Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
CCeerrttiiffiikkaaččnníí ppoolliittiikkaa ppooddřříízzeennéé
cceerrttiiffiikkaaččnníí aauuttoorriittyy IIssssuuiinnggCCAA22 –– iinntteerrnníí vvěětteevv PPKKII EEVVSS
Typ dokumentace : CP
Obsah / účel dokumentu
Oficiální dokument – Certifikační politika podřízené certifikační autority IssuingCA2 – interní větev PKI EVS
Dotčená KP Služba V09 – Mail
Správce Bc. Zdeněk Přeliáš
Historie změn
Datum Vydání status autor 19.11.2007 0.10 První návrh Ondřej
Fousek 29.11.2007 0.30 Final Draft OFO 17.12.2007 0.40 Po připomínkách EVS OFO 23.1.2008 0.50 Po doplněných připomínkách EVS OFO 14.2.2008 1.00 Po projednání zapracování
připomínek OFO
19.6.2008 1.00 Úprava dle standardů EVS a publikace do PDF na web
Bc. Zdeněk Přeliáš
1 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
OBSAH
Seznam použitých zkratek ............................................................................................. 4
1. Úvod ................................................................................................................... 5 1.1 Přehled ....................................................................................................... 5 1.2 Název a jednoznačné určení dokumentu ................................................... 5 1.3 Participující subjekty ................................................................................. 5 1.4 Použití klíčového páru a certifikátu .......................................................... 6 1.5 Správa politiky .......................................................................................... 7
2. Odpovědnost za zveřejňování a úložiště informací a dokumentace ............ 8
3. Identifikace a autentizace ................................................................................ 9 3.1 Pojmenování .............................................................................................. 9 3.2 Počáteční ověření identity ......................................................................... 9 3.3 Identifikace a autentizace při vydání následných certifikátů .................... 9 3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění
certifikátu ................................................................................................ 10
4. Požadavky na životní cyklus certifikátu ....................................................... 11 4.1 Žádost o vydání certifikátu ...................................................................... 11 4.2 Zpracování elektronické žádosti o certifikát ........................................... 11 4.3 Vydání certifikátu .................................................................................... 12 4.4 Převzetí vydaného certifikátu .................................................................. 12 4.5 Použití klíčového páru a certifikátu ........................................................ 12 4.6 Obnovení certifikátu ................................................................................ 13 4.7 Výměna klíčového páru při vydání následného certifikátu ..................... 13 4.8 Změna údajů v certifikátu ....................................................................... 13 4.9 Zneplatnění a pozastavení platnosti certifikátu ....................................... 14 4.10 Služby související s ověřováním statutu certifikátu ................................ 14 4.11 Ukončení poskytování služeb pro držitele certifikátu ............................. 14 4.12 Úschova soukromých klíčů u důvěryhodné třetí strany a jejich obnova 14
5. Management, provozní a fyzická bezpečnost ............................................... 15 5.1 Fyzická bezpečnost ................................................................................. 15 5.2 Procesní bezpečnost ................................................................................ 15 5.3 Personální bezpečnost ............................................................................. 15 5.4 Auditní záznamy (logy) ........................................................................... 15 5.5 Uchovávání informací a dokumentace .................................................... 15 5.6 Výměna veřejného klíče v certifikátu CA ............................................... 15 5.7 Obnova po havárii nebo kompromitaci ................................................... 15 5.8 Ukončení činnosti CA nebo RA .............................................................. 15
6. Technická bezpečnost ..................................................................................... 16 6.1 Generování a instalace klíčů ................................................................... 16
2 z 25
6.2 Ochrana soukromých klíčů a bezpečnost kryptografických modulů ...... 17
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
