Certifikater

Via DeiC kan institutioner købe servercertifikater og personlige certifikater fra en ekstern leverandør. DeiC tilbyder også hjælp med installering og fornyelser af certificater både fra kommercielle leverandører og Let's Encrypt.

Hvilke certifikater faciliterer DeiC og hvorfor

Certifikaters levetid og "Domain Control Validation" bliver gravist reduceret frem til 2029. Det blev enstemigt vedtaget i ballot SC-081v3 april 2025 af "Certification Authority Browser Forum" og kommer til at gælde for alle PKI TLS-certifikater.

  • Maksimum levetid for certifikater bliver 47 dage og kun 10 dages genbrug af DCV fra den 15/3 2029

Dette betyder at institutioner allerede nu bør stille spørgsmålet:

> Har vi en automatiseringsstrategi for *alle* PKI TLS-certifikater i *hele* vores organisation?

Svaret vil ofte involvere ACME - som gør det let at rekvirere TLS-certifikater.

Rekvirering af **stjernecertifikater** eller certifikater til **interne** servere kræver via ACME protokollen DNS-validering. Dette er mere indviklet. For at gøre det lettere og mere sikkert, har DeiC udviklet en ACME-DNS-tjeneste, som stilles gratis til rådighed for institutioner på Forskningsnettet.

Certifikater via GÉANT

Via GÉANT / Trusted Certificate Service (TCS) tilbyder DeiC certifikater til forsknings- og uddannelsessektoren, udstedt af en kommerciel leverandør. GÉANT har indgået en aftale med HARICA, som certifikatmyndighed (CA). HARICA leverer certifikater via deres selvbetjeningsportal. Her kan der bestilles certifikater af flg. typer:

- Domænevaliderede (DV) og organisationsvaliderede (OV) servercertificater - Kodesigneringscertifikater - Email-certifikater - Personlige certifikater - IGTF OV server certifikater

Læs mere om aftalen med HARICA under GÉANT's TCS Wiki.

*Aftalen dækker ikke certificater af typen \*Extended Validation\* (EV). Disse kan dog bestilles direkte hos HARICA udenom GÉANT/TCS.*

Regler for TCS-certifikater

  1. Certifikaterne må kun bruges af forsknings- og uddannelsesinstitutioner og ikke i kommerciel sammenhæng.
  2. Institutionen skal underskrive en Trusted Certificate Service (TCS) Subscriber Agreement, der afspejler betingelserne, som HARICA stiller.
  3. Institutionen skal udpege en eller flere ansvarlige personer, som må bestille certifikater på institutionens vegne.
  4. DeiC verificerer institutionen og tildeler rettigheder til administratorer/brugere, som derefter direkte selv kan bestille servercertifikater.

Certifikater via Let's Encrypt

Let's Encrypt er en gratis, åben CA, drevet af den almennyttige organisation Internet Security Research Group (ISRG). Tjenestens certifikater er godkendt af samtlige browsere på markedet; den er hurtigt blevet meget populær og der er opstået en række nyttige værktøjer, som gør det nemt at automatisere rekvirering og fornyelse af standard servercertifikater til individuelle offentlige webservere.

Til de institutioner der benytter, eller ønsker at benytte gratis certifikater fra Let's Encrypt tilbyder DeiC konsulenthjælp til at komme i gang og med automatisering af fornyelser.

Certifikater via DeiCs ACME-DNS-tjeneste

DeiC stiller en egen tjeneste til rådighed, som gør det nemt og sikkert at oprette DNS 01 Challenge via Automatic Certificate Management Environment (ACME) - protokollen. Tjenesten kan benytte en hvilken som helst CA, der understøtter ACME, f.eks. Let's Encrypt eller HARICA og er tiltænkt institutioner, der vil automatisere certifikatudstedelse og -fornyelser for hele deres organisation inklusive **stjernecertifikater** og certifikater til **interne netværk**.

Priser

GÉANT TCS-certifikater

HARICA er blevet leverandør pr. 1 januar 2025. 

Nuværende priser:

  • OV Enkeltcertifikat: kr. 410
  • OV Stjernecertifikat: kr. 500
  • OV Multidomænecertifikat: kr. 1.060
  • Kodesigneringscertifikat:
    • 1 år kr. 420
    • 2 år kr. 520
    • 3 år kr. 620
  • Personligt certifikat: Gratis under 10 stk., ellers 100 kr. pr. certifikat.

