Скачать презентацию RA дейности BG ACAD CA Bulgarian Academic Скачать презентацию RA дейности BG ACAD CA Bulgarian Academic

caac56a54a2289fffe5550bb732be1dc.ppt

  • Количество слайдов: 19

RA дейности BG. ACAD | CA Bulgarian Academic Certification Authority e-mail: operations@ca. acad. bg RA дейности BG. ACAD | CA Bulgarian Academic Certification Authority e-mail: [email protected] acad. bg http: //www. ca. acad. bg phones 979 -6614 979 -6615 979 -6681 BG. ACAD | CA

Общи положения o o RA (Registration Authority) се занимава с проверка на документите и Общи положения o o RA (Registration Authority) се занимава с проверка на документите и заявката на Кандидатите за сертификат. RA изпраща проверената заявка за подписване от СА (Certification Authority) BG. ACAD | CA 2

Необходими условия за RA • • ü Да притежава валиден сертификат издаден от BG. Необходими условия за RA • • ü Да притежава валиден сертификат издаден от BG. ACAD|CA Да подпише декларация за съгласие с политиката на BG. ACAD|CA и че е запознат с правата и задълженията на RA Да има достъп до сигурен компютър с инсталиран нужния за работата софтуер BG. ACAD | CA 3

Работа на RA o Лична среща с Кандидата за сертификат, на която извършва: n Работа на RA o Лична среща с Кандидата за сертификат, на която извършва: n n n Проверка на личната карта или паспорта на Кандидата Проверка на служебната бележка за месторабота на Кандидата Проверка на заявката за сертификат (Certificate Request) Проверка на алтернативните имена в заявката (e-mail или име на хост) Дава на Кандидата да подпише декларация за съгласие с политиката на BG. ACAD|CA BG. ACAD | CA 4

Проверка на личната карта (паспорт) Ø Ø Практиката показва, че има Кандидати, които НЕ Проверка на личната карта (паспорт) Ø Ø Практиката показва, че има Кандидати, които НЕ СА ОБЪРНАЛИ ВНИМАНИЕ как точно им се пишат имената на латиница в личната карта ИЛИ знаят, но са свикнали да си пишат името по друг начин. Трите имена от личната карта на латиница трябва да съвпадат с тези от заявката. (заб. Второто име може да е съкратено с точка. ) BG. ACAD | CA 5

Проверка на служебната бележка за месторабота Ø Ø Ø От тази бележка трябва да Проверка на служебната бележка за месторабота Ø Ø Ø От тази бележка трябва да е ясно, че Кандидатът е на трудов договор (пълен или частичен), докторант или студент към съответната институция (ако е заявка за персонален серт. ) или администрира хоста, за който иска сертификат (ако е заявка за хост. серт) Практиката показва, че има Кандидати, които НЕ ЗНАЯТ как точно легално им се пише местоработата и отдела (на кирилица или на латиница) и си ги пишат, както им падне. Поне RA трябва да знае точното име и неговото съкращение на институцията, за която е назначен. Ако Кандидатът напусне преди да му е изтекъл сертификата, то RA е длъжен да уведоми BG. ACAD|CA BG. ACAD | CA 6

Проверка на заявката за сертификат o (1) Проверката се прави на сигурния компютър на Проверка на заявката за сертификат o (1) Проверката се прави на сигурния компютър на RA, на който има инсталирана Unix-съвместима ОС и актуална версия на Open. SSL (http: //www. openssl. org) o Командата е: openssl req -in файл -text -noout BG. ACAD | CA 7

Проверка на заявката за сертификат o Ø (2) Проверяват се: Първите три полета от Проверка на заявката за сертификат o Ø (2) Проверяват се: Първите три полета от Subject трябва да са: DC=bg, DC=acad, O=people (ако е заявка за персонален серт. ) или DC=bg, DC=acad, O=host (ако е заявка за хост серт. ) Ø ü Четвъртото поле представлява организацията така, както е прието по закон да се изписва на латиница (напълно или съкратено). Например: O=IM-BAS (това е И-т по Механика, БАН) Заб. В стойностите на полетата могат да участват само символи букви на латиница, интервал, тире и точка. BG. ACAD | CA 8

Проверка на заявката за сертификат o (3) Петото поле на Subject представлява пълно или Проверка на заявката за сертификат o (3) Петото поле на Subject представлява пълно или съкратено име на отдела в институцията (OU, Organization Unit) така, както е законно прието. Пример: OU=DCMF BG. ACAD | CA 9

