1 / 19

RA дейности

RA дейности. BG.ACAD | CA Bulgarian Academic Certification Authority e-mail: operations@ca.acad.bg http://www.ca.acad.bg phones 979-6614 979-6615 979-6681. Общи положения.

genna
Download Presentation

RA дейности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. RA дейности BG.ACAD | CABulgarian Academic Certification Authority e-mail: operations@ca.acad.bg http://www.ca.acad.bg phones 979-6614 979-6615 979-6681

  2. Общи положения • RA(Registration Authority) се занимава с проверка на документите и заявката на Кандидатите за сертификат. • RAизпраща проверената заявка за подписване от СА (Certification Authority) BG.ACAD | CA

  3. Необходими условия за RA • Да притежава валиден сертификат издаден от BG.ACAD|CA • Да подпише декларация за съгласие с политиката на BG.ACAD|CA и че е запознат с правата и задълженията на RA • Да има достъп до сигурен компютър с инсталиран нужния за работата софтуер BG.ACAD | CA

  4. Работа на RA • Лична среща с Кандидата за сертификат, на която извършва: • Проверка на личната карта или паспорта на Кандидата • Проверка на служебната бележка за месторабота на Кандидата • Проверка на заявката за сертификат (Certificate Request) • Проверка на алтернативните имена в заявката (e-mail или име на хост) • Дава на Кандидата да подпише декларация за съгласие с политиката на BG.ACAD|CA BG.ACAD | CA

  5. Проверка на личната карта (паспорт) • Практиката показва, че има Кандидати, които НЕ СА ОБЪРНАЛИ ВНИМАНИЕ как точно им се пишат имената на латиница в личната карта ИЛИ знаят, но са свикнали да си пишат името по друг начин. • Трите имена от личната карта на латиница трябва да съвпадат с тези от заявката. (заб. Второто име може да е съкратено с точка.) BG.ACAD | CA

  6. Проверка на служебната бележка за месторабота • От тази бележка трябва да е ясно, че Кандидатът е на трудов договор (пълен или частичен), докторант или студент към съответната институция (ако е заявка за персонален серт.) или администрира хоста, за който иска сертификат (ако е заявка за хост.серт) • Практиката показва, че има Кандидати, които НЕ ЗНАЯТ как точно легално им се пише местоработата и отдела (на кирилица или на латиница) и си ги пишат, както им падне. Поне RAтрябва да знае точното име и неговото съкращение на институцията, за която е назначен. • Ако Кандидатът напусне преди да му е изтекъл сертификата, то RAе длъжен да уведоми BG.ACAD|CA BG.ACAD | CA

  7. Проверка на заявката за сертификат (1) • Проверката се прави на сигурния компютър на RA, на който има инсталирана Unix-съвместима ОС и актуална версия на OpenSSL(http://www.openssl.org) • Командата е: openssl req -in файл -text -noout BG.ACAD | CA

  8. Проверка на заявката за сертификат (2) • Проверяват се: • Първите три полета от Subjectтрябва да са: DC=bg, DC=acad, O=people(ако е заявка за персонален серт.)или DC=bg, DC=acad, O=host(ако е заявка за хост серт.) • Четвъртото поле представлява организациятатака, както е прието по закон да се изписва на латиница (напълно или съкратено). Например:O=IM-BAS (това е И-т по Механика, БАН) • Заб. В стойностите на полетата могат да участват само символи букви на латиница, интервал, тире и точка. BG.ACAD | CA

  9. Проверка на заявката за сертификат (3) • Петото поле на Subjectпредставлява пълно или съкратено име на отдела в институцията (OU, Organization Unit) така, както е законно прието. Пример: OU=DCMF BG.ACAD | CA

  10. Проверка на заявката за сертификат (4) • Шестото поле (CN) представлява трите имена на Кандидата (ако е заявка за персонален серт.) или пълното име на хост (ако е заявка за хост серт.) Примери: CN=Kiril S. Shterev или CN=ce001.fmi.uni-sofia.bg BG.ACAD | CA

  11. Проверка на заявката за сертификат (5) • При заявка за персонален сертификат, трябва да има дефиниран поне един валиден e-mail като Subject Alternative Name Пример: X509v3 Subject Alternative Name: email:kshterev@imbm.bas.bg BG.ACAD | CA

  12. Проверка на заявката за сертификат (6) • При заявка за хост сертификат, трябва да има дефиниран поне едно валидно име на хосткатоSubject Alternative Name Пример: X509v3 Subject Alternative Name: DNS:ce001.fmi.uni-sofia.bg BG.ACAD | CA

  13. Проверка на заявката за сертификат (7) • Алгоритъмът на публичния ключ трябва да е rsaEncryption • Дължината на публичния ключRSA Public Key) на заявката трябва да е 2048 бита. Пример: RSA Public Key: (2048 bit) BG.ACAD | CA

  14. Проверка на валидността на алтернативните имена (1) • Проверка на е-mail(ако е заявка за персонален серт.) • RAтрябва да провери по надежден начин, че дадените е-mail-и са валидни, принадлежат на Кандидата и работят в момента. • (Заб. Практиката показва, че много институции НЕ приемат сертификат с НЕ-институционален или свободен провайдер като gmail, hotmail, yahooи пр.) BG.ACAD | CA

  15. Проверка на валидността на алтернативните имена (2) • Проверка на име на хост(ако е заявка за хост серт.) • RAтрябва да провери по надежден начин, че дадените имена са валидни и се администрират се от Кандидата. • Имената трябва да имат прав и обратен запис в DNS. (вж. команда digв Unix) BG.ACAD | CA

  16. Примерен вид на заявката(със съкращения) Certificate Request: Data: Version: 0 (0x0) Subject: DC=bg, DC=acad, O=people, O=IM-BAS, OU=DCMF, CN=Kiril S. Shterev Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:bf: ... ... Requested Extensions: X509v3 Subject Alternative Name: email:kshterev@imbm.bas.bg Signature Algorithm: sha1WithRSAEncryption 7d:cd:83:56:... ... BG.ACAD | CA

  17. Декларация на Кандидата за съгласие с политиката на СА • Декларацията се изтегля от http://ca.acad.bg/statement/statement.html • Отпечатва се и Кандидатът я попълва както на кирилица, така и на латиница в съответствие с вече дадените указания и я подписва. • RAпроверява декларацията дали е правилно и точно попълнена. • Уведомява Кандидата, че ако всичко е наред, сертификатът ще бъде подписан в срок от 5 (пет) работни дни и ще бъде публикуван наhttp://www.ca.acad.bg/certs/ и с това приключва личната среща. BG.ACAD | CA

  18. Изпращане на заявката до СА • Ако всички тези проверки са успешни, то RAизпраща по е-mail файла със заявката в електронно подписано писмо до operations@ca.acad.bg или ги занася лично записани на ел. носител (флаш-памет, CD, дискета) на някой от персонала на СА в ИПОИ-БАН, ст. 201, 202 или 204 BG.ACAD | CA

  19. Други дейностии задължения на RA • RAсъбира и пази нужните документи (служ. бележки, декларации) и периодично и в удобно за него време ги предава лично на персонала на СА. • Да обяснява ясно на Кандидатите да се отнасят отговорно с частния си ключ (private key). BG.ACAD | CA

More Related