Novinky v PKI službách CESNET

Novinky v PKI službách
CESNET
Jan Chvojka
Oddělení síťové identity
CESNET, z. s. p. o.
Správa identit v univerzitním prostředí
26. 11. 2015
Změny v TCS certifikátech
•
Původní certifikáty COMODO
•
Nové certifikáty DigiCert
•
Typy certifikátů
•
Kořeny certifikátů
•
Nový portál TCS služeb
•
TCS vám nevyhovuje? Alternativa: fedRA
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (1/11)
Původní certifikáty od COMODO
•
Certifikáty se nebudou revokovat
•
Osobní certifikáty lze revokovat na původním
portálu https://tcs-p.cesnet.cz/
•
Serverové certifikáty lze revokovat na adrese
https://tcs.cesnet.cz/lst/
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (2/11)
Nové certifikáty
•
Návod pro připojení ke službě TCS certifikáty
https://pki.cesnet.cz/cs/tcs-admin.html
•
Nový společný portál pro osobní i serverové
certifikáty https://tcs.cesnet.cz/
•
Nový význam zkratky - TERENA Trusted
Certificate Service
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (3/11)
Nové certifikáty
•
•
Serverové běžné resp. gridové
•
Nutné mít domény ověřené DigiCertem
•
OV, validace platná 3 roky, možnost EV
•
platnost 1-3 roky resp. 1 rok
Osobní gridové
•
platnost 1 rok
•
Předmět: Jméno Příjmení unstructuredName
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (4/11)
Nové certifikáty
•
Kde jsou běžné osobní?
•
Bohužel neobsahují jednoznačný
identifikátor uživatele (unstructuredName),
jednáme s dodavatelem o řešení.
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (5/11)
Nový kořen - osobní cert.
C=US, O=DigiCert Inc,
OU=www.digicert.com,
CN=DigiCert Assured ID
Root CA
C=NL, ST=Noord-Holland,
L=Amsterdam, O=TERENA,
CN=TERENA eScience
Personal CA 3
Gridový osobní certifikát
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (6/11)
Nový kořen - serverové cert.
C=US, O=DigiCert Inc,
OU=www.digicert.com,
CN=DigiCert Assured ID
Root CA
C=NL, ST=Noord-Holland,
L=Amsterdam, O=TERENA,
CN=TERENA SSL CA 3
C=NL, ST=Noord-Holland,
L=Amsterdam, O=TERENA,
CN=TERENA eScience SSL
CA 3
Běžný serverový certifikát
Gridový serverový certifikát
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (7/11)
Nový kořen - EV serverové cert.
C=US, O=DigiCert Inc,
OU=www.digicert.com,
CN=DigiCert High
Assurance EV Root CA
C=NL, ST=Noord-Holland,
L=Amsterdam, O=TERENA,
CN=TERENA SSL High
Assurance CA 3
EV serverový certifikát
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (8/11)
Nový portál TCS
•
Nový portál pro TCS certifikáty je na adrese
https://tcs.cesnet.cz/
•
Část pro správce organizací je na adrese
https://tcs.cesnet.cz/adm/
•
Jaké atributy posílá vaše IdP na portál zjistíte na adrese
https://tcs.cesnet.cz/attributes
•
Mailing listy pro správce sloučeny do jediného listu
[email protected]
•
Nepoužívejte portál DigiCertu - ztrácí se vazba na náš
portál a nefungují nastavené procesy
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (9/11)
Standard mi nevyhovuje
•
TCS certifikáty z nějakého důvodu (např.
použití certifikátu) nevyhovují?
•
Záložní řešení - fedRA
•
Výhoda - parametry lze mnohem lépe nastavit
•
Nevýhoda - kořen není v prohlížečích
•
Přístup k fedRA - Web Services, popř. Web
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (10/11)
Prostor na dotazy
Otázky?
Služby e-infrastruktury CESNET
Správa identit v univerzitním prostředí (11/11)
Děkuji za pozornost
Seminář Správa identit v univerzitním prostředí 2015
26.11.2015