6.3 Další aspekty správy klíčů ...................................................................... 18 6.4 Aktivační data ......................................................................................... 18 6.5 Počítačová bezpečnost ............................................................................ 18 6.6 Bezpečnost životního cyklu .................................................................... 18 6.7 Síťová bezpečnost ................................................................................... 18
7. Profily certifikátu, seznamu zneplatněných certifikátů a OCSP ............... 19 7.1 Profil certifikátu ...................................................................................... 19 7.2 Profil seznamu zneplatněných certifikátů ............................................... 20 7.3 Profil OCSP ............................................................................................. 21
8. Hodnocení shody a jiná hodnocení ................................................................ 22
9. Ostatní obchodní a právní záležitosti ............................................................ 23 9.1 Poplatky ................................................................................................... 23 9.2 Finanční odpovědnost ............................................................................. 23 9.3 Citlivost obchodních informací ............................................................... 23 9.4 Ochrana osobních údajů .......................................................................... 23 9.5 Práva duševního vlastnictví ..................................................................... 23 9.6 Zastupování a záruky .............................................................................. 23 9.7 Zřeknutí se záruk ..................................................................................... 23 9.8 Omezení odpovědnosti ............................................................................ 23 9.9 Odpovědnost za škodu, náhrada škody ................................................... 23 9.10 Doba platnosti, ukončení platnosti CP .................................................... 24 9.11 Komunikace mezi zúčastněnými subjekty .............................................. 24 9.12 Změny ..................................................................................................... 24
3 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Seznam použitých zkratek
AD Active Directory; adresářové služby Microsoft Windows AIA Authority Information Access; položka v certifikátu obsahující odkazy na
certifikát podepisující certifikační autority CA certifikační autorita CDP CRL Distribution Point; položka v certifikátu obsahující odkazy na příslušný
CRL CN Common Name; část názvu entity využívaná v adresářových službách CP Certifikační politika CPS Certifikační prováděcí směrnice CRL Certificate Revocation List; seznam zneplatněných certifikátů ČR Česká republika DC Domain Component; část názvu entity využívaná v adresářových službách DER Distinguished Encoding Rules; metoda kódování datového objektu DN Distinguished Name; standardizované jméno subjektu DRA Data Recovery Agent; osoba v této roli je schopna dešifrovat soubory předtím
zašifrované jinou osobou pomocí EFS EFS Encrypting File System; šifrová ochrana souborů v prostředí systémů
Microsoft Windows EVS EVRAZ VÍTKOVICE STEEL, a.s. HTTP Hyper-Text Transport Protocol; protokol pro přenos webových zpráv KRA Key Recovery Agent; osoba v této roli je schopna obnovit soukromé
šifrovací klíče jiných osob, uložené v databázi certifikační autority LDAP Lightweight Directory Access Protocol; protokol pro přístup k adresářovým
službám MOM Microsoft Operations Manager MS Microsoft OID objektový identifikátor; číselná struktura umožňující unikátně identifikovat
dokumenty a jejich části, včetně položek v certifikátu OU Organization Unit; část názvu entity využívaná v adresářových službách PKCS Public Key Cryptography Standard PKI Public Key Infrastructure; infrastruktura veřejných klíčů RA registrační autorita RFC Request for Comment; technický standard Internetu RSA Rivest-Shamir-Adelmann; asymetrický kryptografický algoritmus SHA-1 Secure Hash Algorithm; hašovací algoritmus SSL Secure Socket Layer; označení pro druh zabezpečené (šifrované) komunikace X.509 jeden ze standardů pro adresářové služby
4 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
1. Úvod
1.1 Přehled
Certifikační politika (dále CP) stanoví pravidla pro používání a aplikovatelnost certifikátů vydaných PKI EVS pro držitele certifikátu podle této politiky. S touto CP je logicky spojen dokument Certifikační prováděcí směrnice (dále CPS), který definuje pravidla a postupy uplatňované v rámci systému PKI EVS při vydávání a správě elektronických certifikátů. Tato CP je logicky svázána s CPS pro interní větev PKI EVS.
1.2 Název a jednoznačné určení dokumentu
Název tohoto dokumentu: Certifikační politika podřízené certifikační autority IssuingCA2 – interní větev PKI EVS Objektová identifikace a dostupnost tohoto dokumentu: OID = 1.3.0154.27801454.200.1.1.2.12 Verze a platnost: Verze 1.00, platná od 1.3.2008 do vydání následující verze. Tento dokument je dostupný na adrese http://web.vitkovicesteel.com/pki/ .
