RA дейности BG. ACAD | CA Bulgarian Academic Certification Authority e-mail: operations@ca. acad. bg http: //www. ca. acad. bg phones 979 -6614 979 -6615 979 -6681 BG. ACAD | CA
Общи положения o o RA (Registration Authority) се занимава с проверка на документите и заявката на Кандидатите за сертификат. RA изпраща проверената заявка за подписване от СА (Certification Authority) BG. ACAD | CA 2
Необходими условия за RA • • ü Да притежава валиден сертификат издаден от BG. ACAD|CA Да подпише декларация за съгласие с политиката на BG. ACAD|CA и че е запознат с правата и задълженията на RA Да има достъп до сигурен компютър с инсталиран нужния за работата софтуер BG. ACAD | CA 3
Работа на RA o Лична среща с Кандидата за сертификат, на която извършва: n n n Проверка на личната карта или паспорта на Кандидата Проверка на служебната бележка за месторабота на Кандидата Проверка на заявката за сертификат (Certificate Request) Проверка на алтернативните имена в заявката (e-mail или име на хост) Дава на Кандидата да подпише декларация за съгласие с политиката на BG. ACAD|CA BG. ACAD | CA 4
Проверка на личната карта (паспорт) Ø Ø Практиката показва, че има Кандидати, които НЕ СА ОБЪРНАЛИ ВНИМАНИЕ как точно им се пишат имената на латиница в личната карта ИЛИ знаят, но са свикнали да си пишат името по друг начин. Трите имена от личната карта на латиница трябва да съвпадат с тези от заявката. (заб. Второто име може да е съкратено с точка. ) BG. ACAD | CA 5
Проверка на служебната бележка за месторабота Ø Ø Ø От тази бележка трябва да е ясно, че Кандидатът е на трудов договор (пълен или частичен), докторант или студент към съответната институция (ако е заявка за персонален серт. ) или администрира хоста, за който иска сертификат (ако е заявка за хост. серт) Практиката показва, че има Кандидати, които НЕ ЗНАЯТ как точно легално им се пише местоработата и отдела (на кирилица или на латиница) и си ги пишат, както им падне. Поне RA трябва да знае точното име и неговото съкращение на институцията, за която е назначен. Ако Кандидатът напусне преди да му е изтекъл сертификата, то RA е длъжен да уведоми BG. ACAD|CA BG. ACAD | CA 6
Проверка на заявката за сертификат o (1) Проверката се прави на сигурния компютър на RA, на който има инсталирана Unix-съвместима ОС и актуална версия на Open. SSL (http: //www. openssl. org) o Командата е: openssl req -in файл -text -noout BG. ACAD | CA 7
Проверка на заявката за сертификат o Ø (2) Проверяват се: Първите три полета от Subject трябва да са: DC=bg, DC=acad, O=people (ако е заявка за персонален серт. ) или DC=bg, DC=acad, O=host (ако е заявка за хост серт. ) Ø ü Четвъртото поле представлява организацията така, както е прието по закон да се изписва на латиница (напълно или съкратено). Например: O=IM-BAS (това е И-т по Механика, БАН) Заб. В стойностите на полетата могат да участват само символи букви на латиница, интервал, тире и точка. BG. ACAD | CA 8
Проверка на заявката за сертификат o (3) Петото поле на Subject представлява пълно или съкратено име на отдела в институцията (OU, Organization Unit) така, както е законно прието. Пример: OU=DCMF BG. ACAD | CA 9
Проверка на заявката за сертификат o (4) Шестото поле (CN) представлява трите имена на Кандидата (ако е заявка за персонален серт. ) или пълното име на хост (ако е заявка за хост серт. ) Примери: CN=Kiril S. Shterev или CN=ce 001. fmi. uni-sofia. bg BG. ACAD | CA 10
Проверка на заявката за сертификат (5) При заявка за персонален сертификат, трябва да има дефиниран поне един валиден email като Subject Alternative Name Пример: o X 509 v 3 Subject Alternative Name: email: kshterev@imbm. bas. bg BG. ACAD | CA 11
Проверка на заявката за сертификат (6) При заявка за хост сертификат, трябва да има дефиниран поне едно валидно име на хост като Subject Alternative Name Пример: o X 509 v 3 Subject Alternative Name: DNS: ce 001. fmi. uni-sofia. bg BG. ACAD | CA 12
Проверка на заявката за сертификат o o (7) Алгоритъмът на публичния ключ трябва да е rsa. Encryption Дължината на публичния ключ RSA Public Key) на заявката трябва да е 2048 бита. Пример: RSA Public Key: (2048 bit) BG. ACAD | CA 13
Проверка на валидността на алтернативните имена (1) o o Ø Проверка на е-mail (ако е заявка за персонален серт. ) RA трябва да провери по надежден начин, че дадените е-mail-и са валидни, принадлежат на Кандидата и работят в момента. (Заб. Практиката показва, че много институции НЕ приемат сертификат с НЕ-институционален или свободен провайдер като gmail, hotmail, yahoo и пр. ) BG. ACAD | CA 14
Проверка на валидността на алтернативните имена (2) o o o Проверка на име на хост (ако е заявка за хост серт. ) RA трябва да провери по надежден начин, че дадените имена са валидни и се администрират се от Кандидата. Имената трябва да имат прав и обратен запис в DNS. (вж. команда dig в Unix) BG. ACAD | CA 15
Примерен вид на заявката (със съкращения) Certificate Request: Data: Version: 0 (0 x 0) Subject: DC=bg, DC=acad, O=people, O=IM-BAS, OU=DCMF, CN=Kiril S. Shterev Subject Public Key Info: Public Key Algorithm: rsa. Encryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00: bf: . . . Requested Extensions: X 509 v 3 Subject Alternative Name: email: kshterev@imbm. bas. bg Signature Algorithm: sha 1 With. RSAEncryption 7 d: cd: 83: 56: . . . BG. ACAD | CA 16
Декларация на Кандидата за съгласие с политиката на СА o o o Декларацията се изтегля от http: //ca. acad. bg/statement. html Отпечатва се и Кандидатът я попълва както на кирилица, така и на латиница в съответствие с вече дадените указания и я подписва. RA проверява декларацията дали е правилно и точно попълнена. Уведомява Кандидата, че ако всичко е наред, сертификатът ще бъде подписан в срок от 5 (пет) работни дни и ще бъде публикуван на http: //www. ca. acad. bg/certs/ и с това приключва личната среща. BG. ACAD | CA 17
Изпращане на заявката до СА v Ако всички тези проверки са успешни, то RA изпраща по е-mail файла със заявката в електронно подписано писмо до operations@ca. acad. bg или ги занася лично записани на ел. носител (флаш-памет, CD, дискета) на някой от персонала на СА в ИПОИБАН, ст. 201, 202 или 204 BG. ACAD | CA 18
Други дейности и задължения на RA § Ø RA събира и пази нужните документи (служ. бележки, декларации) и периодично и в удобно за него време ги предава лично на персонала на СА. Да обяснява ясно на Кандидатите да се отнасят отговорно с частния си ключ (private key). BG. ACAD | CA 19
Скачать презентацию RA дейности BG ACAD CA Bulgarian Academic
caac56a54a2289fffe5550bb732be1dc.ppt