RA-Portal

The following text comes from our certification authority Harica, we saw no need to change it.

Effective March 2, 2026, HARICA will officially deprecate the use of the Online Certificate Status Protocol (OCSP) for all newly issued publicly- trusted server TLS certificates, with exceptions made only for specific use cases where required.
In accordance with evolving industry standards and browser requirements, certificates issued after this date will no longer contain an OCSP responder URL in the Authority Information Access (AIA) extension, by default. Instead, certificate revocation status will be managed exclusively through Certificate Revocation Lists (CRLs) and modern browser-native mechanisms.

Why is this change happening?
The industry-wide move away from OCSP is driven by three primary factors:
1. User Privacy: Standard OCSP requests are unencrypted. When a browser checks a certificate’s status via OCSP, it informs the CA which IP address is visiting which website. Removing OCSP eliminates this privacy leak, ensuring that HARICA cannot track user browsing patterns.
2. Reliability and Performance: OCSP lookups often add significant latency to the TLS handshake (the "OCSP stapling" solution, while helpful, has seen inconsistent adoption). Furthermore, if an OCSP responder is slow or unreachable, it can cause "soft-fail" delays or "hard-fail" connection errors, impacting site availability.
3. Modern Revocation Standards: Browsers such as Apple Safari, Google Chrome and Mozilla Firefox have shifted toward more efficient, privacy- preserving methods for checking revocation at scale, such as CRLSets and CRLite. These methods rely on the CA publishing compressed CRLs rather than answering individual OCSP queries.

Timeline of Changes
March 2, 2026: All new TLS certificates issued by HARICA will omit the OCSP AIA extension by default.
Post-March 2, 2026: Existing certificates issued prior to this date will continue to have functional OCSP support until their natural expiration. By May 4, 2027, we expect our public OCSP infrastructure to be fully decommissioned for TLS.

Impact on Subscribers
For the vast majority of subscribers, no action is required. Modern web browsers (Chrome, Safari, Firefox, and Edge) have already prepared for this transition. However, a small number of "legacy" or "non-browser" applications that rely strictly on the presence of an OCSP URL in the certificate for hard-fail revocation checking may experience issues. We recommend the following:
- Review Legacy Systems: If you use specialized hardware or older software that requires OCSP for mutual TLS (mTLS) or specific compliance checks, ensure they support CRL-based revocation. If you operate legacy systems that rely exclusively on OCSP and cannot process CRLs, please contact [ra@rwth-aachen.de].
- OCSP Stapling: If you currently use OCSP Stapling on your web servers, the server will simply stop stapling a response once the new certificate (without an OCSP URL) is installed. This will not break the connection in modern browsers.

This update is required by the Google Chrome Root Program Policy. It strengthens security by ensuring that server authentication certificates are restricted strictly to server authentication.
For Standard Web Servers (HTTPS): There is no impact. Certificates used solely to secure a website and issued prior to the effective date will remain valid and functional until their expiration date.
For Mutual TLS (mTLS) Configurations: If you currently use the same certificate to identify your server to clients and to authenticate your server as a client to other back-end systems, you must take action, by e.g. separating your certificates. The clientAuth EKU is included in S/MIME certificates issued by Harica, via RA-Portal, or in server certificates issued by the private DFN-Verein Community PKI (with e.g. profile "Shibboleh IdP SP").

Following the recent (05.02.2026 ) updates to the Chrome Root Program Policy and the extension of the deprecation timeline for the TLS Client Authentication EKU in TLS Server certificates, HARICA will continue to support the EKU "clientAuth" in its TLS Server certificates for approximately nine (9) more months.
DFN urges you nevertheless to disentangle your mTLS certificates as soon as possible, in order to have sufficient time to resolve any unforeseen technical issues.

Due to a SW error in RA-Portal it is currently not possible to apply for a user certificate (S/MIME) from our certification authority. We apologise for the inconvenience and are working on the solution.

The error has been resolved.

The servers relevant to the service must be restarted after a system update.
During this time, the service will be temporarily unavailable.

The RA-Portal is not available at the moment.
We are working to solve the problem.

The RA-Portal is available again.