Vi arbejder også på en "Ad libitum" model, som gøres endelig færdig i Q4 2025, hvor priserne nok bliver:

  • 0-30: Samme priser som i dag 
  • 31-60: 10.000 kr/år 
  • 61-150: 20.000 kr/år 
  • 151-300: 50.000 kr/år 
  • 301-   :100.000 kr/år 

DeiCs ACME-DNS-tjeneste

ACME-DNS-tjenesten med DNS-01 challenge - validering er gratis at bruge for alle på Forskningsnettet.

Man kan frit vælge en CA der understøtter ACME protokollen og ACME-DNS-tjenesten til DNS-validering. Hvis man benytter en gratis CA, som Let's Encrypt, er certifikaterne også gratis. Men tjenesten kan også benyttes med HARICA's ACME implementation.

DeiC tilbyder konsulenthjælp med implementering af løsningen for kr. 950 i timen.

Hvordan får man et certifikat gennem DeiC

Certifikater via HARICA

Log ind på selvbetjeningsportalen HARICA Cert Manager via din institution, ved at vælge `Academic Login`. Udsøg din institution og log ind med WAYF.

CERT Manager Login
Foto: DeiC
CERT Manager Search
Foto: DeiC

HARICA Cert Manager onboarding process er vist her.

CERT Manager Onboarding Process
Foto: DeiC

Du kan hente PDF'er, der beskriver workflow for de forskellige roller i onboardingprocessen her:

HARICA support og guides findes her på deres hjemmeside, mens dokumentation af deres API findes her.

GÉANT vedligeholder en FAQ, som bla. beskriver hvordan ACME protokollen kan understøttes med HARICA.

Hvis du gerne vil gerne vil teste tjenesten uden at skulle betale, kan du bruge: HARICA staging service.

Certifikater via ACME og DeiCs ACME-DNS-tjeneste

Teknisk dokumentation kan findes på Codeberg.

DeiC tilbyder support og hjælp med at komme i gang.

Kontaktinformation

Skriv til adressen scs-ra@deic.dk, hvis du har spørgsmål eller brug for hjælp.

Revideret
28 okt 2025

Relateret Indhold

Certifikat og computer på grøn baggrund
Kilde:Istock
19 aug 2025
Flot og udvidet ISO27001-certificering til DeiC Forskningsnettet
2 datacentre og 350 lokationer er nu omfattet af ISO27001-certificeringen, som gælder de næste 3 år.
view
abstrakt illustration af punkter på lilla baggrund
Foto: IStock
09 apr 2025
DeiC Forskningsnet deltager i innovative fælleseuropæiske løsninger
Stærk dansk repræsentation i nyt 3-årigt europæisk GÉANT program med fokus på infrastruktur på toppen af forskningsnetværk, tillid & identitet samt informationssikkerhed.
view
Webinar for institutioner der allerede benytter OCRE
Få vigtig viden om forskellene mellem OCRE2020 og OCRE2024, hvilke skytjenester og platforme, der er tilgængelige, nye vilkår og rabatter, hvordan man køber ind på aftalerne og hvordan man migrerer en eksisterende aftale til OCRE2024.
view
OCRE skrevet med hvid tekst på lilla baggrund
Kilde: OCRE
31 jan 2025
Skytjenester under OCRE2024-aftalen – kom til webinar
3 forskellige webinarer klæder din institution på til at forstå og udnytte rammeaftalen, uanset om I er nye på OCRE-aftalen, eller om I er brugere under OCRE2000-aftalen og muligvis skal migrere til ny leverandør.
view
Webinar om OCRE2024 for forhandlere og institutioner
Få præsenteret det nye sæt af forhandlere af skytjenester under OCRE2024-aftalen. Hør om de enkelte tilbud, sortiment, vilkår, priser og få information om, hvordan man som institution kommer videre med tildeling af kontrakt under OCRE2024.
view
Webinar om OCRE2024 for nye institutioner
Er du nysgerrig på OCRE2024? Få mere at vide om, hvilke former for skytjenester de nye aftaler dækker, vilkår, rabatter, forhandlere, hvordan man bruger aftalerne, direkte tildeling og miniudbud.

view