Certifikater

Via DeiC kan institutioner købe servercertifikater og personlige certifikater fra en ekstern leverandør. DeiC tilbyder også hjælp med installering og fornyelser af certificater både fra kommercielle leverandører og Let's Encrypt.

Hvilke certifikater faciliterer DeiC og hvorfor

Certifikaters levetid bliver muligvis væsenligt kortere på sigt. Både Google og Apple har konkrete forslag om at sætte levetiden ned til henholdvis 90 dage og i Apples tilfælde helt ned til 10 dage i slutningen 2027.

Eftersom Google og Apple tilsammen sidder på langt størstedelen af browsermarkedet og begge mener at hverken certificate revocation list (CRL) eller Online Certificate Status Protocol (OCSP) fungerer efter hensigten, er det sandsynligt at levetiden på TLS certifikater er på vej markant ned.

Dette betyder at institutioner allerede nu bør stille spørgsmålet:

Har vi en automatiseringsstrategi for alle TLS-certifikater i hele vores organisation?

Svaret vil ofte involvere ACME - som gør det let at rekvirere certifikater til individuelle offentlige webservere. Rekvirering af stjernecertifikater eller certifikater til interne servere kræver via DNS-validering. Dette er mere indviklet. For at gøre det lettere og mere sikkert, har DeiC udviklet en ACME-DNS-tjeneste, som stilles til rådighed for institutioner på Forskningsnettet.

Certifikater via GÉANT

Via GÉANT / Trusted Certificate Service (TCS) tilbyder DeiC certifikater til forsknings- og uddannelsessektoren, udstedt af en kommerciel leverandør. GÉANT har indgået en aftale med HARICA, som certifikatmyndighed (CA). HARICA leverer certifikater via deres selvbetjeningsportal. Her kan der bestilles certifikater af flg. typer:

  • Domænevaliderede (DV) og organisationsvaliderede (OV) servercertificater
  • Kodesigneringscertifikater
  • Email-certifikater
  • Personlige certifikater

Aftalen dækker ikke certificater af typen Extended Validation (EV). Disse kan dog bestilles direkte hos HARICA udenom GÉANT/TCS.

Regler for TCS-certifikater

  1. Certifikaterne må kun bruges af forsknings- og uddannelsesinstitutioner og ikke i kommerciel sammenhæng.
  2. Institutionen skal underskrive en Trusted Certificate Service (TCS) Subscriber Agreement, der afspejler betingelserne, som HARICA stiller.
  3. Institutionen skal udpege en eller flere ansvarlige personer, som må bestille certifikater på institutionens vegne.
  4. DeiC verificerer institutionen og tildeler rettigheder til administratorer/brugere, som derefter direkte selv kan bestille servercertifikater.

Certifikater via Let's Encrypt

Let's Encrypt er en gratis, åben CA, drevet af den almennyttige organisation Internet Security Research Group (ISRG). Tjenestens certifikater er godkendt af samtlige browsere på markedet; den er hurtigt blevet meget populær og der er opstået en række nyttige værktøjer, som gør det nemt at automatisere rekvirering og fornyelse af standard servercertifikater til individuelle offentlige webservere.

Til de institutioner der benytter, eller ønsker at benytte gratis certifikater fra Let's Encrypt tilbyder DeiC konsulenthjælp til at komme i gang og med automatisering af fornyelser.

Certifikater via DeiCs ACME-DNS-tjeneste

DeiC stiller en egen tjeneste til rådighed, som gør det nemt og sikkert at oprette DNS 01 Challenge via Automatic Certificate Management Environment (ACME) - protokollen. Tjenesten kan benytte en hvilken som helst CA, der understøtter ACME, f.eks. Let's Encrypt og er tiltænkt institutioner, der vil automatisere certifikatudstedelse og -fornyelser for hele deres organisation inklusive stjernecertifikater og certifikater til interne netværk.

Priser

GÉANT TCS-certifikater

HARICA er blevet leverandør pr. 1 januar 2025. Prismodellen er under forhandling, men omkostningen er estimeret til at være sammenlignelig med tidligere.