It is currently not possible to apply for new client certificates. RA-Portal needs to poll the RWTH Mailserver about the users email accounts. As this interface is currently being updated, it is not possible for RA-Portal to get the required data from the Mailserver. We are working on resolving the problem.

Due to a new application interface between RA-Portal and the RWTH mail server, some users are not able to apply for user certificates in RA-Portal. They see "Error 503 - Service Unavailable" with "Die Abfrage Ihrer E-Mail-Accounts ist fehlgeschlagen. Die Beantragung von Client-Zertifikaten ist daher aktuell nicht möglich. Bitte versuchen Sie es zu einem späteren Zeitpunkt erneut."

Users with many e-mail addresses, would run into a timeout when RA-Portal queried the RWTH-Mailserver for a list of their e-mail addresses. We have increased the timeout timer for this query, which means all users should now be able to apply for new user certificates, even if it may seem to take for ever. Should you still come across an Error 503, please turn to ra@rwth-aachen.de with date and time of occurrence. We expect the timeout issue to be finally resolved when we migrate to the REST API towards the RWTH-Mailserver.

The operating system used is undergoing an upgrade. As a result, the service may be temporarily unavailable for a short period of time.

The operating system used is undergoing an upgrade. As a result, the service may be temporarily unavailable for a short period of time.

Maintenance has been successfully completed.

Our certification authority is currently rejecting the issuance of user certificates. You can still create a save a certificate application but sending it to the CA results in an error code. We are working on a swift resolution.

We expect the application to be working as usual again during calendar week 46.

Client certificates can be requested again. There may still be errors from time to time due to the certification authority regularly updating their interfaces.

It is currently not possible to apply for client certificates via the RA portal. A solution is being worked on.

wegen einer notwendigen Hardware Wartung eines zentralen Server in Datennetzbetrieb (NOC), werden im angegebenen Zeitraum einige Systeme nicht oder nur sporadisch funktionieren:
- RWTH-guests WLAN Datenverkehr (zentraler Router)
- Registration Authority (Kommunikation mit den Dienstanbietern)
- div. Dienste auf noc-portal, welche Kommunikation mit Routern oder Switchen erfordern

Wartung beendet. Wegen eines Hardware Schadens wurden die virtualisierten Ressourcen umverteilt.
Es wird daher eine weitere Wartung zur Wiederherstellung des Zustands erfolgen. Wir informieren entsprechend.

RWTH Single Sign-On login ist not possible at the moment.
Existing sessions are not affected.
We are working on fixing the problem.

The problem has been solved.

There are currently disruptions to RWTH Single Sign-On. After entering your login details, the screen loads and then an Internal Server Error appears. This affects all services that use the RWTH Single Sign-On login.
The specialist department has been informed and is working to resolve the issue.

The problem has been fixed.

Weitere API-Endpunkte wurden für die Verwaltung von E-Mail-Accounts durch die Netzansprechpersonen heute freigeschaltet.
Diese API-Endpunkte bilden die Funktionalität ab, die man sonst unter dem Reiter "Meine E-Mail-Domains" in graphischer Form hat.
Weitere Informationen finden Sie im RA-Portal unter
https://ra-portal.itc.rwth-aachen.de/api-tokens/documentation
Diese Funktionalität ist nur relevant für Netzansprechpersonen und nicht für Endnutzer*innen die z.B. ein Client-Zertifikat beantragen möchten.

During this period, the routing of the previous XWiN routers (Nexus 7700) will be switched to the new XWiN routers (Catalyst 9600). These routers are essential for RWTH's network connection. This changeover also requires the migration of the DFN connection, which is switched redundantly to Frankfurt and Hannover, and the RWTH firewall to the new systems.
There will be complete or partial outages of the external connection during the maintenance window. All RWTH services (e.g. VPN, email, RWTHonline, RWTHmoodle) will not be available during this period. The accessibility of services within the RWTH network will be temporarily unavailable due to limited DNS functionality.

Der Uplink nach Frankfurt wurde erfolgreich auf das neue System geschwenkt.

Umbau des Uplinks nach Hannover beginnt.

Uplink nach Hannover auf das neue System umgezogen.

BGP v4/v6 nach Frankfurt und Hannover sind nun über die neue Routern funktional.

Es stehen noch ein paar kleinere Nacharbeiten an.