1.3 Participující subjekty
1.3.1 Certifikační autority (dále „CA“)
Kořenová CA (též RootCA) je technologický systém v rámci systému PKI EVS. Tento systém vydává a spravuje certifikáty podřízených Certifikačních autorit v rámci této PKI. Za určitých podmínek přesně definovaných v příslušné CP je kořenová CA oprávněna odmítnout vydání certifikátu. Pouze kořenová CA je oprávněna odvolat nebo pozastavit platnost certifikátu podřízené Certifikační autority na základě žádosti o odvolání prověřené definovaným postupem. Kořenová CA je ve správě OÚ 200.1 Informatika EVS.
5 z 25
Privátní klíč autority RootCA je bezpečně uložen v softwarovém klíčovém úložišti operačního systému. Autorita je standardně v off-line modu, spouštěna je pouze za účelem podpisu podřízené autority, nebo vydání CRL. Požadavky na dostupnost vzhledem k režimu provozu jsou minimální, není tedy funkčně zálohována, důležitá je záloha soukromých klíčů autority. Tato CA je virtuální stroj v prostředí VMWare, nakonfigurovaný bez síťové karty. Platforma této CA je MS Certificate Services na operačním systému MS Windows 2000 provozovaná v modu Standalone Root CA. Vzhledem k tomu že se jedná o root CA nejsou nutné další komponenty.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
IssuingCA2 – podřízená CA vydávající zaměstnanecké certifikáty pro podpis elektronické pošty, šifrování elektronické pošty a EFS, certifikáty pro DRA a KRA. Certifikáty a CRL jsou publikovány do Active Directory, CRL je publikováno i na webový server. Soukromý klíč této autority je bezpečně uložen v softwarovém klíčovém úložišti operačního systému, je zajištěno bezpečné zálohování soukromých klíčů autority. Autorita je provozována v on-line modu. Platforma této CA je MS Certificate Services na operačním systému MS Windows Server 2003. Protože CA vydává uživatelské certifikáty, je nutná její další komunikace s dalším pracovištěm vykonávajícím funkce registrační autority.
1.3.2 Registrační autority (dále „RA“)
Činnosti RA vykonává odbor 200.11 Systémová podpora.
1.3.3 Držitelé vydaných certifikátů
Koncovým držitelem certifikátu tohoto profilu je systém podřízené certifikační autority IssuingCA2 zastoupený správcem PKI.
1.3.4 Spoléhající se strany
Spoléhajícími se stranami jsou u tohoto profilu certifikátu všichni zaměstnanci, jimž IssuingCA2 vydává certifikáty, a dále osoby mimo EVS, především příjemci a odesilatelé zabezpečených zpráv elektronické pošty.
1.3.5 Jiné participující subjekty
Nejsou.
1.4 Použití klíčového páru a certifikátu
1.4.1 Přípustné použití klíčů a certifikátu
Vydávané certifikáty a příslušné páry kryptografických klíčů lze použít k těmto účelům: pro podpis certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky.
1.4.2 Omezení použití certifikátu
Vydaný certifikát lze použít pouze pro výše definované účely. Aplikace vyvíjené v rámci EVS nesmí povolit použití certifikátu pro jiné účely, než je stanoveno touto CP a rozšířeními certifikátu.
6 z 25
Použití certifikátu pro jiné účely nebo aplikace je na vlastní riziko držitele certifikátu.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
Vydávané certifikáty NELZE použít pro elektronický styk s orgány veřejné správy podle zákona č. 227/2000 Sb., o elektronickém podpisu, neboť PKI EVS není akreditována pro vydávání takových certifikátů.
1.5 Správa politiky
1.5.1 Organizace spravující certifikační politiku
Tato certifikační politika je spravována organizací: EVS, OÚ 200.1 Informatika, odbor 200.11 Systémová podpora. Správa je prováděna podle pravidel stanovených v kapitole 9.12.
1.5.2 Kontaktní osoba organizace spravující certifikační politiku
Všechny dotazy, komentáře a připomínky k tomuto dokumentu směrujte prosím na: EVRAZ VÍTKOVICE STEEL, a.s. OÚ 200.1 – Informatika Správce PKI Štramberská č.p. 2871/47 PSČ 709 00 Ostrava-Hulváky email: [email protected]
1.5.3 Schvalování certifikační politiky
7 z 25
Certifikační politika je schvalována ředitelem OÚ 200.1 Informatika. Podrobný proces ani postup není stanoven.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
2. Odpovědnost za zveřejňování a úložiště informací a dokumentace
Tyto údaje jsou specifikovány v CPS.
