Certifikáty a jejich použití Verze 1.0
Vydání certifikátu pro AIS Aby mohl AIS volat eGON služby ISZR, musí mít povolen přístup k vnějšímu rozhraní ISZR. Přístup povoluje SZR na žádost OVM, který je správcem AISu. Výsledkem úspěšného vyřízení žádosti je mj. serverový certifikát pro AIS. Jde o serverový certifikát v tom smyslu, že je vydáván pro počítač a ne pro osobu. Při navazování spojení mezi ISZR a AIS ho lze použít jak klientský (spojení navazuje AIS), tak serverový (spojení navazuje ISZR). SZR vyžaduje žádosti o certifikát ve formátu PKCS#10. Správce AISu posílá žádost o certifikát spolu s vyplněným formulářem do datové schránky SZR. Žádost ve formátu PKCS#10 musí mj. obsahovat: • IČO OVM, který o registraci AISu žádá, tj. IČO správce AISu. • Číslo AISu v ISoISVS. • Veřejný klíč RSA, který má být certifikován. Návod na vygenerování dvojice klíčů a vytvoření žádosti o certifikát veřejného klíče ve formátu PKCS#10 je na webu SZR. Postup pro podání žádosti o připojení AISu k ISZR je na webu SZR. Certifikáty vydává Certifikační autorita (CA) SZR a to odděleně pro testovací a ověřovací / produkční prostředí. Pro každé prostředí je jiná CA a každá CA používá jinou řadu sériových čísel. Identifikačním údajem certifikátu je identifikace vydávající CA a sériové číslo certifikátu, nebo otisk (hash) certifikátu. CA SZR vydává certifikáty pro: • •
ISZR. AISy. Co AIS, to certifikát. Nelze použít jeden certifikát pro více AISů.
CA SZR certifikuje pouze veřejné klíče vygenerované algoritmem RSA. Minimální délka klíče je pro testovací prostředí 1024 bitů a pro ověřovací a produkční prostředí 2048 bitů. Certifikáty vydává pro testovací prostředí na 1 rok a pro ověřovací a produkční prostředí na 1-3 roky. CA SZR používá při certifikaci veřejných klíčů pro AISy a ISZR algoritmus SHA256 ze skupiny hash algoritmů SHA-2. To je ve shodě s doporučením MV. Některé starší operační systémy na straně AISů mohou mít problémy s ověřením certifikátu ISZR. CA SZR vydává certifikáty pro AISy pro ověřovací a produkční prostředí podle Certifikační politiky SZR, která je uveřejněna na webu SZR. Pro testovací prostředí Certifikační politika neexistuje, ale SZR postupuje obdobně jako pro produkční prostředí, pouze neprovádí všechny kontroly žadatele o certifikát.
Použití certifikátu Správce AISu zajistí instalaci certifikátu na všechny servery AISu, které komunikují s ISZR. Jeden AIS a tedy i jeho certifikát může být nainstalován na více serverech a na jednom serveru může být více AISů a tedy i více certifikátů různých AISů. Podstatné je, aby správci všech AISů (tj. OVM) zajistili splnění požadovaných podmínek pro provoz AISů a aby AIS při každém volání eGON služby použil správný certifikát. Každý AIS má v ověřovacím a produkčním prostředí maximálně 2 platné certifikáty. Druhý mu vydá CA SZR maximálně 3 měsíce před koncem platnosti aktuálního certifikátu nebo v případě, že OVM v žádosti o certifikát uvede, že žádá, respektive bude žádat o zneplatnění předcházejícího certifikátu pro AIS. AIS tedy může po určitou dobu používat pro přístup k ISZR dva certifikáty. V testovacím prostředí může mít AIS i více platných certifikátů, ale SZR má právo jejich počet omezit.
