken dienst

CAPTCHA

Welke code wordt hier afgebeeld?

Voer de tekens in die op de afbeelding worden getoond.

Deze vraag is om te controleren dat u een mens bent, om geautomatiseerde invoer (spam) te voorkomen.