TCS

Guía para administradores de TCS-g5

HCM - HARICA CertManager

Nota: Este documento es un trabajo en progreso sobre la administración de TCS-g5 y el uso del portal HCM de HARICA, se actualizará a medida que se agreguen funciones y se eliminen errores/limitaciones, y a medida que adquiramos más experiencia con el portal.

La presente guía está indicada solo para los usuarios con roles de administración en el portal HCM de HARICA. Si eres un usuario de la comunidad RedIRIS pero no tienes cuenta de administración en HCM, deberás contactar con tu institución para que te indiquen cómo solicitar certificados.

Tabla de contenido

HARICA

A finales de 2024, GÉANT firmó un nuevo contrato para la prestación del servicio TCS en su quinta generación (TCS-g5). La empresa elegida fue el proveedor HARICA (Hellenic Academic & Research Institutions Certification Authority), que forma parte de la red universitaria griega GUnet, y comenzó a dar el servicio, de forma oficial, a primeros de enero de 2025.

El encargo actual de GÉANT a HARICA es temporal, con el fin de garantizar una oferta de servicios continua en la situación actual. Estamos trabajando, también junto con GÉANT, para encontrar una solución permanente que no requiera más migraciones a corto plazo.

La funcionalidad actual de los sistemas de HARICA es suficiente para una prestación básica del servicio. Sin embargo, en este momento no es posible implementar todos los flujos de trabajo ofrecidos anteriormente en TCS-g4. HARICA está trabajando intensamente en la ampliación de los sistemas.

Inicialmente HARICA ofrece el portal HARICA CertManager, (lo llamaremos HCM a partir de ahora), donde RedIRIS añade las organizaciones, (Enterprises en HCM). Una vez los usuarios se autoregistran en HCM pueden recibir los roles necesarios para gestionar su Enterprise.

Obtención de ayuda

Estado del servicio

Actualmente, HARICA avisa a GÉANT cuando hay alguna incidencia con el servicio, GÉANT a RedIRIS y nosotros lo indicamos en nuestra web, además de enviarla a la lista de coordinación de administradores del servicio TCS-USER.

Ayuda desde RedIRIS

RedIRIS dispone de un servicio de coordinación basado en una lista de distribución tcs-user(a)listserv.rediris.es y de un sistema de gestión de incidencias donde podrá abrir un ticket escribiendo a tcs(a)rediris.es después de asegurarse de que este documento no contenga la respuesta a su pregunta o una solución a su problema.

Notas:

  • Se recomienda no escribir directamente a las direcciones de las personas que gestionan el servicio y utilizar, en su lugar, el gestor de incidencias tcs(a)rediris.es.
  • Si su pregunta se refiere a un problema concreto, asegúrese de incluir información suficiente que pueda utilizarse para la resolución del problema, por ejemplo:
    • ¿Qué usuario de HCM hizo qué?
    • ¿A qué solicitud de certificado se refiere (o a qué dominio, o a qué usuario, o...)?
    • ¿Qué esperaba que sucediera?
    • ¿Qué sucedió en su lugar?
    • ¿Qué mensajes recibió del portal?

Ayuda del equipo de soporte de HARICA

Si tiene alguna duda no resuelta en esta guía, en la web de TCS o en los mensajes enviados a TCS-USER, puede contactar con el equipo de soporte de HARICA escribiendo un mail a support-tcs(a)harica.gr

Documentación de HARICA

Aunque HARICA ha preparado los siguientes documentos iniciales para el servicio TCS, le recomendamos que lea ambién toda esta página, ya que pretendemos que con el tiempo sea más completa que los documentos PDF:

Diferencias entre TCS-g5 (HARICA) y TCS-g4 (Sectigo)

Nuevo proveedor, nueva interfaz web

El Gestor de Certificados de HARICA, por supuesto, se ve diferente al Gestor de Certificados de Sectigo. Todos estamos utilizando la misma URL para el portal.

El contenedor de tu organización ahora se llama "Enterprise"

El contenedor que agrupa los detalles de una organización junto con el conjunto de dominios y certificados que le pertenecen ahora se llama Enterprise en HCM, en lugar de Organization (como en el SCM de TCS-g4) o Division (como anteriormente en DigiCert).

