1 CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS
2 PIONIER PKI Wdrożenie infrastruktury klucza publicznego dla użytkowników sieci PIONIER. Wystawia certyfikaty dla instytucji naukowych i edukacyjnych obsługiwanych przez PIONIER. PLATON wykorzystuje infrastrukturę PIONIER, więc może korzystać PIONIER PKI.
3 Struktura PIONIER PKI Główny Urząd Certyfikacji Pośrednie Urzędy Certyfikacji Końcowe Urzędy Certyfikacji Użytkownicy końcowi są obsługiwani przez CA tego poziomu. PLATON-U4 jest obsługiwany przez WCSS-CA-1 Urzędy rejestracji Pobieżna znajomość struktury PIONIER PKI jest potrzebna do świadomego korzystania portalu PIONIER PKI.
4 PIONIER PKI WCSS-CA-1 Do obsługi PLATON-U4 wybrano WCSS-CA-1.Poruszając się po witrynie PIONIER PKI należy pamiętać że jesteśmy zainteresowani konkretnie WCSS-CA-1 Osobny plik z polityką Dedykowany formularz żądania certyfikatu
5 Cechy PIONIER PKI WCSS-CA-1Subskrybenci. Certyfikaty Urzędu Certyfikacji PIONIER PKI WCSS-CA-1 wydawane są wyłącznie dla subskrybentów związanych z instytucjami przyłączonymi do sieci PIONIER, w szczególności związanych ze środowiskiem naukowo-badawczym i akademickim. Dozwolone zastosowania. Certyfikaty wystawiane przez PIONIER PKI WCSS-CA-1 MOGĄ być stosowane w różnych aplikacjach internetowych obsługujących certyfikaty X.509 w celu uwierzytelnienia klienta, uwierzytelnienia serwera, uwierzytelnienia i szyfrowania komunikacji, weryfikacji podpisów cyfrowych (między innymi: poczta elektroniczna, dostęp do WWW, dostęp do sieci komputerowej oraz zdalny dostęp do systemów komputerowych). Zabronione zastosowania. Certyfikaty wystawiane przez PIONIER PKI WCSS-CA-1 NIE MOGĄ być używane w żadnych zastosowaniach komercyjnych i finansowych, w zastosowaniach wymagających certyfikatów kwalifikowanych oraz w działalności niezgodnej z prawem. Uwierzytelnienie. Tożsamość osoby ubiegającej się o certyfikację klucza publicznego MUSI być weryfikowana w czasie osobistego kontaktu z Urzędem Rejestracji na podstawie dokumentu pozwalającego potwierdzić tożsamość osoby. Subskrybent zlecający wniosek certyfikacji, zawierając nazwę wyróżnionioną skojarzoną z konkretną instytucją, MUSI dostarczyć poświadczenie o przynależności do danej organizacji lub odpowiedni Urząd Rejestracji MUSI otrzymać potwierdzenie takiej przynależności
6 Witryna PIONIER PKI
7 PIONIER PKI Strona pozwala na Zapoznanie się z polityką CAWygenerowanie żądania certyfikatu. Odnowienie certyfikatu Pobranie list CRL Pobranie certyfikatów CA Unieważnienie certyfikatu
8 Polityka CA-WCSS-1 Dokument Polityk Certyfikacji oraz Kodeksu Postępowania Certyfikacyjnego opisuje procedury stosowane przez Urząd Certyfikacji PIONIER PKI WCSS-CA-1 podczas certyfikacji klucza publicznego, definiuje uczestników tego procesu oraz określa obszary zastosowań certyfikatów uzyskanych w tym procesie.
9 Polityka CA Z poziomu głównej strony przechodzimy do podstrony Dokumenty.
10 Polityka CA Znajdujemy sekcję Urząd Certyfikacji PIONIER PKI CA-WCSS-1.
11 Polityka CA-WCSS-1 Główne założenia polityki zostały przedstawione na slajdzie „Cechy PIONIER PKI WCSS-CA-1” W praktyce dokument napisany fachowym językiem i obejmujący obszary nie istotne dla końcowego użytkownika, przykład: Nazwy stosowane w polach subject name i issuer name MUSZĄ być zgodne z formatem nazw wyróżnionych standardu X.501. Wszystkie elementy nazwy wyróżnionej MUSZĄ być zapisane w formacie PrintableString lub UTF8String lub IA5String (tylko pole ). Adres MUSI mieć strukturę zgodną z RFC822 i MUSI być zapisywany w formacie IA5String. Struktura nazwy domenowej MUSI być zgodna z RFC2247.