Wartung ist abgeschlossen. Der Datenverkehr läuft nun vollständig über die neuen Router!

Problematik mit der Anbindung zur Physik identifiziert, Lösung erfolgt morgen früh.

Das Hochladen einer selbst erzeugten (z.B. mit openssl) CSR-Datei für die Beantragung eines Nutzerzertifikats im RA-Portal ist nicht mehr möglich. Wegen der zu geringen Nutzung (weniger als 1% der Nutzerzertifikate wurden so beantragt) wird diese Funktionalität eingestellt. Nutzer*innen können weiterhin die eigene CSR-Datei im Browser erzeugen (vereinfacht ausgedrückt, die .json-Datei). Somit wird der private Schlüsselteil weder dem RA-Portal noch der CA übermittelt.

Due to the contract termination with our previous Certificate Authority (Sectigo), it is not be possible to apply for new user certificates via RA-Portal starting January 9, 2025 12:00 CET.
Although a new Certificate Authority (Harica) has been contracted, we remain unable to apply for new user certificates due to following missing functionality
- submitting own generated cryptographic keys
- necessary special characters in the Common Name
As soon as these technical issues have been resolved, we will
- enable the application for new client certificates in RA-Portal
- update this maintenance issue, here.
- remove the yellow banner stating "Client-Zertifikatsbeantragung ab 09.01.2025 12:00 Uhr nicht mehr möglich" in RA-Portal

Client Certificates can now be requested again.
Furthermore, one can choose which forenames to use per certificate, either the full forename or the preferred forename(s) as selected in RWTH Selfservice.
Due to limitations of the characters that can be used by our Certificate Authority Harica, umlauts and other special characters in your name(s) are automatically transliterated.
It is not yet possible to upload one's own Client Certificate Request, but this feature will be available again in the future.

Bitte beachten Sie, dass alle SSL-Zertifikate, die ab dem 06.03.2025 im RA-Portal ausgestellt werden, ein neues intermediate Zertifikat in der Harica SSL-Zertifikatskette enthalten. D.h. am einfachsten die Download-Option "Zertifikat inklusive Kette (ohne Root-Zertifikat) herunterladen" im RA-Portal auswählen.

Due to an unforeseen contract termination with our current Certificate Authority (Sectigo), it will no longer be possible to apply for or revoke certificates via RA-Portal for an indefinite period of time starting January 9, 2025 12:00 CET. This applies to SSL and client certificates.
GÉANT/TCS is working intensively with DFN to ensure the seamless continuation of the TCS service with a new provider.
DFN is also exploring the possibility of contracting a Certification Authority independently from GÉANT/TCS.
It is unclear whether and how certificates issued by Sectigo can be revoked from January 10, 2025 onwards.

Folgende Buttons (Funktionalität) stehen ab dem 09.01.2025 12:00 Uhr im RA-Portal nicht mehr zur Verfügung:
- Zertifikat neu hochladen (certificate upload)
- Zertifikat an die CA absenden (certificate enroll)
- Zertifikat erneuern (certificate renew)
- Zertifikat widerrufen (certificate revoke)
- OpenSSL-Befehlsgenerator
Folgende RA-Portal API-Endpunkte werden Error 503 liefern: csr-upload, enroll, renew, revoke.

DFN has contracted an new Certification Authority (harica.gr). We are currently reprograming RA-Portal in order to make the issuance of SSL-Certificates over harica.gr possible. We estimate to be up and running in 2-4 weeks. Client-Certificates will follow.

Die Beantragung von SSL-Zertifikaten über das RA-Portal ist ab 07.02.2025 10:00 Uhr wieder möglich.
Der neue Zertifikat-Anbieter ist Harica.
- SSL-Zertifikat Ablaufzeit bleibt bei 1 Jahr
- Erlaubte Schlüssellängen bleiben unverändert und sind RSA-2048, RSA-3072, RSA-4096, ECC-prime256v1 und ECC-secp384r1
- "Key Usages" (X509v3 extensions) bleiben unverändert und sind:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
- z.Z. besteht eine Begrenzung auf 20 SANs pro Zertifikat.