Si eres administrador en este nivel, ahora se te denomina Enterprise Admin (EA para abreviar, un rol aproximadamente equivalente al de RAO en SCM).

Sin "Departamentos"

No existe un equivalente directo para el nivel Department que existía debajo de Organization en SCM, y, por lo tanto, no hay un rol correspondiente a DRAO.

Nota: es posible que en el futuro se implementen formas de replicar esto. Por favor, se recomienda no intentar recrearlo usando Subunits u otras funciones en la interfaz de HCM, salvo que desde RedIRIS se indique.

Los usuarios que no son administradores vuelven a estar disponibles

HCM permite que las personas creen usuarios que se asocien a tu organización mediante la coincidencia de dominio en la dirección de correo electrónico. Estos usuarios comienzan sin privilegios en el sistema (no pueden aprobar certificados, agregar dominios, etc.), pero pueden solicitar certificados. Este modelo es similar al que teníamos con DigiCert (en Sectigo, solo existían usuarios administradores de distintos niveles).

No puedes aprobar tus propias solicitudes

Un usuario no puede aprobar sus propias solicitudes, independientemente de los privilegios que tenga en el sistema. Es necesario que un usuario solicite un certificado y otro usuario (con el rol de Enterprise Approver, EAP para abreviar) lo apruebe.

Diferentes tipos de certificados

Desde el inicio del servicio, antes de que se complete la validación de tu organización, puedes obtener:

  • Certificado de servidor DV
  • Certificado S/MIME (solo para correo electrónico)

Una vez completada la validación de la organización, también puedes obtener:

  • Certificado de servidor OV
  • Certificado S/MIME IV + OV (contiene información personal y de la organización)

Notas:

  • El certificado de servidor EV no está incluido en el contrato.
  • Los certificados de servidor y los certificados de autenticación para uso en la grid estarán disponibles más adelante.
  • Otros tipos de certificados, como los de firma de código, deberían estar disponibles más adelante con un costo por certificado.

Notificaciones menos flexibles

No puedes personalizar las notificaciones como en TCS-g4. Desde el inicio, una única dirección de correo electrónico por organización recibirá todas las notificaciones sobre nuevas solicitudes, validaciones próximas a expirar, etc.

Usuarios

HCM permite que las personas creen usuarios que se asocien a su organización mediante la coincidencia de su dominio en la dirección de correo electrónico.

Alta de usuario en HCM

Para crear una cuenta en el portal HCM, solo es necesario acceder a dicho portar y registrarse.

Estos usuarios comienzan sin privilegios en el sistema (no pueden aprobar certificados, agregar dominios, etc.), pero pueden solicitar certificados. Este modelo es similar al que teníamos en TCS-g3 con DigiCert (en TCS-g4, solo existían usuarios administradores de distintos niveles)

Baja de usuario de HCM

Para eliminar una cuenta de usuario del portal HCM, es necesario que el usuario escriba al servicio de soporte de HARICA solicitando la baja.

Roles

La plataforma HCM dispone, además, de varios tipos de roles de administración que pueden ser asignados a los usuarios:

Rol de administración Descripción
EM Enterprise Manager Rol para la administrador de la NREN
EA Enterprise Admin Rol para la administración de una Enterprise
EAP Enterprise Approver Rol para aprobar solicitudes de certificado

RedIRIS asignará inicialmente un EA por cada organización, y posteriormente, dicho EA será el encargado de asignar permisos de EA o EAP a los usuarios de su institución que así lo necesiten.

Enterprise Manager (EM)

Es el rol de superusuario a nivel de RedIRIS como NREN, que puede trabajar con todas las enterprises (organizaciones), dominios, certificados,...

Los usuarios con el rol EM tienen las siguientes responsabilidades:

  • Adición de nuevas enterprises al portal HCM
  • Adición del rol Enterprise Admin al primer usuario designado como EA para cada enterprise
  • Soporte a los EA sobre el uso del portal HCM

Enterprise Admin (EA)

Este rol permite la administrador de una Enterprise, y sus responsabilidades son:

  • Adición del rol EA a otros usuarios de la enterprise
  • Adición de dominios para la enterprise
  • Adición de evidencias de identidad de la organización para la validación OV
  • Asignación del rol Enterprise Approver (TLS-S/MIME) a otros usuarios dentro de su enterprise
  • Inicio de validaciones DCV para su enterprise
  • Solicitud de certificados S/MIME en masa para sus usuarios
  • Gestión de todas las solicitudes de certificado
  • Información a sus administradores de los temas discutidos en la lista de coordinación TCS-USER
  • Formación y soporte sobre HCM a los usuarios de su organización
  • Contacto con el servicio de asistencia/validación de HARICA: si surge un problema.