8 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
3. Identifikace a autentizace
3.1 Pojmenování
Tyto údaje jsou specifikovány v CPS
3.2 Počáteční ověření identity
3.2.1 Ověřování souladu soukromého a veřejného klíče
Primární metodou pro kryptografické algoritmy umožňující digitální podpis, je podpis žádosti o certifikát pomocí tohoto soukromého klíče (v žádosti ve formátu PKCS#10).
3.2.2 Ověřování identity právnické osoby nebo organizační složky státu
Pro tuto CP není aplikováno.
3.2.3 Ověřování identity fyzické osoby
Při registraci žadatele – správce PKI se vyžaduje: 1. Fyzická přítomnost žadatele při registraci; 2. Platný zaměstnanecký průkaz a existence záznamu v interních adresářových
službách.
3.2.4 Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě
Certifikát vydaný podle této CP neobsahuje žádné neověřované informace.
3.2.5 Ověřování specifických práv
Při předložení žádosti o vydání certifikátu podle této CP posoudí ředitel OÚ 200.1 Informatika oprávnění správce PKI žádat o certifikát dle příslušné CP.
3.2.6 Kritéria pro interoperabilitu
Není specifikováno.
3.3 Identifikace a autentizace při vydání následných certifikátů
9 z 25
Žádost o následný certifikát je podepsána nově vygenerovaným soukromým klíčem certifikační autority IssuingCA2.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
3.3.1 Identifikace a autentizace při rutinním vydání následného certifikátu
V tomto případě je identifikace a autentizace prováděna stejným způsobem, jako při počáteční registraci podle kapitoly 3.2.
3.3.2 Identifikace a autentizace při výměně klíčů po zneplatnění certifikátu
Identifikace a autentizace pro potřeby výměny klíčů po zneplatnění certifikátu je prováděna stejným způsobem, jako při počáteční registraci podle kapitoly 3.2.
3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu
Tyto požadavky jsou specifikovány v CPS.
10 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4. Požadavky na životní cyklus certifikátu
4.1 Žádost o vydání certifikátu
4.1.1 Subjekty oprávněné podat žádost o vydání certifikátu
O vydání certifikátu podle této CP je oprávněn požádat správce PKI. Žádost podléhá schválení ředitele OÚ 200.1 Informatika..
4.1.2 Registrační proces a odpovědnosti poskytovatele a žadatele
Správce PKI si stáhne Registrační formulář PKI z adresy: http://web.vitkovicesteel.com/pki/ . V žádosti uvede své jméno, oddělení a pozici v organizační struktuře společnosti. Dále vyznačí požadovaný typ certifikátu. Žádost předloží ke schválení řediteli OÚ 200.1 Informatika. Odpovědnosti
• správce PKI – správné vyplnění žádosti, zajištění potvrzení žádosti vedoucím pracovníkem
• ředitel OÚ 200.1 Informatika – korektní posouzení žádosti
4.2 Zpracování elektronické žádosti o certifikát
V případě schválení žádosti správce PKI instaluje a spustí službu Certificate Services na podřízené CA. Během konfigurace služby je vygenerován klíčový pár a vytvořena žádost o certifikát ve formátu PKCS#10. Správce PKI uloží žádost o certifikát lokálně na CA do souboru. Soubor poté nakopíruje na transportní médium a přenese jej k RootCA.
4.2.1 Identifikace a autentizace
V tomto kroku není implementováno, správce PKI spravuje všechny CA v PKI EVS.
4.2.2 Přijetí nebo zamítnutí žádosti o certifikát
Správce PKI spustí virtuální stroj autority a její certifikační služby. Připojí k systému médium se žádostí o certifikát a provede její import. V management konzoli RootCA žádost o certifikát schválí Pokud jsou parametry žádosti v pořádku, certifikační autorita žádost akceptuje. Pokud některý z parametrů není v pořádku, certifikační autorita žádost odmítne.
11 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4.2.3 Doba zpracování žádosti o certifikát
Doba zpracování žádostí závisí na zatížení správce PKI, žádost bude zpracována nejpozději další pracovní den po podání.