Das Widerrufen von Zertifikaten des Zertifikat-Anbieters Sectigo ist wieder möglich:
- einfach den Widerrufen-Button im RA-Portal betätigen
- manueller Prozess Richtung Sectigo wird ausgelöst
- innerhalb den nächsten 7 Tage wird das Zertifikat widerrufen sein
- den Status kann man jederzeit im RA-Portal prüfen
Status: Momentan gültig
SN: Seriennummer
Certificate Authority: Sectigo
Ablauf: Ablaufdatum, Uhrzeit
Widerruf angefragt: Datum, Uhrzeit (Vorname Nachname)
Angefragt von: Vorname Nachname via API-Token/RA-Portal
oder
Status: Widerrufen
SN: Seriennummer
Certificate Authority: Sectigo
Widerrufen: Datum, Uhrzeit
Angefragt von: Vorname Nachname via API-Token/RA-Portal

Wir schließen diese Meldung und bitten Sie Neuheiten über Nutzerzertifikate unter der getrennten Meldung Ihttps:
maintenance.itc.rwth-aachen.de/ticket/status/messages/84/show_ticket/9722 zu folgen.

This evening around 20:25 - 21:00 there was a performance low in the SSO service and was checked by the specialist department during this time. The problem has been solved and fast logins without waiting times are possible again.

Due to an unforeseen contract termination with our current Certification Aauthority (Sectigo), it will no longer be possible to apply for certificates via RA-Portal starting January 10, 2025 and for a currenty unknown period of time. This affects both SSL and client certificates.
We recommend that you
- either renew or apply for new SSL certificates in RA-Portal ahead of time
- apply for new user certificates in RA-Portal ahead of time, should your certificate from the "old" DFN-PKI Global expire in the near future
This recommendation applies to all certificates that expire before July 1, 2025.
We will inform all network contacts persons at the institutions via e-mail, regarding the recommended action with concern to SSL and client certificates.
We will inform all affected end users via e-mail about the recommended action regarding their user certificates.

The network contacts in the institutions were informed by e-mail on November 22, 2024.
The affected persons with user certificates in the DFN-PKI Global were informed by e-mail on November 27, 2024.

Am 16.12.2024 wurden 292 SSL-Zertifikate durch die RWTH Registrierungsstelle automatisiert erneuert. Diese wären vor dem 01.07.2025 ersatzlos abgelaufen. Die Mitglieder der jeweiligen Netzwerkansprechpartner-Gruppen wurden via E-Mail über die Ausstellung der Zertifikate benachrichtigt.

At the moment, single sign-on and multi-factor authentication are sporadically disrupted. We are already working on a solution and ask for your patience.

Wegen einer RWTH-internen Umkonfiguration der aus dem RA-Portal angesprochenen Mailserver, konnten einige ausgehende E-Mails (aus dem RA-Portal an die Endnutzer) nicht zugestellt werden.

wegen der Migration unseres Datenbankservers werden im Wartungszeitraum Applikationen auf TK-Portal, RA-Portal und NOC-Portal, sowie der Zugang zum WLAN RWTH-guests mit Gastkennung nicht zur Verfügung stehen.

Die Wartung ist beendet.

Due to problems with the load balancers (F5), the majority of services such as RWTHmoodle, RWTH Single Sign-On, RWTH E-Mail etc. and all services behind the RWTH Single Sign-On are disrupted.

A technician from the manufacturer has now also been called in to solve the problem.

The fault has been rectified. However, there may still be delays in delivery or receipt.

Wegen eines SW-Fehlers versendet das RA-Portal z.Z. keine E-Mails z.B. zur Zertifikatsausstellung, Challenges an die Nutzer*innen usw. Wir arbeiten an die Lösung.

Due to database maintenance, login to applications protected by RWTH Single Sign-On (e.g. RWTHonline, RWTHmoodle, Selfservice, SAP) will not be possible for a short time during the specified period.
Please log in to the application in which you would like to work during this period before the maintenance.
We assume that the interruption of the login will last about five minutes.

An update restarts the web server among others on the RA portal.

Wegen eines SW Fehlers ist das Hochladen einer im Browser generierten CSR-Datei für ein Client-Zertifikat mit mehreren E-Mail-Adressen z.Z. nicht möglich. Wir arbeiten an einer Lösung und werden den Fehler voraussichtlich am 28.10.2024 beheben können.

