CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS.

Prezentacja na temat: "CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS."— Zapis prezentacji:

1 CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS

2 PIONIER PKI Wdrożenie infrastruktury klucza publicznego dla użytkowników sieci PIONIER. Wystawia certyfikaty dla instytucji naukowych i edukacyjnych obsługiwanych przez PIONIER. PLATON wykorzystuje infrastrukturę PIONIER, więc może korzystać PIONIER PKI.

3 Struktura PIONIER PKI Główny Urząd Certyfikacji Pośrednie Urzędy Certyfikacji Końcowe Urzędy Certyfikacji Użytkownicy końcowi są obsługiwani przez CA tego poziomu. PLATON-U4 jest obsługiwany przez WCSS-CA-1 Urzędy rejestracji Pobieżna znajomość struktury PIONIER PKI jest potrzebna do świadomego korzystania portalu PIONIER PKI.

4 PIONIER PKI WCSS-CA-1 Do obsługi PLATON-U4 wybrano WCSS-CA-1.
Poruszając się po witrynie PIONIER PKI należy pamiętać że jesteśmy zainteresowani konkretnie WCSS-CA-1 Osobny plik z polityką Dedykowany formularz żądania certyfikatu

5 Cechy PIONIER PKI WCSS-CA-1
Subskrybenci. Certyfikaty Urzędu Certyfikacji PIONIER PKI WCSS-CA-1 wydawane są wyłącznie dla subskrybentów związanych z instytucjami przyłączonymi do sieci PIONIER, w szczególności związanych ze środowiskiem naukowo-badawczym i akademickim. Dozwolone zastosowania. Certyfikaty wystawiane przez PIONIER PKI WCSS-CA-1 MOGĄ być stosowane w różnych aplikacjach internetowych obsługujących certyfikaty X.509 w celu uwierzytelnienia klienta, uwierzytelnienia serwera, uwierzytelnienia i szyfrowania komunikacji, weryfikacji podpisów cyfrowych (między innymi: poczta elektroniczna, dostęp do WWW, dostęp do sieci komputerowej oraz zdalny dostęp do systemów komputerowych). Zabronione zastosowania. Certyfikaty wystawiane przez PIONIER PKI WCSS-CA-1 NIE MOGĄ być używane w żadnych zastosowaniach komercyjnych i finansowych, w zastosowaniach wymagających certyfikatów kwalifikowanych oraz w działalności niezgodnej z prawem. Uwierzytelnienie. Tożsamość osoby ubiegającej się o certyfikację klucza publicznego MUSI być weryfikowana w czasie osobistego kontaktu z Urzędem Rejestracji na podstawie dokumentu pozwalającego potwierdzić tożsamość osoby. Subskrybent zlecający wniosek certyfikacji, zawierając nazwę wyróżnionioną skojarzoną z konkretną instytucją, MUSI dostarczyć poświadczenie o przynależności do danej organizacji lub odpowiedni Urząd Rejestracji MUSI otrzymać potwierdzenie takiej przynależności

6 Witryna PIONIER PKI

7 PIONIER PKI Strona pozwala na Zapoznanie się z polityką CA
Wygenerowanie żądania certyfikatu. Odnowienie certyfikatu Pobranie list CRL Pobranie certyfikatów CA Unieważnienie certyfikatu

8 Polityka CA-WCSS-1 Dokument Polityk Certyfikacji oraz Kodeksu Postępowania Certyfikacyjnego opisuje procedury stosowane przez Urząd Certyfikacji PIONIER PKI WCSS-CA-1 podczas certyfikacji klucza publicznego, definiuje uczestników tego procesu oraz określa obszary zastosowań certyfikatów uzyskanych w tym procesie.

9 Polityka CA Z poziomu głównej strony przechodzimy do podstrony Dokumenty.

10 Polityka CA Znajdujemy sekcję Urząd Certyfikacji PIONIER PKI CA-WCSS-1.

11 Polityka CA-WCSS-1 Główne założenia polityki zostały przedstawione na slajdzie „Cechy PIONIER PKI WCSS-CA-1” W praktyce dokument napisany fachowym językiem i obejmujący obszary nie istotne dla końcowego użytkownika, przykład: Nazwy stosowane w polach subject name i issuer name MUSZĄ być zgodne z formatem nazw wyróżnionych standardu X.501. Wszystkie elementy nazwy wyróżnionej MUSZĄ być zapisane w formacie PrintableString lub UTF8String lub IA5String (tylko pole ). Adres MUSI mieć strukturę zgodną z RFC822 i MUSI być zapisywany w formacie IA5String. Struktura nazwy domenowej MUSI być zgodna z RFC2247.