4.3 Vydání certifikátu
4.3.1 Úkony CA v průběhu vydávání certifikátu
Certifikační autorita RootCA zkopíruje údaje z elektronické žádosti o certifikát včetně veřejného klíče do struktury certifikátu a tuto strukturu podepíše svým soukromým podepisovacím klíčem. Vytvořený certifikát uloží do své databáze..
4.3.2 Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě
Toto oznámení není v PKI EVS implementováno.
4.4 Převzetí vydaného certifikátu
4.4.1 Úkony spojené s převzetím certifikátu
Správce PKI provede export vydaného certifikátu do souboru a na externí médium. Je povinen ihned po vydání certifikátu zkontrolovat jeho obsah vůči obsahu žádosti. Pokud zjistí rozpory, musí bez prodlení zajistit zneplatnění certifikátu a provést další vhodná opatření k odstranění vzniklého problému. Pokud je certifikát v pořádku, přenese soubor s vydaným certifikátem zpět na server podřízené CA. Tam provede import certifikátu s pomocí management konzole a nastartuje službu CA.
4.4.2 Zveřejňování vydaných certifikátů poskytovatelem
IssuingCA2 zveřejňuje své certifikáty do Active Directory a na webový server.
4.4.3 Oznámení o vydání certifikátu jiným subjektům
EVS neoznamuje vydání certifikátu jiným subjektům.
4.5 Použití klíčového páru a certifikátu
4.5.1 Použití soukromého klíče
12 z 25
Soukromý klíč příslušný k certifikátu vydanému podle této CP může být využit POUZE k podpisu certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4.5.2 Použití certifikátu spoléhající se stranou
Certifikát vydaný podle této CP může být spoléhající se stranou využit POUZE k ověření autentičnosti certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky.
4.6 Obnovení certifikátu
PKI EVS neumožňuje obnovení certifikátu bez výměny klíčového páru.
4.7 Výměna klíčového páru při vydání následného certifikátu
4.7.1 Podmínky pro vydání následného certifikátu
• certifikát podřízené CA musí být platný (tj. nesmí být zneplatněn, pozastaven ani vypršelý).
4.7.2 Subjekty oprávněné k vydání následného certifikátu
O vydání následného certifikátu může požádat správce PKI.
4.7.3 Zpracování požadavku na vydání následného certifikátu
Postup při vydání následného certifikátu podřízené CA je stejný jako postup při prvotním vydání jejího certifikátu (viz začátek této kapitoly).
4.7.4 Oznámení o vydání následného certifikátu
Viz článek 4.3.2.
4.7.5 Úkony spojené s převzetím následného certifikátu
V tomto případě je postup stejný jako v článku 4.4.1.
4.7.6 Zveřejňování vydaných následných certifikátů
EVS zveřejňuje vydané certifikáty pouze pro interní potřebu, viz článek 4.4.2.
4.8 Změna údajů v certifikátu
13 z 25
Změnu údajů v certifikátu lze provést pouze zneplatněním aktuálního certifikátu a novým provedením Registračního procesu.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
4.9 Zneplatnění a pozastavení platnosti certifikátu
Subjekty, podmínky a postupy jsou stanoveny v CPS.
4.10 Služby související s ověřováním statutu certifikátu
Tyto služby nejsou v rámci PKI EVS implementovány. Podřízená CA je schopna on-line ověřit stav svého certifikátu ve své databázi.
4.11 Ukončení poskytování služeb pro držitele certifikátu
Tyto podmínky a postupy jsou stanoveny v CPS.
4.12 Úschova soukromých klíčů u důvěryhodné třetí strany a jejich obnova
Funkcionalita úschovy soukromých klíčů u důvěryhodné třetí strany („key escrow“) není v PKI EVS implementována.
4.12.1 Politika a postupy při úschově a obnovování soukromých klíčů
Tato funkcionalita není v rámci PKI EVS implementována .
4.12.2 Politika a postupy při zapouzdřování a obnovování šifrovacího klíče pro relaci
Tato funkcionalita není v rámci PKI EVS implementována.