Nuværende priser:

  • OV Enkeltcertifikat: kr. 410
  • OV Stjernecertifikat: kr. 500
  • OV Multidomænecertifikat: kr. 1.060
  • Kodesigneringscertifikat:
    • 1 år kr. 420
    • 2 år kr. 520
    • 3 år kr. 620
  • Personligt certifikat: Gratis under 10 stk., ellers 100 kr. pr. certifikat.

DeiCs ACME-DNS-tjeneste

ACME-DNS-tjenesten med DNS-01 challenge - validering er gratis at bruge for alle på Forskningsnettet.

Man kan frit vælge en CA der understøtter ACME protokollen og ACME-DNS-tjenesten til DNS-validering. Hvis man benytter en gratis CA, som Let's Encrypt, er certifikaterne også gratis.

DeiC tilbyder konsulenthjælp med implementering af løsningen for kr. 950 i timen.

Hvordan får man et certifikat gennem DeiC

Certifikater via HARICA

Log ind på selvbetjeningsportalen HARICA Cert Manager via din institution, ved at vælge Academic Login. Udsøg din institution og log ind med WAYF.

CERT Manager Login
Foto: DeiC
CERT Manager Search
Foto: DeiC

HARICA Cert Manager onboarding process er vist her.

CERT Manager Onboarding Process
Foto: DeiC

Du kan hente PDF'er, der beskriver workflow for de forskellige roller i onboardingprocessen her:

HARICA support og guides findes her på deres hjemmeside, mens dokumentation af deres API findes her.

Hvis du gerne vil gerne vil teste tjenesten uden at skulle betale, kan du bruge: HARICA staging service.

Certifikater via ACME og DeiCs ACME-DNS-tjeneste

Teknisk dokumentation kan findes på Codeberg.

DeiC tilbyder support og hjælp med at komme i gang.

Bemærk at selvom HARICA understøtter ACME protokollen, anbefaler DeIC for øjeblikket at bruge en af de store gratis tjenester - f.eks. Let’s Encrypt.

Kontaktinformation

Skriv til adressen scs-ra@deic.dk, hvis du har spørgsmål eller brug for hjælp.

Revideret
03 feb 2025

Relateret Indhold

Webinar for institutioner der allerede benytter OCRE
Få vigtig viden om forskellene mellem OCRE2020 og OCRE2024, hvilke skytjenester og platforme, der er tilgængelige, nye vilkår og rabatter, hvordan man køber ind på aftalerne og hvordan man migrerer en eksisterende aftale til OCRE2024.
view
OCRE skrevet med hvid tekst på lilla baggrund
Kilde: OCRE
31 jan 2025
Skytjenester under OCRE2024-aftalen – kom til webinar
3 forskellige webinarer klæder din institution på til at forstå og udnytte rammeaftalen, uanset om I er nye på OCRE-aftalen, eller om I er brugere under OCRE2000-aftalen og muligvis skal migrere til ny leverandør.
view
Webinar om OCRE2024 for forhandlere og institutioner
Få præsenteret det nye sæt af forhandlere af skytjenester under OCRE2024-aftalen. Hør om de enkelte tilbud, sortiment, vilkår, priser og få information om, hvordan man som institution kommer videre med tildeling af kontrakt under OCRE2024.
view
Webinar om OCRE2024 for nye institutioner
Er du nysgerrig på OCRE2024? Få mere at vide om, hvilke former for skytjenester de nye aftaler dækker, vilkår, rabatter, forhandlere, hvordan man bruger aftalerne, direkte tildeling og miniudbud.

view
billede af kontrolrum med 3 skærme på grøn baggrund
Foto: iStock
07 jan 2025
Nyt dashboard giver overblik over dit forbrug på Forskningsnettet og tilknyttede tjenester
Se både forbrug og afregning for din institution via det nye digitale dashboard.
view
09 dec 2024
Er eduVPN det rigtige valg?
Få inspiration og hands-on viden i denne video, hvor Markus Meschederu gør os klogere på, hvordan Leibniz-Supercomputing Centre har implementeret eduVPN til over 130.000 brugere med mere end 300.000 enheder.
view