Das Erstellen von Client-Zertifikatsanträgen mit mehreren SANs ist im Browser wieder möglich.

2a. C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
3a. C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Organization Validation Secure Server CA
4a. C = DE, ST = Nordrhein-Westfalen, O = RWTH Aachen University, CN = FQDN
2b. C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
3b. C = NL, O = GEANT Vereniging, CN = GEANT OV RSA CA 4
4b. C = DE, ST = Nordrhein-Westfalen, O = RWTH Aachen University, CN = FQDN

Im Reiter "Meine E-Mail-Domains" können Netzansprechpersonen die E-Mail-Adressen der jeweiligen Einrichtung im RA-Portal verwalten. Bei "E-Mail-Account hinzufügen" war das Eintragen einer Absender-E-Mail bis dato case sensitive. Dies haben wir auf case insensitive geändert. D.h. wenn z.B. der Eintrag "email@itc.rwth-aachen.de" existiert, dann kann der Eintrag "Email@itc.rwth-aachen.de" usw. nicht hinzugefügt werden. Das Editieren der Absender-E-Mail war immer unterbunden. D.h. wenn Sie eine fehlerhafte Absender-E-Mail eingetragen haben, löschen Sie einfach den Eintrag. Wenn Sie aber die Challenge-E-Mail(s) schon ausgelöst haben, melden Sie sich bei ra@rwth-aachen.de, da das Löschen nicht mehr möglich ist.

The servers must be restarted in the course of a system update.

For a short period of time, there was an error while using RWTH Single Sign-On.
The problem has been solved.

Due to the expired certificate for idm.rwth-aachen.de, no IdM applications and the applications that use RWTH Single Sign-On can be accessed.
We are working on a solution.
- An insecure connection message is displayed when calling up IdM applications.
- When calling up applications with access via RWTH Single Sign-On, a message about missing authorisations is displayed.

The certificate has been updated and the applications can be accessed again. Please delete the browser cache before accessing the pages again.

The servers must be restarted in the course of a system update.

Wartung ist beendet

Wegen eines SW Fehlers waren im genannten Zeitraum auch für die Netzansprechpersonen aller Einrichtungen keine E-Mail-Domains unter dem Reiter "Meine E-Mail-Domains" sichtbar.

Aufgrund von kritischer Updates wird es durch einen Neustart des NOC-Portals zu einem kurzen Ausfall kommen.
Durch Schnittstellen zwischen den System, sind kurzfristig ebenfalls das TK-Portal und RA-Portal betroffen.

Updates abgeschlossen und Neustart durchgeführt.
Services laufen wieder wie gewohnt weiter.

The servers must be restarted in the course of a system update.

Due to DNS disruption, the name servers of various providers are currently not returning an IP address for hosts under *.rwth-aachen.de.
As a workaround, you can store alternative DNS servers in your connection settings, e.g. the Level3-Nameserver (4.2.2.2 and 4.2.2.1) or Comodo (8.26.56.26 und 8.20.247.20). It may also be possible to reach the RWTH VPN server, in which case please use VPN.

Instructions for configuring an alternative DNS server under Windows can be found via the following links:
https:
www.ionos.de/digitalguide/server/konfiguration/windows-11-dns-aendern/
https:
www.netzwelt.de/galerie/25894-dns-einstellungen-windows-10-11-aendern.html
You can also use VPN as an alternative. If you cannot reach the VPN server, you can adjust the host file under Windows according to the following instructions. This will allow you to reach the server vpn.rwth-aachen.de. To do this, the following entry must be added:
134.130.5.231 vpn.rwth-aachen.de
https:
www.windows-faq.de/2022/10/04/windows-11-hosts-datei-bearbeiten/

The hosts of RWTH Aachen University can now be reached again from outside the RWTH network.

Individual users may have experienced problems even after the fault was rectified on 25 August at 9 pm. On 26.8. at 9 a.m. all follow-up work was completed, so there should be no further problems.