12 Polityka CA-WCSS-1 Procedura pozyskania certyfikatu zakłada złożenie podpisu pod wnioskiem stwierdzającym że użytkownik zapoznał się Polityką Certyfikacji oraz Kodeksem Postępowania Certyfikacyjnego Urzędu Certyfikacji.

13 Pozyskanie certyfikatu
Wygenerowanie żądania certyfikatu. Uwierzytelnienie przez RA. Podpisanie przez CA. Instalacja certyfikatu w przeglądarce. Kopia zapasowa i eksport do „innych” programów / formatów.

14 Wygenerowanie żądania
Należy wypełnić formularz na stronie www. Przy wysyłaniu formularza, przeglądarka generuje klucz prywatny, publiczny i żądanie podpisania certyfikatu. Klucz prywatny nie opuszcza komputera użytkownika. Do CA przesyłane jest żądanie podpisania certyfikatu. CA (po podpisaniu certyfikatu), odsyła do użytkownika link którego „kliknięcie” spowoduje zainstalowanie w przeglądarce podpisanego certyfikatu. Instalacja certyfikatu musi się odbyć z tego samego komputera i przeglądarki z której zostało wygenerowane żądanie.

15 Wygenerowanie żądania
Z poziomu głównej strony przechodzimy do Certyfikacja

16 Wygenerowanie żądania
Przechodzimy do podstrony obsługującej CA-WCSS-1

17 Wygenerowanie żądania
Klikamy: Utwórz certyfikat osobisty z dowolną nazwą organizacji

18 Wygenerowanie żądania
Formularz zgłoszeniowy:

19 Uwierzytelnienie Po wysłaniu formularza:
żądanie trafia do kolejki, na podany adres zostanie przysłany link do pliku z wnioskiem o wydanie certyfikatu klucza publicznego. Wniosek należy wydrukować, podpisać i złożyć we właściwym RA (tj. w tym które zostało wskazane przy wypełnianiu formularza). Zgodnie z polityką, przy składaniu wniosku należy posiadać dokument potwierdzający tożsamość i przynależność do organizacji.

20 Uwierzytelnienie, wniosek do RA
Osoba pełniąca rolę RA, po przyjęciu i zweryfikowaniu wniosku zatwierdza oczekujące w kolejce żądanie.

21 Podpisanie certyfikatu
Po pozytywnym zweryfikowaniu przez RA, następuje właściwe podpisanie certyfikatu przez CA. Użytkownik dostaje maila z potwierdzeniem podpisania certyfikatu i z informacją jak go zainstalować w przeglądarce.

22 Instalacja certyfikatu
Instalacja polega na użyciu linka przysłanego przez CA po podpisaniu certyfikatu. Link należy użyć na tej samej przeglądarce z której wysłano żądanie wystawienia certyfikatu.

23 Instalacja certyfikatu
Po zainstalowaniu, certyfikat powinien się znaleźć na liście certyfikatów osobistych w przeglądarce. Klikamy: Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->Użytkownik Certyfikat dla Gracjan Jankowski podpisany przez PIONIER UWAGA: W praktyce firefox na podstawie DN użytkownika i CA stara się użyć możliwie „przyjaznej” nazwy.

24 Zarządzanie certyfikatem
Wyświetla szczegóły certyfikatu. Wgranie certyfikatu z kopii zapasowej (w formacie pkcs12) Zapis kopii zapasowej. (w formacie pkcs12, razem z kluczem prywatnym)

25 Zarządzanie certyfikatem – kopia zapasowa
Kopia zawiera klucz prywatny użytkownika. Podczas zapisu kopii musimy ustalić hasło zabezpieczające. Hasło będzie potrzebne przy odtwarzaniu / importowaniu certyfikatu.

26 Zarządzanie certyfikatem – eksport
Funkcja eksportu pozwala na zapisanie certyfikatu do pliku z pominięciem klucza prywatnego. W oknie ze szczegółami certyfikatu wybieramy zakładkę „Szczegóły” a następnie klikamy przycisk „Eksportuj…”

27 Zarządzanie certyfikatem – eksport
Funkcja eksportu pozwala na zapisanie certyfikatu do pliku z pominięciem klucza prywatnego. W oknie ze szczegółami certyfikatu wybieramy zakładkę „Szczegóły” a następnie klikamy przycisk „Eksportuj…”

28 Formaty kluczy i certyfikatów w PLATON-U4
Dodanie użytkownika do usługi wymaga podania certyfikatu w formacie pem. Korzystanie z usługi przez sftp, sshfs lub grid-ftp z poziomu systemu Linux wymaga dostępu do klucza prywatnego w formacie pem. Korzystanie z usługi z poziomu Windows z programów takich jak WinSCP, psftp, Filezilla wymaga klucza prywatnego w formacie ppk. Korzystanie z poziomu przeglądarki z zainstalowanym certyfikatem nie wymaga dalszej konfiguracji.