Nota:

  • Es muy conveniente que exista más de un usuario con el rol EA por temas de backup.

Enterprise Approvers (EAP)

Las responsabilidades de los usuarios con el rol Enterprise Approver son:

  • Revisar que las solicitudes vienen de usuarios autorizados de la propia organización
  • Comprobar que las solicitudes de certificado traen el CN y los FQDNs del campo SAN correctamente rellenos y no traen FQDNs de dominios que no pertenecen a la organización
  • Aprobar solicitudes de certificados TLS de servidor
  • Aprobar solicitudes de certificados S/MIME
  • Gestión de todas las solicitudes de certificado

Nota:

  • Un usuario puede tener los roles EA y EAP, pero solo podrá aprobar las solicitudes de otros usuarios.
  • Dado que, por ahora, HCM permite que cualquier usuario pueda solicitar certificados bajo cualquier dominio, es tarea del EAP revisar muy bien las solicitudes que le lleguen para ver que tanto el CN como los diferentes FQDNs que estén en el campo Subject Alternative Names sean de su institución, y que el solicitante es una persona autorizada de la institución para poder solicitar certificados.

Elevar privilegios de usuarios

Como Enterprise Admin, se pueden otorgar a otros usuarios roles con más privilegios que los usuarios normales (quienes solo pueden solicitar certificados).

Pasos para elevar privilegios a un usuario

  1. El usuario debe crear una cuenta en el sistema (ver instrucciones previas).

  2. El usuario debe habilitar la autenticación de dos factores en su página de perfil de HCM.

    Esto se encuentra en el menú de la esquina superior derecha, donde aparece su nombre, bajo la sección Two-Factor Authentication (2FA).

  3. Como EA, acceder a EnterpriseAdmin y seleccionar la pestaña Users (ubicada en la parte superior, entre Enterprises y Certificates).

  4. Buscar y seleccionar el usuario en la lista (solo se mostrarán los usuarios con correos electrónicos bajo los dominios de la organización).

Notas:

  • La lista no mostrará todos los usuarios (solo los primeros 20 aproximadamente)
  • Para cargar más usuarios, hay que utilizar la flecha hacia abajo, o usar la función de filtro
  • Hay que tener en cuenta que la barra de búsqueda solo busca entre los usuarios que ya están visibles

Asignación de roles

En el panel del usuario seleccionado, ir a la pestaña Account info y asigna los roles necesarios:

  • Enterprise Admin: Otorga los mismos permisos que tienes (gestionar dominios, validaciones, usuarios, etc.).
  • Enterprise Approver: Permite aprobar solicitudes de certificados.
    Se pueden asignar permisos separados para certificados SSL (servidor) y S/MIME.
    Nota: Este rol es independiente de Enterprise Admin. Un usuario puede tener ambos roles si se considera necesario.

Para finalizar la asignación de roles:

  • La función Manage Groups permite agregar el alias de la Enterprise a los Validator groups del usuario (si no está allí ya, como ocurre con el primer Enterprise Admin).
  • Hay que hacer clic en el botón "Save" para guardar los cambios.

Nota:

  • Si después de guardar los cambios, los roles asignados no aparecen correctamente en la pestaña Account info, sal de la pestaña "Users", accede a otra sección y luego regresa para verificar. La información debería actualizarse correctamente.

Organizaciones = Enterprises

El contenedor que agrupa los detalles de una organización junto con el conjunto de dominios y certificados que le pertenecen, ahora se llama Enterprise en HCM, en lugar de Organization (como en el SCM de TCS-g4) o Division (como anteriormente en DigiCert).

RedIRIS creará una Enterprise por cada organización que tenga entidad legal y cumpla con los requisitos para poder estar dada de alta en el servicio TCS-g5.

Alta de una organización

El alta de una organización en el portal SCM es realizada por el personal de RedIRIS.