ISZR i AISy používají certifikáty a příslušné soukromé klíče pro vzájemnou autentizaci a pro ustavení šifrovaného spojení (https). Pokud spojení navazuje AIS, identifikuje se a autentizuje se vůči ISZR svým certifikátem. ISZR se vůči AISu identifikuje svým certifikátem vydaným také CA SZR. AIS má možnost autentizovat ISZR kontrolou vydavatele a sériového čísla certifikátu ISZR, nebo kontrolou otisku certifikátu ISZR. ISZR bude komunikovat s AISem, pokud jsou současně splněny následující podmínky: • •
AIS se prokáže platným certifikátem vydaným CA SZR. Pro certifikát AISu nebyl zablokován přístup k ISZR. Zablokování se používá pro dočasný zákaz přístupu AISu, se kterým je bezpečnostní problém. Certifikát AISu zůstává v tomto případě v platnosti.
Pokud spojení navazuje ISZR, umožňuje svoji identifikaci a autentizaci vůči AISu svým certifikátem, tentokrát z hlediska navazování spojení v roli klientského certifikátu. Je na autorovi AISu, zda a jak AIS tuto identifikaci a autentizaci provádí. Pokud AIS ISZR požádá o certifikát, ISZR mu ho poskytne. SZR správce ke kontrole certifikátu ISZR AISů nezavazuje, ale doporučuje jim ji. AIS i ISZR používají při obou směrech navazování spojení stejný certifikát. AIS tedy nepotřebuje pro každý směr navazování spojení jiný certifikát. AIS nepotřebuje různé certifikáty ani v případě, že pro komunikaci s ISZR používá různé servery, protože ISZR jméno serveru v certifikátu nekontroluje. AIS může stejný certifikát používat při komunikaci s ISZR přes KIVS i přes Internet. Důvodem je opět to, že ISZR jméno serveru v certifikátu nekontroluje. SZR doporučuje uvádět v žádostech o certifikát v položce CommonName DNS jméno počítače, který bude přijímat zpětná volání v případě, kdy ISZR vrací odpověď na asynchronní dotaz v aktivním režimu. Pokud bude spojení navazováno v KIVS, mělo by jít o jméno, pod kterým je počítač dosažitelný v síti KIVS. Pokud bude spojení navazováno v Internetu, pak by mělo jít o veřejné DNS jméno. Pokud AIS asynchronní volání v aktivním režimu nebude používat, doporučuje SZR uvádět DNS jméno AISu v CMS, respektive v Internetu.
Zneplatnění certifikátu AIS Zneplatnění certifikátu je nevratná operace, po jejímž provedení již nelze certifikát používat pro přístup k vnějšímu rozhraní ISZR. O zneplatnění certifikátu typicky žádá OVM v situaci, kdy došlo ke kompromitaci soukromého klíče, nebo když ruší AIS. Správce AISu má dvě možnosti jak požádat o zneplatnění certifikátu: • •
Poslat žádost o zneplatnění certifikátu AISu do datové schránky SZR. Pokud si správce AISu při žádosti o vydání certifikátu specifikoval heslo pro zneplatnění, může požádat o zneplatnění telefonicky, nebo osobně při návštěvě SZR. V tomto případě musí OVM žádost potvrdit zasláním žádosti SZR. SZR do doby potvrzení žádosti datovou schránkou pro dotyčný certifikát zakáže přístup k ISZR, ale nezneplatní ho.
Žadatel o zneplatnění nějakého certifikátu musí uvést: • •
IČO OVM. Sériové číslo certifikátu.
Součástí žádosti o zneplatnění certifikátu může být také určení důvodu zneplatnění. V případech, kdy je zneplatnění certifikátu požadováno z důvodu vyzrazení soukromého klíče nebo existujícího podezření z neoprávněného použití soukromého klíče, případně certifikátu, musí tento důvod žadatel o zneplatnění uvést. Po obdržení požadavku ho SZR co nejrychleji zpracuje, identifikace příslušného certifikátu umístí do seznamu zneplatněných certifikátů (CRL) a žadateli pošle rozhodnutí.
2
Situace, ve kterých dojde ke zneplatnění certifikátu z iniciativy SZR, jsou vyjmenovány v Certifikační politice SZR. Např. zánik OVM, nebo kompromitace některého z privátních klíčů vydávajících CA SZR. SZR o tom informuje správce příslušného AISu.
3