Analiza rozwiązań w projekcie NASTEC pod kątem zastosowania usługi LDAP w infrastrukturze PKI Tomasz Kowal Wrocławskie Centrum Sieciowo-Superkomputerowe
Analiza rozwiązań w projekcie NASTEC W obecnym schemacie w bazie LDAP są przechowywane: W obecnym schemacie w bazie LDAP są przechowywane: certyfikaty osobistecertyfikaty osobiste klasa interOrgPerson klasa interOrgPerson certyfikaty hostówcertyfikaty hostów klasa ipHost klasa ipHost
Analiza rozwiązań w projekcie NASTEC Wykorzystywane atrybuty klasy interOrgPerson: Wykorzystywane atrybuty klasy interOrgPerson: DN – nazwa unikatowaDN – nazwa unikatowa CN – imię i nazwiskoCN – imię i nazwisko SN – nazwiskoSN – nazwisko O – organizacjaO – organizacja OU – jednostka organizacyjnaOU – jednostka organizacyjna mail - adres mail - adres userCertificate; binary - certyfikat w formacie binarnym DERuserCertificate; binary - certyfikat w formacie binarnym DER
Analiza rozwiązań w projekcie NASTEC Wykorzystywane atrybuty klasy ipHost: Wykorzystywane atrybuty klasy ipHost: DN – nazwa unikatowaDN – nazwa unikatowa CN – nazwa obiektuCN – nazwa obiektu ipHostNumber - adres IPipHostNumber - adres IP O - organizacjaO - organizacja OU - jednostka organizacyjnaOU - jednostka organizacyjna owner - adres administratora urządzenia sieciowegoowner - adres administratora urządzenia sieciowego userCertificate; binary - certyfikat w formacie binarnym DERuserCertificate; binary - certyfikat w formacie binarnym DER
Analiza rozwiązań w projekcie NASTEC Składowanie certyfikatów w formacie binarnym w userCertificate: Składowanie certyfikatów w formacie binarnym w userCertificate: możliwość pobierania/wyświetlania poprzez popularne przeglądarki:możliwość pobierania/wyświetlania poprzez popularne przeglądarki: Netscape Communicator 4.x Netscape Communicator 4.x Internet Explorer Internet Explorer
Analiza rozwiązań w projekcie NASTEC Problemy z przeglądarkami: Problemy z przeglądarkami: Netscape Communicator 4.xNetscape Communicator 4.x metody pobierania certyfikatu metody pobierania certyfikatu przeszukiwanie LDAP-u poprzez zakładkę securityprzeszukiwanie LDAP-u poprzez zakładkę security tylko stamtąd można pobrać certyfikat z bazy LDAP tylko stamtąd można pobrać certyfikat z bazy LDAP wymaga podania pełnego adresu z certyfikatu, mail to jedyny atrybut wyszukiwania wymaga podania pełnego adresu z certyfikatu, mail to jedyny atrybut wyszukiwania przeszukiwanie bazy LDAP z książki adresowej przeszukiwanie bazy LDAP z książki adresowej tylko przeglądanie certyfikatu tylko przeglądanie certyfikatu możliwość ładowania certyfikatu poprzez WWWmożliwość ładowania certyfikatu poprzez WWW atrybut labeledURI klasy interOrgPerson pozwala załadować certyfikat poprzez WWW atrybut labeledURI klasy interOrgPerson pozwala załadować certyfikat poprzez WWW
Analiza rozwiązań w projekcie NASTEC Problemy z przeglądarkami: Problemy z przeglądarkami: Internet ExplorerInternet Explorer metody pobierania certyfikatu metody pobierania certyfikatu komponent książki adresowej potrafi przeszukiwać bazę LDAP i ładować certyfikatykomponent książki adresowej potrafi przeszukiwać bazę LDAP i ładować certyfikaty rozpoznaje atrybut labeledURI jako General i ładuje jego zawartośćrozpoznaje atrybut labeledURI jako General i ładuje jego zawartość
Analiza rozwiązań w projekcie NASTEC Podsumowanie Podsumowanie w obecnym schemacie tylko jeden atrybut klasy interOrgPerson przechowuje certyfikatyw obecnym schemacie tylko jeden atrybut klasy interOrgPerson przechowuje certyfikaty brak listy unieważnionych certyfikatówbrak listy unieważnionych certyfikatów IE i tak korzysta ze ścieżki do CRL w certyfikacie IE i tak korzysta ze ścieżki do CRL w certyfikacie brak certyfikatów CAbrak certyfikatów CA narzędzia OCSP nie korzystają z bazy LDAP, brak schematu narzędzia OCSP nie korzystają z bazy LDAP, brak schematu Sugestie Sugestie narzędzia projektu - SSLftp, SSLtelnet, Torsec start center nie korzystają w chwili obecnej z bazy LDAP – Włosi są otwarci na propozycje nowego schematunarzędzia projektu - SSLftp, SSLtelnet, Torsec start center nie korzystają w chwili obecnej z bazy LDAP – Włosi są otwarci na propozycje nowego schematu Inne atrybuty klasy interOrgPerson do wykorzystania:Inne atrybuty klasy interOrgPerson do wykorzystania: userSMIMECertificate userSMIMECertificate userPKCS12 userPKCS12
Dziękuję za uwagę