Validación OV de la organización

Aunque los certificados pueden ser emitidos con validación de dominio (DV) sin contener otra información de la organización, puede haber casos en los que sea necesario un certificado OV.

Para llevar a cabo una validación organizacional (OV), hay que proporcionar evidencias a HARICA que demuestren la existencia de la organización.

La idea es generar un pequeño documento PDF que contenga una primera página con un texto que explique el tipo de organización que se pretende validar, y cómo realizar la consulta al registro oficial donde estén los datos de la organización (nombre, datos postales, teléfono, etc). Y una segunda página, que contenga una captura de pantalla de la web del registro. Con eso ayudamos a agilizar la tarea HARICA.

A continuación mostramos algunos de los directorios donde podríais encontrar la fichas de vuestra organización:

Notas:

  • En caso de no encontrar la organización en ninguno de los directorios, o de encontrar alguna diferencia en ellos, se recomienda tomar las medidas oportunar para dar de alta o actualizar los datos de la organización (Nombre, datos postales, teléfono,...), y así evitar que HARICA tenga problemas a la hora de realizar la validación.
  • Mientras HARICA no finalice la validación OV, no se podrán solicitar certificados OV, y si se intenta, no se podrán validar y quedarán en estado pendiente de validación.

El proceso para el envío de la información es el siguiente:

  • Seleccione EnterpriseAdmin en CertManager, y luego la pestaña Enterprises
  • Seleccione su propia organización
  • Seleccione su propia organización nuevamente en la lista que se abre Validción OV
  • En el cuadro de diálogo de detalles que aparece, seleccione el icono de documento en la parte superior derecha, y seleccione Select file en la parte de Validity OV Validción OV
  • Cargue el documento que desee enviar y envíelo usando el botón "Upload".
  • Posteriormente es recomendable informar a HARICA por correo electrónico support-tcs(a)harica.gr indicando que ha subido un documento para iniciar la validación OV de la organización (y el nombre de su organización)

Departamentos

Actualmente no hay mecanismos disponibles para mapear estructuras departamentales. HARICA está trabajando en un concepto llamado "Subunit", pero como muy pronto estará disponible en la primavera de 2025.

El botón visible "Create subunit" en la vista detallada de su propia organización actualmente no tiene función.

Dominios

Antes de poder solicitar certificados es necesario dar de alta los dominios bajo los cuales se solicitarán los mismos y realizar su validación DCV.

Agregar un registro CAA en el DNS para el dominio si es necesario

Si no estás utilizando registros CAA para limitar qué Autoridades de Certificación pueden emitir certificados para un dominio, no necesitas agregar nada para HARICA.

Por otro lado, si actualmente estás utilizando registros CAA en el DNS para especificar qué Autoridades de Certificación están permitidas para un dominio, debes asegurarte de que exista un registro CAA que permita harica.gr, además de los que ya tienes configurados.

Se recomienda verificar con herramientas del tipo dig web interface, añadiendo los dominios a comprobar y seleccionando "CAA".

Alta de dominios

El portal HCM requiere que las altas de los dominios se realicen enviando un fichero CSV que contenga cada dominio en una línea. Uno de los EAs podrá realizar esta tarea accediendo a la ficha de su organización (Enterprise → Admin) seleccionando la organización y posteriormente pulsando sobre el icono del globo del mundo que aparece en la parte superior derecha.

HARICA domain add

Es necesario subir un fichero formato "CSV" con una cabecera llamada "dominio" y con cada dominio en una línea. Tenga en cuenta que el dominio principal que ya añadió RedIRIS cuando dio de alta la organización no debe añadirse al fichero CSV.

Por ejemplo si la organización ya tenía el dominio prueba.es y desea añadir prueba.com y prueba.edu deberá generar un fichero CSV como el siguiente:

dominio
prueba.com
prueba.edu

Después de cargar los dominios, se recibirá una confirmación por correo electrónico pero los dominios no serán usables hasta que HARICA realice una revisión manual de los mismos.

Es posible almacenar un dominio en la organización A y un subdominio del mismo en la organización B, pero no será posible utilizar el mismo dominio en varias organizaciones.

Validación DCV del dominio

Después de la aprobación, se debe iniciar la validación del dominio. Para hacer esto, un EA debe seleccionar la subpestaña Domains bajo la pestaña Enterprise después de seleccionar la configuración.

