CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS

PIONIER PKI Wdrożenie infrastruktury klucza publicznego dla użytkowników sieci PIONIER. Wystawia certyfikaty dla instytucji naukowych i edukacyjnych obsługiwanych przez PIONIER. PLATON wykorzystuje infrastrukturę PIONIER, więc może korzystać PIONIER PKI.

Struktura PIONIER PKI Główny Urząd Certyfikacji Pośrednie Urzędy Certyfikacji Końcowe Urzędy Certyfikacji Użytkownicy końcowi są obsługiwani przez CA tego poziomu. PLATON-U4 jest obsługiwany przez WCSS-CA-1 Urzędy rejestracji Pobieżna znajomość struktury PIONIER PKI jest potrzebna do świadomego korzystania portalu PIONIER PKI.

PIONIER PKI WCSS-CA-1 Do obsługi PLATON-U4 wybrano WCSS-CA-1. Poruszając się po witrynie PIONIER PKI należy pamiętać że jesteśmy zainteresowani konkretnie WCSS-CA-1 Osobny plik z polityką Dedykowany formularz żądania certyfikatu

Cechy PIONIER PKI WCSS-CA-1 Subskrybenci. Certyfikaty Urzędu Certyfikacji PIONIER PKI WCSS-CA-1 wydawane są wyłącznie dla subskrybentów związanych z instytucjami przyłączonymi do sieci PIONIER, w szczególności związanych ze środowiskiem naukowo-badawczym i akademickim. Dozwolone zastosowania. Certyfikaty wystawiane przez PIONIER PKI WCSS-CA-1 MOGĄ być stosowane w różnych aplikacjach internetowych obsługujących certyfikaty X.509 w celu uwierzytelnienia klienta, uwierzytelnienia serwera, uwierzytelnienia i szyfrowania komunikacji, weryfikacji podpisów cyfrowych (między innymi: poczta elektroniczna, dostęp do WWW, dostęp do sieci komputerowej oraz zdalny dostęp do systemów komputerowych). Zabronione zastosowania. Certyfikaty wystawiane przez PIONIER PKI WCSS-CA-1 NIE MOGĄ być używane w żadnych zastosowaniach komercyjnych i finansowych, w zastosowaniach wymagających certyfikatów kwalifikowanych oraz w działalności niezgodnej z prawem. Uwierzytelnienie. Tożsamość osoby ubiegającej się o certyfikację klucza publicznego MUSI być weryfikowana w czasie osobistego kontaktu z Urzędem Rejestracji na podstawie dokumentu pozwalającego potwierdzić tożsamość osoby. Subskrybent zlecający wniosek certyfikacji, zawierając nazwę wyróżnionioną skojarzoną z konkretną instytucją, MUSI dostarczyć poświadczenie o przynależności do danej organizacji lub odpowiedni Urząd Rejestracji MUSI otrzymać potwierdzenie takiej przynależności

Witryna PIONIER PKI http://www.pki.pionier.net.pl

PIONIER PKI Strona pozwala na Zapoznanie się z polityką CA Wygenerowanie żądania certyfikatu. Odnowienie certyfikatu Pobranie list CRL Pobranie certyfikatów CA Unieważnienie certyfikatu

Polityka CA-WCSS-1 Dokument Polityk Certyfikacji oraz Kodeksu Postępowania Certyfikacyjnego opisuje procedury stosowane przez Urząd Certyfikacji PIONIER PKI WCSS-CA-1 podczas certyfikacji klucza publicznego, definiuje uczestników tego procesu oraz określa obszary zastosowań certyfikatów uzyskanych w tym procesie.

Polityka CA Z poziomu głównej strony przechodzimy do podstrony Dokumenty.

Polityka CA Znajdujemy sekcję Urząd Certyfikacji PIONIER PKI CA-WCSS-1.

Polityka CA-WCSS-1 Główne założenia polityki zostały przedstawione na slajdzie „Cechy PIONIER PKI WCSS-CA-1” W praktyce dokument napisany fachowym językiem i obejmujący obszary nie istotne dla końcowego użytkownika, przykład: Nazwy stosowane w polach subject name i issuer name MUSZĄ być zgodne z formatem nazw wyróżnionych standardu X.501. Wszystkie elementy nazwy wyróżnionej MUSZĄ być zapisane w formacie PrintableString lub UTF8String lub IA5String (tylko pole e-mail). Adres e-mail MUSI mieć strukturę zgodną z RFC822 i MUSI być zapisywany w formacie IA5String. Struktura nazwy domenowej MUSI być zgodna z RFC2247.