12 Polityka CA-WCSS-1 Procedura pozyskania certyfikatu zakłada złożenie podpisu pod wnioskiem stwierdzającym że użytkownik zapoznał się Polityką Certyfikacji oraz Kodeksem Postępowania Certyfikacyjnego Urzędu Certyfikacji.
13 Pozyskanie certyfikatuWygenerowanie żądania certyfikatu. Uwierzytelnienie przez RA. Podpisanie przez CA. Instalacja certyfikatu w przeglądarce. Kopia zapasowa i eksport do „innych” programów / formatów.
14 Wygenerowanie żądaniaNależy wypełnić formularz na stronie www. Przy wysyłaniu formularza, przeglądarka generuje klucz prywatny, publiczny i żądanie podpisania certyfikatu. Klucz prywatny nie opuszcza komputera użytkownika. Do CA przesyłane jest żądanie podpisania certyfikatu. CA (po podpisaniu certyfikatu), odsyła do użytkownika link którego „kliknięcie” spowoduje zainstalowanie w przeglądarce podpisanego certyfikatu. Instalacja certyfikatu musi się odbyć z tego samego komputera i przeglądarki z której zostało wygenerowane żądanie.
15 Wygenerowanie żądaniaZ poziomu głównej strony przechodzimy do Certyfikacja
16 Wygenerowanie żądaniaPrzechodzimy do podstrony obsługującej CA-WCSS-1
17 Wygenerowanie żądaniaKlikamy: Utwórz certyfikat osobisty z dowolną nazwą organizacji
18 Wygenerowanie żądaniaFormularz zgłoszeniowy:
19 Uwierzytelnienie Po wysłaniu formularza:żądanie trafia do kolejki, na podany adres zostanie przysłany link do pliku z wnioskiem o wydanie certyfikatu klucza publicznego. Wniosek należy wydrukować, podpisać i złożyć we właściwym RA (tj. w tym które zostało wskazane przy wypełnianiu formularza). Zgodnie z polityką, przy składaniu wniosku należy posiadać dokument potwierdzający tożsamość i przynależność do organizacji.
20 Uwierzytelnienie, wniosek do RAOsoba pełniąca rolę RA, po przyjęciu i zweryfikowaniu wniosku zatwierdza oczekujące w kolejce żądanie.
21 Podpisanie certyfikatuPo pozytywnym zweryfikowaniu przez RA, następuje właściwe podpisanie certyfikatu przez CA. Użytkownik dostaje maila z potwierdzeniem podpisania certyfikatu i z informacją jak go zainstalować w przeglądarce.
22 Instalacja certyfikatuInstalacja polega na użyciu linka przysłanego przez CA po podpisaniu certyfikatu. Link należy użyć na tej samej przeglądarce z której wysłano żądanie wystawienia certyfikatu.
23 Instalacja certyfikatuPo zainstalowaniu, certyfikat powinien się znaleźć na liście certyfikatów osobistych w przeglądarce. Klikamy: Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->Użytkownik Certyfikat dla Gracjan Jankowski podpisany przez PIONIER UWAGA: W praktyce firefox na podstawie DN użytkownika i CA stara się użyć możliwie „przyjaznej” nazwy.
24 Zarządzanie certyfikatemWyświetla szczegóły certyfikatu. Wgranie certyfikatu z kopii zapasowej (w formacie pkcs12) Zapis kopii zapasowej. (w formacie pkcs12, razem z kluczem prywatnym)
25 Zarządzanie certyfikatem – kopia zapasowaKopia zawiera klucz prywatny użytkownika. Podczas zapisu kopii musimy ustalić hasło zabezpieczające. Hasło będzie potrzebne przy odtwarzaniu / importowaniu certyfikatu.
26 Zarządzanie certyfikatem – eksportFunkcja eksportu pozwala na zapisanie certyfikatu do pliku z pominięciem klucza prywatnego. W oknie ze szczegółami certyfikatu wybieramy zakładkę „Szczegóły” a następnie klikamy przycisk „Eksportuj…”
27 Zarządzanie certyfikatem – eksportFunkcja eksportu pozwala na zapisanie certyfikatu do pliku z pominięciem klucza prywatnego. W oknie ze szczegółami certyfikatu wybieramy zakładkę „Szczegóły” a następnie klikamy przycisk „Eksportuj…”
28 Formaty kluczy i certyfikatów w PLATON-U4Dodanie użytkownika do usługi wymaga podania certyfikatu w formacie pem. Korzystanie z usługi przez sftp, sshfs lub grid-ftp z poziomu systemu Linux wymaga dostępu do klucza prywatnego w formacie pem. Korzystanie z usługi z poziomu Windows z programów takich jak WinSCP, psftp, Filezilla wymaga klucza prywatnego w formacie ppk. Korzystanie z poziomu przeglądarki z zainstalowanym certyfikatem nie wymaga dalszej konfiguracji.