Los métodos disponibles son DCV/DNS y DCV/email.

NOTA:

  • Asegúrese de no tener registros CAA en su zona DNS que prohiban a HARICA emitir certificados para su dominio. Si ese es el caso, la validación del dominio fallará. Es posible no tener registros CAA, pero si se usa se deberá incorporar a "harica.gr".

DCV/CNAME

Una vez seleccionada esta opción, HARICA proporconará unas instrucciones con la cadena que debe añadir en su DNS.

Hay que incorporar la cadena propuesta al registro correspondiente en el DNS y verificar que se ha propagado correctamente (muy importante),

Para comprobar que se han propagado bien los valores de los registros CNAME y CAA puede utilizarse dig web interface añadiendo los dominios a comprobar y seleccionando "CAA" y "CNAME" en el desplegable "Type". También puede utilizar NsLookup.info.

DCV/Email

Si selecciona este método DCV para la validación del dominio "prueba.es", deberá seleccionar una de las siguientes direcciones de correo

  • admin@prueba.es
  • administrator@prueba.es
  • hostmaster@prueba.es
  • postmaster@prueba.es
  • webmaster@prueba.es

Al validar el dominio, se solicita la dirección de correo electrónico de una persona X que tenga cuenta en el portal HCM, luego se envía un enlace a una de las direcciones genéricas hostmaster@, etc., que posteriormente deberá ser accedido por la persona X teniendo iniciada previamente sesión en HCM.

Revalidación anual DCV del dominio

La validación DCV de un dominio debe realizarse tras añadir el dominio y luego, anualmente.

Subdominios

Los subdominios (p. ej. departmento.prueba.es) generalmente no tienen que ser añadidos al HCM si el dominio principal prueba.es ya ha sido añadido en la propia organización.

Sin embargo, es posible almacenar un dominio base (prueba.es) en la organización A y un subdominio de la misma (b.prueba.es) en la organización B. Tanto el dominio base como el subdominio deben ser validados independientemente entre sí por las instituciones asignadas.

Eliminación de dominios

El portal HCM no permite que los EA puedan eliminar dominios.

Por ello, el procedimiento para la eliminación de dominios consiste en la apertura de una incidencia a HARICA, enviando un correo electrónico a support-tcs(a)harica.gr donde se indique el dominio o la lista de dominios que se desean eliminar.

Certificados

CAs de TCS

Aquí puede encontrar las CAs del servicio TCS

Perfiles de certificados disponibles

Aquí puede encontrar los perfiles de certificados disponibles en el servicio TCS.

¿Qué tipo de certificado necesito?

GÉANT comenta en su wiki What Type of Certificate Do I Need?, que os dejamos traducido al castellano:

Los certificados de Validación de Dominio (DV), Validación de Organización (OV) y Validación Extendida (EV) fueron diseñados para ofrecer distintos niveles de confianza, ya que la Autoridad Certificadora realiza verificaciones más estrictas sobre la organización que solicita el certificado en cada nivel. Anteriormente, los navegadores indicaban estos niveles en la barra de direcciones para que los usuarios pudieran tomar decisiones en función del nivel de seguridad. Sin embargo, se ha demostrado que confiar en el conocimiento técnico del usuario para evaluar estos niveles no es efectivo, por lo que esta información ya no se muestra de manera destacada.

Desde el punto de vista de la seguridad en la encriptación, los certificados DV, OV y EV son indistinguibles si utilizan el mismo tamaño de clave y algoritmo de cifrado. En la mayoría de los navegadores actuales, la diferencia entre estos certificados no es fácilmente visible a menos que el usuario revise los detalles del certificado en profundidad. Además, los niveles más altos de validación dificultan la automatización, y dado que el Foro CA/B sigue debatiendo sobre cambios en la validez de los certificados, la automatización se ha vuelto esencial para todas las organizaciones.

Para la mayoría de los casos de uso, un certificado DV será suficiente. Puede haber situaciones o requisitos específicos que exijan certificados OV o EV, los cuales aún pueden obtenerse a través de TCS (con un costo adicional para los EV). No obstante, recomendamos utilizar DV en la mayoría de las circunstancias.