14 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
5. Management, provozní a fyzická bezpečnost
5.1 Fyzická bezpečnost
Zajištění fyzické bezpečnosti se týká společných prvků PKI EVS a proto je specifikováno v CPS.
5.2 Procesní bezpečnost
Zajištění procesní bezpečnosti je specifikováno v CPS.
5.3 Personální bezpečnost
Zajištění personální bezpečnosti je specifikováno v CPS.
5.4 Auditní záznamy (logy)
Nastavení a zpracování auditních záznamů je specifikováno v CPS a implementační dokumentaci IssuingCA2.
5.5 Uchovávání informací a dokumentace
Uchovávání (archivace) informací a dokumentace je specifikovány v CPS.
5.6 Výměna veřejného klíče v certifikátu CA
Je stanoveno v kapitole 4.7.
5.7 Obnova po havárii nebo kompromitaci
Postupy pro obnovu při havárii jsou specifikovány v CPS.
5.8 Ukončení činnosti CA nebo RA
Postupy při ukončení činnosti CA jsou stanoveny v CPS.
15 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
6. Technická bezpečnost
6.1 Generování a instalace klíčů
6.1.1 Generování klíčů
Klíčový pár pro asymetrický kryptografický algoritmus je generován systémovou komponentou operačního sytému serveru CA – Microsoft Strong Cryptographic Provider. Součástí této komponenty je i generátor náhodných čísel. Vygenerovaný soukromý klíč je uložen v chráněném úložišti klíčů operačního systému serveru jako Neexportovatelný. Správce PKI je odpovědný za proces generování páru klíčů a žádosti o certifikát na serveru CA. Je též odpovědný za bezpečné uložení soukromého klíče (v rámci celé zálohy CA). Heslo umožňující přístup k použití soukromého klíče nesmí být uchováváno nezabezpečeně ani sdělováno cizí osobě.
6.1.2 Předání soukromého klíče žadateli
V této CP není relevantní.
6.1.3 Předání veřejného klíče certifikační autoritě
Po vygenerování klíčového páru vytvoří příslušná komponenta žádost o vydání certifikátu ve formátu PKCS#10 obsahující údaje podle příslušného vzoru certifikátu.
6.1.4 Poskytování veřejných klíčů certifikační autoritou spoléhajícím se stranám
Prostředky PKI EVS je zajištěno publikování certifikátu IssuingCA2 v Active Directory a na webu PKI EVS.
6.1.5 Délky klíčů
Délka klíčů generovaných a používaných podle této CP je 2048 bitů.
6.1.6 Generování parametrů veřejných klíčů
Je popsáno v dokumentaci operačního systému serveru CA – viz článek 6.1.1.
6.1.7 Omezení pro použití veřejných klíčů
Viz kapitola 1.4.
16 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
6.2 Ochrana soukromých klíčů a bezpečnost kryptografických modulů
6.2.1 Standardy a podmínky používání kryptografických modulů
Kryptografické moduly nejsou v rámci PKI EVS implementovány.
6.2.2 Sdílení tajemství formou rozdělení klíčů na části
Není v rámci PKI EVS implementováno.
6.2.3 Úschova klíčů u důvěryhodné třetí strany
Není v rámci PKI EVS implementováno.
6.2.4 Zálohování soukromých klíčů
Soukromé klíče vytvořené podle této CP jsou zálohovány v rámci databáze CA. Postup je specifikován v implementační dokumentaci IssuingCA2.
6.2.5 Uchovávání soukromých klíčů
Podobně jako předchozí odstavec.
6.2.6 Přenos soukromých klíčů z/do kryptografického modulu
Viz článek 6.2.1.
6.2.7 Uložení soukromých klíčů v kryptografickém modulu
Viz článek 6.2.1.
6.2.8 Postup při aktivaci soukromých klíčů CA
Tento postup je specifikován v CPS.
6.2.9 Postup při deaktivaci soukromých klíčů CA
Viz článek 6.2.8.
6.2.10 Postup při zničení soukromých klíčů CA
17 z 25
Podpisové klíče podřízené CA nejsou ničeny, jsou trvale udržovány v chráněném úložišti klíčů jejího operačního systému.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
6.3 Další aspekty správy klíčů
6.3.1 Uchovávání veřejných klíčů
Všechny vydané certifikáty jsou uchovány v databázi CA a v Active Directory.