29 Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4Na systemie Windows, do automatycznej konwersji kopii zapasowej certyfikatu do pozostałych wymaganych formatów służy program KeyExtractor Program można pobrać ze storny: https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty Na systemie Linux, do konwersji kopii zapasowej certyfikatu na wymagane formaty należy użyć komendy openssl Konkretne przykłady użycia komendy openssl znajdują się na stronie https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty w sekcji Eksport, import, konwersja -programy klienckie
30 Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4Program KeyExtractor zabezpiecza klucze prywatne tym samym kluczem, który był użyty do zapisu kopii zapasowej certyfikatu. Program openssl pozwala na uzyskanie kluczy prywatnych, nie zabezpieczonych hasłem. Program openssl jest dostępny również dla systemu Windows:
31 KeyExtractor – Przykład użyciaPrzed użyciem programu KeyExtractor, zapisujemy do pliku kopię zapasową certyfikatu. Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->Użytkownik ->[certyfikat na liście]->Kopia zapasowa …
32 KeyExtractor – Przykład użyciaZapis kopii wymaga ustanowienia hasła zabezpieczającego. Hasło to będzie potrzebne przy konwersji.
33 KeyExtractor – Przykład użyciaZe strony https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty pobieramy paczkę KeyExtractor.zip Po rozpakowaniu program jest gotowy do uruchomienia. Program uruchamiamy plikiem KeyExtractor.exe
34 KeyExtractor – Przykład użyciaPo uruchomieniu program KeyExtractor oczekuje na podanie hasła i wskazanie pliku z kopią zapasową certyfikatu.
35 KeyExtractor – Przykład użyciaPo zatwierdzeniu wprowadzonych danych, należy wskazać katalog w którym zostaną zapisane klucze i certyfikat w wymaganych formatach.
36 KeyExtractor – Przykład użyciaWidok katalogu z zapisanymi kluczami i certyfikatem
37 KeyExtractor – Przykład użyciaPliki utworzone przez KeyExtractor usercert.pem certyfikat użytkownika potrzebny do założenia konta w usłudze userkey.pem klucz prywatny do użycia pod systemem Linux userkey.ppk klucz prywatny do użycia pod systemem Windows
38 Podsumowanie Prezentacja kończy się w miejscu gdzie użytkownik posiada zestaw kluczy i certyfikatów potrzebnych do korzystania z usługi. Użycie tych kluczy przez poszczególne metody dostępowe jest pokazane w części praktycznej warsztatów.
39 TCS https://tcs.pionier.gov.pl/
40 TCS Dla przykładu, pracownik PCSS-u odnajduje swoją instytucję na liście.
41 TCS TCS wystawia certyfikaty do różnych celówUżytkownik usługi PLATON-U4 potrzebuje „Terrena Personal Certificate”
42 TCS
43 TCS
44 TCS Po wysłaniu formularza dostaniemy link do wniosku który należy wydrukować, podpisać i wraz z dokumentem potwierdzającym tożsamość przedstawić RA CA, po podpisaniu certyfikatu prześle link do instalatora certyfikatu Link do instalatora musi być użyty z tej samej przeglądarki z której wygenerowano żądanie wystawienia certyfikatu
45 Polish Grid CA https://plgrid-ca.pl/
46 Polish Grid CA Użytkownik usługi PLATON-U4 potrzebuje certyfikatu osobistego
47 Polish Grid CA
48 Polish Grid CA – Lista RAAktualna lista RA: 1. POZNAN PCSS 2. KRAKOW Cyfronet 3. WARSAW INS/ICM Warsaw Technical University Obsertwatorium Astronimiczne Uniwersytetu Warszawskiego 4. Czestochowa Technical University of Czestochowa 5. Szczecin Szczecin University of Technology 6. Gdansk Academic Computer Centre in Gdansk TASK 7. Bialystok Bialystok Technical University
49 Polish Grid CA – Lista RA8. Lodz Technical University of Lodz 9. Zielona Gora University of Zielona Gora 10. Lublin UMCS 11. Opole Opole University 12. Wroclaw WCSS 13. Katowice
50 CA4U W trakcie opracowywania ZałożeniaMaksymalne uproszczenie procedury pozyskiwania, uwierzytelniania i instalacji certyfikatu i skojarzonych kluczy Wniosek składany przez internet Uwierzytelnienie przez sprawdzenie czy osoba która wypełniła formularz rzeczywiście pracuje w deklarowanej jednostce i czy podany adres jest poprawny Wysłanie na adres linka do instalatora który instaluje w systemie wszystkie pliki potrzebne do korzystania z PLATON-U4