Ca

Aktuální verze z 1. 7. 2019, 09:56

[editovat] CA - Certifikační autorita TERENA Certificate service - TCS (COMODO)

[editovat] Aktuality

1. října 2015 - Je možné generovat v testovacím provozu certifikáty pro doménu *.cvut.cz 

8. září 2015 - Je možné generovat v testovacím provozu certifikáty pro doménu *.cvut.cz

11. července 2015 - Aktuálně nelze vydávat certifikáty, dochází ke změně poskytovatele serverových TCS certifikátů.

5. června 2015 - Dojde ke změně poskytovatele serverových TCS certifikátů na firmu DigiCert. Certifikáty od nového poskytovatele se budou vydávat od 1. července 2015. S novým poskytovatelem dojde ke změně certifikačního kořene a mezilehlých certifikátů. Je doporučeno u certifikátů, které končí platnost do konce září 2015 využít ještě stávajícího poskytovatele.

30. října 2014 - Společnost COMODO přestává vydávat certifikáty s algoritmem SHA1. Vydávají se pouze certifikáty s bezpečnějším algoritmem SHA2.

22. dubna 2013 - Doplněn návod dle aktuálních informací.

20. ledna 2012 - Přidán návod na generování osobních certifikátů bez ověření totožnosti uživatele (plánujeme osobní certifikáty s ověřením totožnosti).

17. června 2011 - Byla obnovena možnost žádat o vydávání certifikátů. Vydávání certifikátů však může trvat delší dobu, než obvyklou.

15. března 2011 - Došlo k úspěnému útoku na jednu z RA pracujících pro COMODO. Na základě této události se pozastavuje vydávání TCS certifikátů do odvolání. Podrobnosti viz: http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html

[editovat] Důležité informace

• Certifikáty mohou generovat níže popsaným způsobem pouze součásti Studentské unie ČVUT (přesněji pouze správci jednotlivých serverů a služeb).
• Certifikáty DIGICERT generujte pro služby, které využívá minimálně 10 uživatelů a u služeb, které jsou v provozu.
• Žádost pro následný certifikát generujte nejdříve 14 dnů před dobou expirace platnosti stávajícího certifikátu.
• V případě dotazů či nesrovnalostí prosím kontaktujte Karla Landu (Charlie).

[editovat] Domény *.cvut.cz

Je možné generovat následující certifikáty:

Certifikáty typu OV (Organization Validation) maximálně na 3 roky
Povolené názvy organizace: 
 České vysoké učení technické v Praze
 Ceske vysoke uceni technicke v Praze
 Czech Technical University in Prague

Certifikáty typu EV (Extended Validation) maximálně na 2 roky
Povolené názvy organizace:
 České vysoké učení technické v Praze
 Ceske vysoke uceni technicke v Praze

Není možné vydat certifikáty typu EV nebo Grid pro "Czech Technical University in Prague"

1. Vygenerování požadavku podle https://tcs.cesnet.cz/requestconfig/
2. Dle tohoto konfiguračního souboru je nutné vygenerovat požadavek na certifikát, tento požadavek (vygenerovaný z openssl) je nutné po přihlášení zadat do formuláře: https://tcs.cesnet.cz/requestform/form přihlašovací údaje jsou shodné s údaji do usermapu (případně je možné použít "Hostel IdP")
3. Na e-mailovou adresu vám přijde potvrzení, který přepošlete na e-mail: charlie@sh.cvut.cz
4. Je nutné použít povolené názvy organizace viz výše, ale doporučený název organizace je "České vysoké učení technické v Praze"
5. Potom již stačí chvíli počkat, než se vše vyřídí. Obvykle je vše vyřízeno nejpozději do 3 pracovních dnů a certifikát bude umístěn na Ca#Seznam_vydan.C3.BDch_certifikat.C5.AF případně přijde odkaz na e-mail