Emisión de certificados

Actualment, los certificados SSL pueden ser solicitados por usuarios que dispongan de una cuenta en el portal HCM. La cuenta puede ser autocreada por el propio usuario.

Para certificados personales S/MIME, se está trabajando en que puedan solicitarse certificados sin necesidad de tener cuenta en HCM.

Podrán solicitarse certificados SSL de servidor utilizando ACME, pero dicha opción todavía no está disponible. Está planificado para principios de abril de 2025.

Certificados y servicios de pago

El servicio TCS ofrece una serie de perfiles de certificados sin costo para el usuario, pero el portal HCM permite que los usuarios tengan la opción de solicitar certificados o servicios que están sujetos a un cargo.

Si se selecciona un perfil no soportado en TCS, el pedido siempre termina de tal manera que el propio usuario tiene que llevar a cabo un proceso de pago con una tarjeta de crédito antes de iniciar cualquier proceso adicional.

Certificados de servidor

Solicitud de certificados

Un usuario puede realizar la solicitud accediendo a HCM y pulsando sobre el elemento "Server" del menú de la izquierda. Una vez introducido una especie de alias para identificar la solicitud y el FQDN, se le presentan 3 opciones:

  • Domain-only (DV): Certificados con validación de dominio pero sin datos de la organización.
  • For enterprises or organizations (OV): Certificados con datos de organizaciones. Solo disponible cuando se ha realizado previamente la validación OV.
  • For enterprises or organizations (EV): Este tipo de perfil no está dentro de TCS y es de pago. Como GÉANT ha comentado anteriormente en la sección ¿Qué tipo de certificado necesito?, desde el punto de vista de la seguridad en la encriptación, los certificados DV, OV y EV son indistinguibles si utilizan el mismo tamaño de clave y algoritmo de cifrado.

Notas:

  • Para la generación de la clave privada y de la CSR, recomenadamos la utilización de la herramienta tcs-genCSR.sh que puede descargar desde la zona de utilidades.
  • La creación de claves de 4096 bits en el navegador a veces da error.
  • El número de SubjectAlternativeNames está actualmente en 20 limitado. HARICA es consciente de que se necesita ampliar esa cantidad y están trabajando en ello.
  • Debido a un requisito del CAB/Forum, ciertos nombres de servidor están marcados como aplicaciones de alto riesgo y no deben utilizarse. Por ejemplo, nombres conocidos como google, microsoft o incluso haricatest no deberían utilizarse. Para reducir el esfuerzo en el lado de HARICA, pedimos que no se experimente con la palabra clave harica.

Aprobación de solicitud de certificado

Principio de los cuatro ojos

Los certificados de servidor siguen el modelo de seguridad de los cuatro ojos: el mismo usuario que solicita el certificado no puede aprobarlo. Siempre será necesario un usuario con el rol EAP diferente al que solicita el certificado, incluso aunque el usuario que solicita el certificado tenga el rol de EAP.

Aprobación

El EAP puede ver la lista de solicitudes pendientes a través de AdminSSL Request. Sobre el icono Show details además de cada solicitud, se ve y se aprueba. Para su aprobación, primero se debe añadir un texto en el campo Message en el cuadro de diálogo antes de que se pueda presionar el botón Accept. HARICA cert approve

Notas:

  • Si la solicitud de certificado no es aprobada por un EAP, no llegará a HARICA para que sea emitido el certificado.
  • Los botones Open File y Choose File no file chosen no sirven para nada.

Descarga de un certificado

El solicitante puede descargar el certificado a través de My Dashboard. Para hacer esto, el icono de descarga debe seleccionarse junto al certificado. Con el botón PEM bundle en el cuadro de diálogo posterior se obtiene un archivo que se puede utilizar directamente para servidores web como Apache o nginx.

HARICA cert download

Notas:

  • El EAP no tiene disponible el botón PEM bundle bajo EnterpriseSSL Certificates. Solo tiene disponibles PEM, DER, PKCS#7.
  • Si por alguna razón no tiene acceso al portal HCM y necesita descargar el certificado, puede hacerlo accediendo a alguno de los registros públicos de transparencia en los certificados.
  • Para crear un PEM bundle para Apache o nginx desde un fichero en formato PKCS#7 file, se puede utilizar el siguiente comando:

    openssl pkcs7 -in Cert_chain.p7b -print_certs > Cert_pem_bundle.pem

Certificados bajo dominios con resolución privada

Para emitir un certificado para un servidor en una zona privada del DNS, es necesario eliminar el registro NS correspondiente en la zona pública.