Wegen einer Wartung des zugrundeliegenden Datenbankservers ist im Wartungszeitraum mit Ausfällen von Webdiensten zu rechnen:
* NOC-Portal (z.B. DNS-Admin, DHCP-Admin, RADIUS-Admin, Interface-Admin, WLAN Gäste einrichten)
* TK-Portal
* RA-Portal
Die Dienste laufen wie gewohnt weiter. Bitte versuchen Sie zu einem späteren Zeitpunkt Ihre gewünschten Änderungen einzutragen.

leider ist die Wartung noch nicht zum Abschluss gekommen, weswegen die Daten heute für ca 1h nicht zur Verfügung stehen.

Die Migration ist abgeschlossen

The servers must be restarted in the course of a system update.

Wartung ist beendet

Aufgrund von Erneuerung der SSL Zertifikate wird der vCenter Server im genannten Zeitraum teilweise kurzzeitig nicht erreichbar sein.
Alle VMs laufen wie gewohnt weiter und die Erreichbarkeit der darauf laufenden Dienste wird NICHT durch diese Wartung beeinträchtigt werden. Lediglich die Funktionen des HTML5 Clients für das Management ihrer VMs werden nicht verfügbar sein, da Sie sich während der Wartung nicht am vCenter Server einloggen können.

Während der Wartung ist es zu Fehlern gekommen, sodass die Wartung verlängert werden muss.

---englisch version below---
Due to maintenance, some servers are currently unavailable.
There are temporary connection problems with some services.

Das Abfragen der validierten Domains hat wegen eines SW Updates auf Sectigo Seite nicht funktioniert. Als Folge konnten während der Störung keine Zertifikate beantragt werden oder E-Mail-Adressen durch den Netzsprechpersonen in RA-Portal eingetragen werden.

Due to a system update, the RA portal must be restarted, which means that the portal (e.g. download of certificates or upload of certificate signing requests) will be temporarily unavailable.

Since July 2, 2024, the RWTH Single Sign-On (SSO) and the login of all SSO-connected services is protected with multifactor-authentication (MFA). In addition to an individual password, users must now enter a second factor when logging in. The second factor must be generated in Selfservice [1] via the Token Manager. Further information can be found on IT Center Help [2] and the IT Center Blog [3].
[1] http:
www.rwth-aachen.de/selfservice
[2] https:
help.itc.rwth-aachen.de/service/0f861f53818c44e9a5df6ea7b244dacd/article/b084004d1bcf40a3be00f456f3e4a543/
[3] https:
blog.rwth-aachen.de/itc/en/tag/mfa/

Unfortunately, the login via the RWTH Single Sign-On and thus into the connected services is currently only successful in individual cases.
If you receive an error message, please try to log in again in about an hour.
People who are already successfully logged in are not affected by the disruption.

The servers are currently at full capacity. We therefore ask you to try to log in at a later time (approx. in one hour). We are working on a solution to the problem.

Through various measures, which have significantly increased the overall performance of the servers, the loading difficulties and login problems were resolved around 3 pm.
For the time being, the message remains as a note, as we continue to monitor the load on the system.

The login to the RWTH Single Sign-On is stabilized. For this reason, we are ending this notice.

The servers must be restarted in the course of a system update.

Wartung ist beendet

The servers must be restarted in the course of a system update.

Update ist erfolgt | update finished

Wegen einer fehlerhaften SW Implementierung konnten seit Oktober 2023 auch Mitglieder aller sekundären Admin-Gruppen für eine Domain diese unter "Meine E-Mail-Domains" sehen und verwalten. Die korrekte Implementierung der Admin-Reche ist aber, dass nur die Mitglieder der primären Domain-Kontakt-Gruppe diese verwalten sollen. Es gibt hier eine Ausnahme, Mitglieder einer sekundären Domain-Kontakt-Gruppe mit dem Extra-Recht "RA-Portal-Email-Domain" können auch die Domain unter "Meine E-Mail-Domains" verwalten. Die korrekte Implementierung wurde am 26.03.2024 umgesetzt.

Wegen eines SW-Fehlers wurden im Zeitraum vom 09. bis 23.04.2024 keine "SSL-Zertifikat [common_name] ausgestellt" und keine "SSL-Zertifikat [common_name] Ablauf am [ablaufdatum]" E-Mails versendet. Das RA-Portal hat das Absenden aller diesen fehlenden E-Mails am 24.04.2024 nachgeholt.