====== Služba TCS v novém kabátu ====== //Poslední aktualizace stránky byla provedena 3. 9. 2025 v 10.17.// ===== Současná situace ===== Náš portál [[https://tcs.cesnet.cz/|tcs.cesnet.cz]] je již **zkušebně spuštěn**, ale má řadu **omezení**, která aktualizujeme na [[cs:/|hlavní stránce]].\\ Službu TCS nám poskytuje sdružení GÉANT, CESNET ji pouze zprostředkovává. Externí dodavatel TCS certifikátů, společnost Sectigo, oznámil, že současnou smlouvu ukončí k 10. lednu 2025, přestože je řádně uhrazena až do konce dubna. Náhradu zajistil GÉANT podpisem smlouvy s řeckou akademickou CA [[https://harica.gr|HARICA]]. ===== Často Kladené Dotazy (ČKD) ===== **D:** Mám u své identity více než tři e-mailové adresy a v novém certifikátu vidím pouze první tři. Je to v pořádku?\\ **O:** Ano, to je limit daný CA a nepůjde navýšit. Pracujeme na tom, aby to bylo zřejmé při žádosti certifikátu a bylo možné tři adresy, které se v žádosti použijí. **D:** Potřebuji vydat serverový certifikát s více, než 100 DNS jmény. Je to možné?\\ **O:** Bohužel nikoliv. CA má nastavený limit na 100 DNS jmen, který pravděpodobně už nebude navyšovat. Je nutné certifikát rozdělit na několik maximálně stojmenných. **D:** Měl(a) jsem si obnovit certifikát, i když jsem si jej vydal(a) nedávno? \\ **O:** Pokud je certifikát platný až do druhého pololetí 2025 (nebo u osobních certifikátů i déle), není to nutné. Certifikáty expirující v první polovině roku 2025 jsme důrazně doporučovali obnovit. Nyní je možné omezené vydání u nového vydavatele, ovšem zatím bez záruky úspěchu. **D:** Jaká bude délka platnosti certifikátů u nového dodavatele? \\ **O:** Na zkracování zatím nedošlo, zkracovat se tedy nejspíš bude až v září letošního roku. **D:** Budou se měnit u nové služby kořenová a mezilehlé autority? \\ **O:** Ano, v řetězu CA je u nového dodavatele změna. Více viz [[cs:certificates.html|]] **D:** Vámi uvedený [[cs:certificates-tcs.html|Řetěz CA]] má v sobě kořenový certifikát, to dříve nemuselo být, je to správně?\\ **O:** Ano, to je správně. Certifikát //HARICA TLS RSA Root CA 2021// existuje ve dvou verzích: podepsaný sám sebou, tedy jako kořenový a podepsaný kořenovým certifikátem //Hellenic Academic and Research Institutions RootCA 2015//. Jedná se o běžnou praxi, kdy je např. potřeba přejít na jiný kořenový certifikát dříve, než se ten nový objeví ve všech prohlížečích a distribucích OS. Ve starších systémech je tedy možné použít pouze jeden mezilehlý CA certifikát //GEANT TLS RSA 1//, ve starších je nutné mít oba mezilehlé, tedy k němu i křížově podepsanou verzi kořene //HARICA TLS RSA Root CA 2021//. **D:** Jsem správce/správkyně DNS, mám teď něco dělat s CAA záznamy povolujícími pouze Sectigo? \\ **O:** Ano, je dobré si nyní udělat revizi CAA záznamů a povolit novou autoritu **harica.gr**; zároveň lze nově omezit vydání osobních certifikátů pomocí DNS záznamu **CAA 0 issuemail harica.gr**. **D:** Jsem správce/správkyně DNS, mám stávající CAA záznamy povolujícími Sectigo smazat i když budu certifikáty od Sectiga ještě používat? \\ **O:** Ano, CAA záznamy mají vliv pouze na vydávání certifikátů, nikoliv na jejich provoz. Staré záznamy povolující Sectigo (či dokonce předchozí Digicert) je tedy možné smazat. **D:** Serverové certifikáty měly být automatizovány, jak to s ACME bude? \\ **O:** Nový dodavatel implementoval ACME se zpožděním, až koncem června. Nyní CESNET implementuje podporu na své straně. Automatizace prostřednictvím ACME bude dostupná nejdříve koncem září. **D:** Jak to bude se současnou automatizací, bude zachována? \\ **O:** Bohužel, současné API bude rovnou nahrazeno ACME (až bude k dispozici). **D:** Používám tzv. hvězdičkový certifikát, bude podporován i novou službou? \\ **O:** Hvězdičkové certifikáty nejsou z bezpečnostních důvodů doporučovány. Nahraďte je certifikáty s konkrétním výčtem DNS jmen, nebo nahraďte technické řešení, které takový certifikát vyžaduje, jiným. Pokud to není možné, hvězdičkový certifikát zatím vydat lze, jméno s hvězdičkou je třeba uvést do předmětu. **D:** Používám tzv. Split-DNS, kdy některá DNS jména nejsou veřejná. Bude je nová služba podporovat? \\ **O:** U Sectiga šlo takové řešení zachovat. U nového dodavatele je to zatím také možné. Jak tomu bude v budoucnu ale zatím netušíme. Doporučujeme taková DNS jména zveřejnit a pokud mají privátní adresy, přesunout dané servery na adresy veřejné. Pokud vám nezbývají IPv4 adresy, použijte IPv6. NAT i Split-DNS jsou přežitkem a v současnosti už nepřidávají žádné zabezpečení navíc. **D:** Nenašel/nenašla jsem zde odpověď na svou otázku. Kde se mohu zeptat? \\ **O:** Prosím pokládejte další dotazy své uživatelské podpoře. Pokud nebude znát odpověď, nebo jste onou podporou přímo vy, ptejte se přes naše pracoviště stálé služby na adrese [[mailto:support@cesnet.cz|support@cesnet.cz]].