29 Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4
Na systemie Windows, do automatycznej konwersji kopii zapasowej certyfikatu do pozostałych wymaganych formatów służy program KeyExtractor Program można pobrać ze storny: Na systemie Linux, do konwersji kopii zapasowej certyfikatu na wymagane formaty należy użyć komendy openssl Konkretne przykłady użycia komendy openssl znajdują się na stronie w sekcji Eksport, import, konwersja -programy klienckie

30 Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4
Program KeyExtractor zabezpiecza klucze prywatne tym samym kluczem, który był użyty do zapisu kopii zapasowej certyfikatu. Program openssl pozwala na uzyskanie kluczy prywatnych, nie zabezpieczonych hasłem. Program openssl jest dostępny również dla systemu Windows:

31 KeyExtractor – Przykład użycia
Przed użyciem programu KeyExtractor, zapisujemy do pliku kopię zapasową certyfikatu. Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->Użytkownik ->[certyfikat na liście]->Kopia zapasowa …

32 KeyExtractor – Przykład użycia
Zapis kopii wymaga ustanowienia hasła zabezpieczającego. Hasło to będzie potrzebne przy konwersji.

33 KeyExtractor – Przykład użycia
Ze strony pobieramy paczkę KeyExtractor.zip Po rozpakowaniu program jest gotowy do uruchomienia. Program uruchamiamy plikiem KeyExtractor.exe

34 KeyExtractor – Przykład użycia
Po uruchomieniu program KeyExtractor oczekuje na podanie hasła i wskazanie pliku z kopią zapasową certyfikatu.

35 KeyExtractor – Przykład użycia
Po zatwierdzeniu wprowadzonych danych, należy wskazać katalog w którym zostaną zapisane klucze i certyfikat w wymaganych formatach.

36 KeyExtractor – Przykład użycia
Widok katalogu z zapisanymi kluczami i certyfikatem

37 KeyExtractor – Przykład użycia
Pliki utworzone przez KeyExtractor usercert.pem certyfikat użytkownika potrzebny do założenia konta w usłudze userkey.pem klucz prywatny do użycia pod systemem Linux userkey.ppk klucz prywatny do użycia pod systemem Windows

38 Podsumowanie Prezentacja kończy się w miejscu gdzie użytkownik posiada zestaw kluczy i certyfikatów potrzebnych do korzystania z usługi. Użycie tych kluczy przez poszczególne metody dostępowe jest pokazane w części praktycznej warsztatów.

39 TCS

40 TCS Dla przykładu, pracownik PCSS-u odnajduje swoją instytucję na liście.

41 TCS TCS wystawia certyfikaty do różnych celów
Użytkownik usługi PLATON-U4 potrzebuje „Terrena Personal Certificate”

42 TCS

43 TCS

44 TCS Po wysłaniu formularza dostaniemy link do wniosku który należy wydrukować, podpisać i wraz z dokumentem potwierdzającym tożsamość przedstawić RA CA, po podpisaniu certyfikatu prześle link do instalatora certyfikatu Link do instalatora musi być użyty z tej samej przeglądarki z której wygenerowano żądanie wystawienia certyfikatu

45 Polish Grid CA

46 Polish Grid CA Użytkownik usługi PLATON-U4 potrzebuje certyfikatu osobistego

47 Polish Grid CA

48 Polish Grid CA – Lista RA
Aktualna lista RA: 1. POZNAN PCSS 2. KRAKOW Cyfronet 3. WARSAW INS/ICM Warsaw Technical University Obsertwatorium Astronimiczne Uniwersytetu Warszawskiego 4. Czestochowa Technical University of Czestochowa 5. Szczecin Szczecin University of Technology 6. Gdansk Academic Computer Centre in Gdansk TASK 7. Bialystok Bialystok Technical University

49 Polish Grid CA – Lista RA
8. Lodz Technical University of Lodz 9. Zielona Gora University of Zielona Gora 10. Lublin UMCS 11. Opole Opole University 12. Wroclaw WCSS 13. Katowice

50 CA4U W trakcie opracowywania Założenia
Maksymalne uproszczenie procedury pozyskiwania, uwierzytelniania i instalacji certyfikatu i skojarzonych kluczy Wniosek składany przez internet Uwierzytelnienie przez sprawdzenie czy osoba która wypełniła formularz rzeczywiście pracuje w deklarowanej jednostce i czy podany adres jest poprawny Wysłanie na adres linka do instalatora który instaluje w systemie wszystkie pliki potrzebne do korzystania z PLATON-U4