6.3.2 Maximální doba platnosti certifikátu a klíčů
Certifikáty vydané podle této CP mají platnost 6 let ode dne vydání.
6.4 Aktivační data
6.4.1 Generování a instalace aktivačních dat
Je využita standardní funkčnost Microsoft Certificate Services a Strong Cryptographic Provider.
6.4.2 Ochrana aktivačních dat
Přístupu k soukromému klíči je chráněn prostředky chráněného úložiště klíčů operačního systému.
6.5 Počítačová bezpečnost
Požadavky a implementace jsou definovány v CPS.
6.6 Bezpečnost životního cyklu
Není relevantní, v PKI EVS neprobíhá vývoj.
6.7 Síťová bezpečnost
Bezpečnost sítí je definována v CPS.
18 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
7. Profily certifikátu, seznamu zneplatněných certifikátů a OCSP
7.1 Profil certifikátu
7.1.1 Číslo verze
Jedná se o certifikát X.509 verze 3, což je reprezentováno hodnotou „2“ parametru Certificate Version.
7.1.2 Rozšiřující položky v certifikátu
Certifikát obsahuje tyto položky rozšíření (Certificate Extension): • AIA – definuje http a ldap cestu k certifikátu RootCA • CDP – definuje http a ldap cestu k CRL seznamu vydávanému RootCA • KeyUsage – definuje základní možnosti použití veřejného klíče – digitální
podpis, neodmítnutelnost, podpis certifikátů a CRL • CA Version – definuje verzi certifikátu CA • Basic Constraints – základní omezení stromu podpisů v PKI • Certificate Template Name – definuje vzor certifikátu Microsoft • SubjectKeyID – unikátní identifikátor veřejného klíče žadatele/držitele • AuthorityKeyID – unikátní identifikátor veřejného klíče certifikační autority
Položka Hodnota AIA URL=http://web.vitkovicesteel.com/pki/cathan_Steelnet.cz%20
RootCA.crt URL=ldap:///CN=Steelnet.cz%20RootCA,CN=AIA,CN=Public% 20Key%20Services,CN=Services,CN=Configuration,DC=steelnet, DC=cz?cACertificate?base?objectclass=certificationAuthority
CDP URL=http://web.vitkovicesteel.com/pki/Steelnet.cz%20 RootCA.crl URL=ldap:///CN=Steelnet.cz%20RootCA,CN=cathan,CN=CDP, CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=steelnet,DC=cz?certificateRevocationList?base?objectclass= cRLDistributionPoint
KeyUsage Digital Signature; Non-Repudiation; Certificate Signing; Off-line CRL Signing; CRL Signing (c6)
CA Version V0.0 Basic Constraints Subject Type=CA; Path Length Constraint=None SubjectKeyID Zapisuje RootCA AuthorityKeyID Zapisuje RootCA
19 z 25
Rozšiřující položka Basic Constraints je označena jako Kritická.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
7.1.3 Objektové identifikátory (dále „OID“) algoritmů
Identifikátor objektu pro kombinaci algoritmů RSA a SHA-1 použitou pro elektronický podpis je: sha-1WithRSAEncryption = 1.2.840.113549.1.1.5.
7.1.4 Způsoby zápisu jmen a názvů
Certifikát obsahuje tato jména a názvy: • Subject Distinguished Name (DN) – standardizované úplné jméno subjektu
Položka Hodnota DN CN=IssuingCA2
7.1.5 Omezení jmen a názvů
Není implementováno.
7.1.6 OID certifikační politiky
Tento údaj je součástí skupiny parametrů CertificatePolicies. Je shodný s odstavcem 1.2 Položka Hodnota Policy Identifier 1.3.0154.27801454.200.1.1.2.12
7.1.7 Rozšiřující položka „Policy Constraints“
Není implementováno.
7.1.8 Syntaxe a sémantika rozšiřující položky kvalifikátorů politiky „Policy Qualifier Info“
Kvalifikátor politiky odkazuje na existenci CPS a na umístění dokumentu politiky. Položka Hodnota Policy Qualifier Id CPS Qualifier http://web.vitkovicesteel.com/pki/CP_IssuingCA2.pdf
7.1.9 Způsob zpracování kritických rozšíření
Služba Microsoft Certficate Services nebere kritická rozšíření v úvahu.