Polityka CA-WCSS-1 Procedura pozyskania certyfikatu zakłada złożenie podpisu pod wnioskiem stwierdzającym że użytkownik zapoznał się Polityką Certyfikacji oraz Kodeksem Postępowania Certyfikacyjnego Urzędu Certyfikacji.

Pozyskanie certyfikatu Wygenerowanie żądania certyfikatu. Uwierzytelnienie przez RA. Podpisanie przez CA. Instalacja certyfikatu w przeglądarce. Kopia zapasowa i eksport do „innych” programów / formatów.

Wygenerowanie żądania Należy wypełnić formularz na stronie www. Przy wysyłaniu formularza, przeglądarka generuje klucz prywatny, publiczny i żądanie podpisania certyfikatu. Klucz prywatny nie opuszcza komputera użytkownika. Do CA przesyłane jest żądanie podpisania certyfikatu. CA (po podpisaniu certyfikatu), odsyła do użytkownika link którego „kliknięcie” spowoduje zainstalowanie w przeglądarce podpisanego certyfikatu. Instalacja certyfikatu musi się odbyć z tego samego komputera i przeglądarki z której zostało wygenerowane żądanie.

Wygenerowanie żądania Z poziomu głównej strony przechodzimy do Certyfikacja

Wygenerowanie żądania Przechodzimy do podstrony obsługującej CA-WCSS-1

Wygenerowanie żądania Klikamy: Utwórz certyfikat osobisty z dowolną nazwą organizacji

Wygenerowanie żądania Formularz zgłoszeniowy:

Uwierzytelnienie Po wysłaniu formularza: żądanie trafia do kolejki, na podany adres e-mail zostanie przysłany link do pliku z wnioskiem o wydanie certyfikatu klucza publicznego. Wniosek należy wydrukować, podpisać i złożyć we właściwym RA (tj. w tym które zostało wskazane przy wypełnianiu formularza). Zgodnie z polityką, przy składaniu wniosku należy posiadać dokument potwierdzający tożsamość i przynależność do organizacji.

Uwierzytelnienie, wniosek do RA Osoba pełniąca rolę RA, po przyjęciu i zweryfikowaniu wniosku zatwierdza oczekujące w kolejce żądanie.

Podpisanie certyfikatu Po pozytywnym zweryfikowaniu przez RA, następuje właściwe podpisanie certyfikatu przez CA. Użytkownik dostaje maila z potwierdzeniem podpisania certyfikatu i z informacją jak go zainstalować w przeglądarce.

Instalacja certyfikatu Instalacja polega na użyciu linka przysłanego przez CA po podpisaniu certyfikatu. Link należy użyć na tej samej przeglądarce z której wysłano żądanie wystawienia certyfikatu.

Instalacja certyfikatu Po zainstalowaniu, certyfikat powinien się znaleźć na liście certyfikatów osobistych w przeglądarce. Klikamy: Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->Użytkownik Certyfikat dla Gracjan Jankowski podpisany przez PIONIER UWAGA: W praktyce firefox na podstawie DN użytkownika i CA stara się użyć możliwie „przyjaznej” nazwy.

Zarządzanie certyfikatem Wyświetla szczegóły certyfikatu. Wgranie certyfikatu z kopii zapasowej (w formacie pkcs12) Zapis kopii zapasowej. (w formacie pkcs12, razem z kluczem prywatnym)

Zarządzanie certyfikatem – kopia zapasowa Kopia zawiera klucz prywatny użytkownika. Podczas zapisu kopii musimy ustalić hasło zabezpieczające. Hasło będzie potrzebne przy odtwarzaniu / importowaniu certyfikatu.

Zarządzanie certyfikatem – eksport Funkcja eksportu pozwala na zapisanie certyfikatu do pliku z pominięciem klucza prywatnego. W oknie ze szczegółami certyfikatu wybieramy zakładkę „Szczegóły” a następnie klikamy przycisk „Eksportuj…”

Zarządzanie certyfikatem – eksport Funkcja eksportu pozwala na zapisanie certyfikatu do pliku z pominięciem klucza prywatnego. W oknie ze szczegółami certyfikatu wybieramy zakładkę „Szczegóły” a następnie klikamy przycisk „Eksportuj…”

Formaty kluczy i certyfikatów w PLATON-U4 Dodanie użytkownika do usługi wymaga podania certyfikatu w formacie pem. Korzystanie z usługi przez sftp, sshfs lub grid-ftp z poziomu systemu Linux wymaga dostępu do klucza prywatnego w formacie pem. Korzystanie z usługi z poziomu Windows z programów takich jak WinSCP, psftp, Filezilla wymaga klucza prywatnego w formacie ppk. Korzystanie z poziomu przeglądarki z zainstalowanym certyfikatem nie wymaga dalszej konfiguracji.

Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4 Na systemie Windows, do automatycznej konwersji kopii zapasowej certyfikatu do pozostałych wymaganych formatów służy program KeyExtractor Program można pobrać ze storny: https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty Na systemie Linux, do konwersji kopii zapasowej certyfikatu na wymagane formaty należy użyć komendy openssl Konkretne przykłady użycia komendy openssl znajdują się na stronie https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty w sekcji Eksport, import, konwersja -programy klienckie

Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4 Program KeyExtractor zabezpiecza klucze prywatne tym samym kluczem, który był użyty do zapisu kopii zapasowej certyfikatu. Program openssl pozwala na uzyskanie kluczy prywatnych, nie zabezpieczonych hasłem. Program openssl jest dostępny również dla systemu Windows: http://slproweb.com/products/Win32OpenSSL.html

KeyExtractor – Przykład użycia Przed użyciem programu KeyExtractor, zapisujemy do pliku kopię zapasową certyfikatu. Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->Użytkownik ->[certyfikat na liście]->Kopia zapasowa …

KeyExtractor – Przykład użycia Zapis kopii wymaga ustanowienia hasła zabezpieczającego. Hasło to będzie potrzebne przy konwersji.

KeyExtractor – Przykład użycia Ze strony https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty pobieramy paczkę KeyExtractor.zip Po rozpakowaniu program jest gotowy do uruchomienia. Program uruchamiamy plikiem KeyExtractor.exe

KeyExtractor – Przykład użycia Po uruchomieniu program KeyExtractor oczekuje na podanie hasła i wskazanie pliku z kopią zapasową certyfikatu.

KeyExtractor – Przykład użycia Po zatwierdzeniu wprowadzonych danych, należy wskazać katalog w którym zostaną zapisane klucze i certyfikat w wymaganych formatach.

KeyExtractor – Przykład użycia Widok katalogu z zapisanymi kluczami i certyfikatem

KeyExtractor – Przykład użycia Pliki utworzone przez KeyExtractor usercert.pem certyfikat użytkownika potrzebny do założenia konta w usłudze userkey.pem klucz prywatny do użycia pod systemem Linux userkey.ppk klucz prywatny do użycia pod systemem Windows

Podsumowanie Prezentacja kończy się w miejscu gdzie użytkownik posiada zestaw kluczy i certyfikatów potrzebnych do korzystania z usługi. Użycie tych kluczy przez poszczególne metody dostępowe jest pokazane w części praktycznej warsztatów.

TCS https://tcs.pionier.gov.pl/

TCS Dla przykładu, pracownik PCSS-u odnajduje swoją instytucję na liście.

TCS TCS wystawia certyfikaty do różnych celów Użytkownik usługi PLATON-U4 potrzebuje „Terrena Personal Certificate”

TCS

TCS

TCS Po wysłaniu formularza dostaniemy link do wniosku który należy wydrukować, podpisać i wraz z dokumentem potwierdzającym tożsamość przedstawić RA CA, po podpisaniu certyfikatu prześle link do instalatora certyfikatu Link do instalatora musi być użyty z tej samej przeglądarki z której wygenerowano żądanie wystawienia certyfikatu

Polish Grid CA https://plgrid-ca.pl/

Polish Grid CA Użytkownik usługi PLATON-U4 potrzebuje certyfikatu osobistego

Polish Grid CA

Polish Grid CA – Lista RA Aktualna lista RA: http://www.man.poznan.pl/plgrid-ca/ra-list.html 1. POZNAN PCSS 2. KRAKOW Cyfronet 3. WARSAW INS/ICM Warsaw Technical University Obsertwatorium Astronimiczne Uniwersytetu Warszawskiego 4. Czestochowa Technical University of Czestochowa 5. Szczecin Szczecin University of Technology 6. Gdansk Academic Computer Centre in Gdansk TASK 7. Bialystok Bialystok Technical University

Polish Grid CA – Lista RA 8. Lodz Technical University of Lodz 9. Zielona Gora University of Zielona Gora 10. Lublin UMCS 11. Opole Opole University 12. Wroclaw WCSS 13. Katowice

CA4U W trakcie opracowywania Założenia Maksymalne uproszczenie procedury pozyskiwania, uwierzytelniania i instalacji certyfikatu i skojarzonych kluczy Wniosek składany przez internet Uwierzytelnienie przez sprawdzenie czy osoba która wypełniła formularz rzeczywiście pracuje w deklarowanej jednostce i czy podany adres email jest poprawny Wysłanie na adres e-mail linka do instalatora który instaluje w systemie wszystkie pliki potrzebne do korzystania z PLATON-U4