[editovat] Ostatní domény vlastněné SU - zatím není možné probíhají jednání

1. Vyplnit žádost, která se nachází na https://tcs.cesnet.cz/req/
2. Pokud nemáte opodstatněný důvod, aby byla v certifikátu uvedena organizace (vyšší míra zabezpečení - doba vystavení takového certifikátu je 14 dní a více), vybírejte "běžný", bez uvedení organizace.
3. Organizaci vybírejte Studentská unie ČVUT, může se stát, že systém neakceptuje vložení žádosti ze souboru. Zvolte pak první možnost - "ze schránky"
4. Na váš e-mail vám přijde potvrzovací e-mail, který mi přepošlete na mou e-mailovou adresu: charlie@sh.cvut.cz (prosím bez jakýchkoli změn v textu).
5. Pro snadnější generegování certifikátů je možné použít https://tcs.cesnet.cz/rcf/
6. Podrobný návod pro generování certifikátů naleznete na: http://www.cesnet.cz/pki/cs/st-tcs-csr.html
7. Potom již stačí chvíli počkat, než se vše vyřídí. Obvykle je vše vyřízeno nejpozději do 3 pracovních dnů.
8. Certifkát je možné stáhnout z odkazu, který je zveřejněn u Vašeho certifikátu, nebo z internetových stránek: https://tcs.cesnet.cz/crt/?id=ID Místo ID doplňte číslo žádosti, které naleznete v potvrzovací žádosti
9. Po schválení a stáhnutí certifikátu doplňte na této internetové stránce datum vydání a datum platnosti vydaného certifikátu.

[editovat] Běžný certifikát s uvedením organizace

Pokud vyberete vystavení certifikátu s uvedením organizace (viz bod 2 návodu), bude bude celý proces trvat delší dobu, jelikož u těchto certifikátů je požadováno ověření organizace. Toto ověření probíhá telefonním hovorem na kontaktní tel. číslo dané organizace. Používejte tedy tuto možnost pouze pokud k tomu je opravdu opodstatněný důvod. Před touto samotnou akcí je nutné kontaktovat pověřeného administrátora organizace tj. Karla Landu (Charlie), aby dohodl potřebné termíny.

[editovat] Instalace certifikátů

Návody jak certifikát nainstalovat naleznete na: http://pki.cesnet.cz/cs/st-tcs-server-install.html

[editovat] Osobní certifikáty

1. Vygenetování certifikátu - Na stránce http://www.comodo.com/home/email-security/free-email-certificate.php kliknete na "free download" a vyplníte potřebné údaje (doporučuji odškrtnout Comodo Newsletter, ať vám nechodí reklamy) a nechte vygenerovat certifikát (Key Size je doporučeno 2048 bit).
2. Doručení e-mailu - Nejpozději do 24 hodin by vám měl na zadaný e-mail přijít e-mail s odkazem na certifikát. Na tento odkaz stačí kliknout. Je však nutné otevřít odkaz ve stjném prohlížeči, kde se generoval klíč.
3. Export certifikátu z prohlížeče - Je nutné vygenerovaný klíč vyexportovat z prohlížeče kde byl certifikát vytvářen. U Internet Exploreru to je: Nástroje - možnosti internetu - Obsah - certifikáty - Osobní, tam budete mít osobní certifikát (nejspíše Usertrust). Klikněte na tento certifikát a dejte exportovat (nejlépe ve formátu cer). U prohlížeče Firefox je cesta k certifikátu: Nástroje - Možnosti - Rošířené - Šifrování - Certifikáty
4. Import certifikátu do poštovního klienta Nastroje - nastavení účtu - vybrat poštovní účet položka zabezpečení - zobrazit certifikáty - importovat (a vybrat certifikát, který se v bodu 3 exportoval) potvrdit a z nabídky "vybrat..." importovane certifikaty, OK, OK

[editovat] Seznam vydaných certifikatů

[editovat] SU - SH (TCS)

[editovat] SU - BUK (TCS)

[editovat] SU - HK (TCS)