7.2 Profil seznamu zneplatněných certifikátů
7.2.1 Číslo verze
20 z 25
Jedná se o CRL verze 2, což je reprezentováno hodnotou „1“ parametru CRL Version.
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
7.2.2 Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v seznamu zneplatněných certifikátů
Položka Hodnota CRL Number Identifikátor CRL, automaticky vkládá příslušná CA CRL Reason Code Důvod vložení příslušného certifikátu (jeho sériového
čísla) do CRL AuthorityKeyID Identifikátor veřejného klíče příslušné CA, která vydala
CRL Žádná rozšiřující položka není označena jako Kritická.
7.3 Profil OCSP
V PKI EVS není OCSP implementován.
21 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
8. Hodnocení shody a jiná hodnocení
Tyto požadavky a postupy jsou stanoveny v CPS.
22 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
9. Ostatní obchodní a právní záležitosti
9.1 Poplatky
Není relevantní.
9.2 Finanční odpovědnost
Není relevantní.
9.3 Citlivost obchodních informací
Toto je stanoveno v CPS.
9.4 Ochrana osobních údajů
Toto je stanoveno v CPS.
9.5 Práva duševního vlastnictví
Není relevantní.
9.6 Zastupování a záruky
Je stanoveno v CPS.
9.7 Zřeknutí se záruk
Není relevantní.
9.8 Omezení odpovědnosti
Je stanoveno v CPS.
9.9 Odpovědnost za škodu, náhrada škody
Není relevantní.
23 z 25
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
9.10 Doba platnosti, ukončení platnosti CP
9.10.1 Doba platnosti CP
Jednotlivé verze CP jsou odlišeny číslem verze, přičemž platná je aktuální verze umístěná na adrese http://web.vitkovicesteel.com/pki/ (viz článek 1.2). U každé verze je stanoveno datum, od něhož je platná. Důležité změny budou zveřejněny s 15ti denním předstihem před zveřejněním nové platné verze CP.
9.10.2 Ukončení platnosti CP
Platnost verze CP je ukončena v okamžiku počátku platnosti nové verze, případně ukončením činnosti PKI EVS.
9.10.3 Důsledky ukončení a přetrvání závazků
Obsah závazků všech stran je dán aktuální platnou verzí CP.
9.11 Komunikace mezi zúčastněnými subjekty
Není specifikováno.
9.12 Změny
9.12.1 Postup při změnách CP
EVS je oprávněna v budoucnosti doplnit tuto CP o ustanovení, jejichž nutnost bude teprve zjištěna. Takové změny budou zveřejněny na adrese http://web.vitkovicesteel.com/pki/ . Změny mohou být vydány jak ve formě doplněné CP, tak ve formě samostatných úprav a doplňků. Případné změny nebudou mít zpětnou platnost. Změny nemající materiální povahu vstoupí v platnost okamžikem řádného zveřejnění podle tohoto odstavce. Změny mající materiální povahu vstoupí v platnost 15 dní po svém řádném zveřejnění, neoznámí-li EVS před ukončením 15ti denní lhůty jejich stažení. V případě, že by zpožděným provedením navržené změny mohlo dojít k poškození PKI EVS, EVS nebo její části, vstoupí změna v platnost okamžikem řádného uveřejnění. Pokud žadatel o certifikát nestáhne svou žádost nebo držitel certifikátu neodvolá svůj certifikát před koncem výše zmíněné 15tidenní lhůty, má se za to, že s doplňky souhlasí. Významné změny CP a příslušné CPS musí schválit ředitel OÚ 200.1 Informatika.
9.12.2 Postup při oznamování změn
24 z 25
Položky nezveřejňované prostřednictvím CPS:
Certifikační politika IssuingCA2
_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
25 z 25
• Platné organizační normy EVS; • Dohody přidružené k CPS.
Způsoby zveřejnění CP a CPS:
• Na adrese http://web.vitkovicesteel.com/pki/ .
9.12.3 Okolnosti, při kterých musí být změněn OID
Není specifikováno.