Проверка на заявката за сертификат o (4) Шестото поле (CN) представлява трите имена на Проверка на заявката за сертификат o (4) Шестото поле (CN) представлява трите имена на Кандидата (ако е заявка за персонален серт. ) или пълното име на хост (ако е заявка за хост серт. ) Примери: CN=Kiril S. Shterev или CN=ce 001. fmi. uni-sofia. bg BG. ACAD | CA 10

Проверка на заявката за сертификат (5) При заявка за персонален сертификат, трябва да има Проверка на заявката за сертификат (5) При заявка за персонален сертификат, трябва да има дефиниран поне един валиден email като Subject Alternative Name Пример: o X 509 v 3 Subject Alternative Name: email: [email protected] bas. bg BG. ACAD | CA 11

Проверка на заявката за сертификат (6) При заявка за хост сертификат, трябва да има Проверка на заявката за сертификат (6) При заявка за хост сертификат, трябва да има дефиниран поне едно валидно име на хост като Subject Alternative Name Пример: o X 509 v 3 Subject Alternative Name: DNS: ce 001. fmi. uni-sofia. bg BG. ACAD | CA 12

Проверка на заявката за сертификат o o (7) Алгоритъмът на публичния ключ трябва да Проверка на заявката за сертификат o o (7) Алгоритъмът на публичния ключ трябва да е rsa. Encryption Дължината на публичния ключ RSA Public Key) на заявката трябва да е 2048 бита. Пример: RSA Public Key: (2048 bit) BG. ACAD | CA 13

Проверка на валидността на алтернативните имена (1) o o Ø Проверка на е-mail (ако Проверка на валидността на алтернативните имена (1) o o Ø Проверка на е-mail (ако е заявка за персонален серт. ) RA трябва да провери по надежден начин, че дадените е-mail-и са валидни, принадлежат на Кандидата и работят в момента. (Заб. Практиката показва, че много институции НЕ приемат сертификат с НЕ-институционален или свободен провайдер като gmail, hotmail, yahoo и пр. ) BG. ACAD | CA 14

Проверка на валидността на алтернативните имена (2) o o o Проверка на име на Проверка на валидността на алтернативните имена (2) o o o Проверка на име на хост (ако е заявка за хост серт. ) RA трябва да провери по надежден начин, че дадените имена са валидни и се администрират се от Кандидата. Имената трябва да имат прав и обратен запис в DNS. (вж. команда dig в Unix) BG. ACAD | CA 15

Примерен вид на заявката (със съкращения) Certificate Request: Data: Version: 0 (0 x 0) Примерен вид на заявката (със съкращения) Certificate Request: Data: Version: 0 (0 x 0) Subject: DC=bg, DC=acad, O=people, O=IM-BAS, OU=DCMF, CN=Kiril S. Shterev Subject Public Key Info: Public Key Algorithm: rsa. Encryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00: bf: . . . Requested Extensions: X 509 v 3 Subject Alternative Name: email: [email protected] bas. bg Signature Algorithm: sha 1 With. RSAEncryption 7 d: cd: 83: 56: . . . BG. ACAD | CA 16

Декларация на Кандидата за съгласие с политиката на СА o o o Декларацията се Декларация на Кандидата за съгласие с политиката на СА o o o Декларацията се изтегля от http: //ca. acad. bg/statement. html Отпечатва се и Кандидатът я попълва както на кирилица, така и на латиница в съответствие с вече дадените указания и я подписва. RA проверява декларацията дали е правилно и точно попълнена. Уведомява Кандидата, че ако всичко е наред, сертификатът ще бъде подписан в срок от 5 (пет) работни дни и ще бъде публикуван на http: //www. ca. acad. bg/certs/ и с това приключва личната среща. BG. ACAD | CA 17

Изпращане на заявката до СА v Ако всички тези проверки са успешни, то RA Изпращане на заявката до СА v Ако всички тези проверки са успешни, то RA изпраща по е-mail файла със заявката в електронно подписано писмо до [email protected] acad. bg или ги занася лично записани на ел. носител (флаш-памет, CD, дискета) на някой от персонала на СА в ИПОИБАН, ст. 201, 202 или 204 BG. ACAD | CA 18

Други дейности и задължения на RA § Ø RA събира и пази нужните документи Други дейности и задължения на RA § Ø RA събира и пази нужните документи (служ. бележки, декларации) и периодично и в удобно за него време ги предава лично на персонала на СА. Да обяснява ясно на Кандидатите да се отнасят отговорно с частния си ключ (private key). BG. ACAD | CA 19