Por ejemplo, si la zona privada es dominioprivado.domain.es, para emitir un certificado para server.dominioprivado.domain.es, hay que asegurarse de que el registro NS de dominioprivado.domain.es no esté publicado en la zona pública del DNS.

Nota:

  • No hay que dar de alta el dominio privado dominioprivado.domain.es en el HCM, porque si se hace hay que validarlo, y será imposible si es privado.

Certificados para una dirección IP pública

Actualmente HARICA está trabajando en que se puedan solicitar certificados para una IP pública.

Automatización de la gestión de certificados (ACME)

El protocolo ACME permite comunicar con la CA directamente desde un servidor y sirve para la obtención e instalación automática de los certificados SSL/TLS. Un cliente ACME será capaz de instalar el certificado en el servidor de manera que no se tenga que hacer otra cosa.

En principio, HARICA ya es compatible con ACME. Sin embargo, esta característica actualmente no está disponible en una forma que sea adecuada para uso regular. Según han comentado a GÉANT, se podrán solicitar certificados SSL de servidor utilizando ACME para principios de abril de 2025.

Certificados personales S/MIME

Solicitud por un usuario

Los usuarios registrados pueden iniciar el proceso de solicitud de certificados personales S/MIME seleccionando el elemento Email desde en el menú vertical izquierdo.

Los siguientes tipos de certificados S/MIME están disponibles:

  • Email-only:

    El certificado solo contiene la dirección de correo electrónico. Para su obtención solo se necesita resolver un desafío que llega por correo a la dirección de email. No se requieren más procesos de aprobación.

  • For individuals or sole proprietorships (IV): No recomendado

    Para personas individuales con nombres y apellidos validados sin Información organizacional. Tiene costo y no le vemos interés dentro de nuestro ámbito.

  • For enterprises or organizations (OV):

    Certificados con dirección de correo electrónico y nombre de la organización. Adecuado para certificados de grupo. Tienen costo.

  • For enterprises or organizations (IV+OV): No recomendado en este momento

    Certificados para personas con nombres y apellidos validados e información organizacional. Se requiere la aprobación de un aprobador empresarial. En el proceso de solicitud, se realizan llamadas para cargar copias de tarjetas de identidad. Por ahora desaconsejamos el uso activo de esta ruta de aplicación en esta fase inicial.

El portal HCM crea un par de claves durante el proceso de solicitud. El usuario recibe un archivo PKCS #12 para descargar.

Nota:

  • HARICA está preparando la emisión de certificados S/MIME a través de un portal con autenticación federada.

Solicitud por un EA

Un Enterprise Approver tiene la opción de cargar un archivo CSV con direcciones de correo, nombres personales y otros parámetros para crear grandes cantidades de certificados S/MIME en un solo paso sin la interacción del usuario.

Se pueden especificar hasta tres direcciones de correo por cada certificado.

El portal HCM crea archivos PKCS #12 basados en el archivo CSV con claves privadas y certificados, que luego se descargan directamente desde el Enterprise Approver. Los archivos PKCS #12 están protegidos con frases de contraseña que se pasaron en el archivo CSV.

El proceso está disponible desde AdminEnterprisesBulk CertificatesS /MIME, presionando el botón Start here. Se puede descargar un archivo CSV de ejemplo.

Nota:

  • HARICA está trabajando en una versión en la que se puede pasar una CSR, y así la clave no es generada por HARICA.

Certificados de firma de código

Los certificados de firma de código no están incluidos en el servicio TCS que proporciona HARICA, según se indica en el TCS 2025 FAQ de GÉANT:

"Los certificados EV NO están incluidos en la oferta de HARICA TCS, ya que consideramos que este tipo de certificado no tiene suficiente valor como opción predeterminada. No obstante, es posible comprar de forma individual estos certificados (EV TLS) y otros tipos de certificados (Firma de Código, Firmas/Sellos Electrónicos Cualificados, QWACs), así como servicios de firma remota, si se requieren para casos de uso específicos."

Servicio de notificaciones

Pendiente

Configuración SAML

Pendiente

Más información