Απόκτηση ψηφιακού πιστοποιητικού

Απόκτηση ψηφιακού πιστοποιητικού

Η πιστοποίηση χρηστών και διακομιστών (γενικά οντοτήτων ή end entities) στα πλαίσια μίας υποδομής δημοσίου κλειδιού (Public Key Infrastructure) όπως είναι και η υποδομή HellasGrid PKI γίνεται από μία κεντρική υπηρεσία την Αρχή Πιστοποίησης (Α.Π.). Σε μία τέτοια ηλεκτρονική υποδομή όλες οι εμπλεκόμενες οντότητες (χρήστες, μηχανήματα, οργανισμοί), πιστοποιούν την αυθεντικότητά μεταξύ τους με την χρήση ψηφιακών πιστοποιητικών που έχει υπογράψει η Αρχή Πιστοποίησης. Για να ταυτοποιηθεί η ταυτότητα μίας οντότητας και να υπογραφεί έτσι ένα ψηφιακό πιστοποιητικό απαραίτητη είναι η παρεμβολή μίας Αρχής Ταυτοποίησης (Α.Τ.) η οποία αναλαμβάνει την ταυτοποίηση των οντοτήτων.

Στη γενική περίπτωση η διαδικασία έχει ως εξής. Ο χρήστης παράγει ένα ζεύγος ιδιωτικού (private) και δημοσίου (public) κλειδιού με κάποια αποδεκτή από την Αρχή Πιστοποίησης ασφαλή μέθοδο και αποστέλλει το δημόσιο κλειδί στην Αρχή Πιστοποίησης. Εν συνεχεία η ταυτότητα του χρήστη επικυρώνεται μέσα από μία πρόσωπο με πρόσωπο συνάντηση με την Αρχή Ταυτοποίησης η οποία κατόπιν επιτυχούς ταυτοποίησης ενημερώνει την Αρχή Πιστοποίησης να προβεί στην υπογραφή του δημοσίου κλειδιού. Η Αρχή Πιστοποίησης χρησιμοποιώντας το δικό της private κλειδί υπογράφει το δημόσιο κλειδί του χρήστη και έτσι παράγει ένα ψηφιακό πιστοποιητικό που επιστρέφει στον χρήστη. Η τελική οντότητα μπορεί εν συνεχεία να χρησιμοποιεί το ιδιωτικό κλειδί μαζί με το ψηφιακό πιστοποιητικό για να επικοινωνεί ασφαλώς ή/και κρυπτογραφικά με άλλες οντότητες της PKI υποδομής.

  !  Στα παρακάτω δίνονται αναλυτικές οδηγίες για την απόκτηση ψηφιακού πιστοποιητικού από την Α.Π. HellasGrid CA όπως αυτές καταγράφηκαν με τη χρήση ενός Mozilla based browser (συγκεκριμένα για τα screenshots έχει χρησιμοποιηθεί ο Camino 1.5.4 σε MAC OS X 10.5.1). Η διαδικασία αυτή διαφέρει στο ελάχιστο (ίσως και καθόλου) από την διαδικασία που θα ακολουθήσει ένας χρήστης της Α.Π. που χρησιμοποιεί Internet Explorer, Mozilla based, Safari ή Opera ως default web browser.

  !  Πρωτού κάποιος ξεκινήσει με την διαδικασία απόκτησης ψηφιακού πιστοποιητικού όπως αυτή περιγράφεται παρακάτω πρέπει να βεβαιωθεί 1) ότι ο υπολογιστής που θα χρησιμοποιήσει για να διεκπεραιώσει την διαδικασία δεν είναι δημόσιας χρήσης και 2) ότι έχει αποδεχτεί τα πιστοποιητικά των Αρχών Πιστοποίησης HellasGrid Root CA και HellasGrid CA. Εφόσον πληρούνται και οι 2 αυτές προϋποθέσεις ο ενδιαφερόμενος μπορεί να προσπεράσει την παράγραφο Εισαγωγή και αποδοχή πιστοποιητικών Αρχών Πιστοποίησης και να προχωρήσει απευθείας στην Αίτηση για ψηφιακό πιστοποιητικό.

 

Εισαγωγή και αποδοχή πιστοποιητικών Αρχών Πιστοποίησης

Για να αποδεχτεί ο χρήστης τα ψηφιακά πιστοποιητικά των Αρχών Πιστοποίησης HellasGrid CA και HellasGrid Root CA θα πρέπει στο σύνδεσμο https://access.hellasgrid.gr να επιλέξει τους 2 συνδέσμους με όνομα "εισαγωγή" που βρίσκονται στην μαρκαρισμένη περιοχή στη παρακάτω εικόνα.

Με την επιλογή κάθε συνδέσμου εμφανίζεται ένα νέο παράθυρο στην οθόνη όπου ζητείται από τον χρήστη να ορίσει τα trust settings για την Αρχή Πιστοποίησης. Εκεί θα πρέπει να επιλέξει και τα 3 checkboxes όπως φαίνεται και στο παρακάτω σχήμα.

trust-settings.png

Εφόσον ο χρήστης έχει αποδεχτεί και πλέον εμπιστεύεται τις Αρχές Πιστοποίησης HellasGrid CA και HellasGrid Root CA μπορεί να προχωρήσει στην Αίτηση για ψηφιακό πιστοποιητικό.

 

 

Αίτηση για ψηφιακό πιστοποιητικό

Ο χρήστης που επιθυμεί να αποκτήσει ψηφιακό πιστοποιητικό από την Α.Π. HellasGrid CA θα πρέπει να επιλέξει στη σελίδα https://access.hellasgrid.gr τον 1ο σύνδεσμο που είναι μαρκαρισμένος και στο παρακάτω σχήμα.

Στην επόμενη σελίδα ο χρήστης θα πρέπει να εισάγει τα στοιχεία του και κατόπιν να επιλέξει 'Καταχώρηση'. Εφόσον ο χρήστης είχε στο παρελθόν πιστοποιητικό από την Α.Π. HellasGrid CA και το email account που είχε χρησιμοποιηθεί για την πιστοποίησή του είναι ενεργό ο χρήστης μπορεί να συμπληρώσει την εν λόγω email διεύθυνση στο πλαίσιο Υπάρχοντες Χρήστες και να επιλέξει 'Αναζήτηση'. Οι δύο αυτές επιλογές φαίνονται μαρκαρισμένες στο παρακάτω σχήμα

Η επόμενη σελίδα στην οποία κατευθύνεται ο χρήστης τον ενημερώνει ότι του έχει αποσταλεί ένα αυτοματοποιημένο email για την επιβεβαίωση του email λογαριασμού όπως φαίνεται και στο παρακάτω σχήμα.

Το αυτοματοποιημένο e-mail που έχει σταλεί μοιάζει με αυτό της παρακάτω εικόνας και για να συνεχιστεί η διαδικασία ο χρήστης θα πρέπει να ακολουθήσει τον σύνδεσμο που δίνεται εντός του email.

Ακολουθώντας το σύνδεσμο ανοίγει ένα νέο παράθυρο browser στο οποίο δίνονται δύο επιλογές σχετικά με τον τύπο της αίτησης που πρόκειται να υποβληθεί.

Οι επιλογές που δίνονται τώρα στο χρήστη είναι είτε να δημιουργήσει το private κλειδί και το public request εντός του browser που χρησιμοποιεί είτε στο User Interface όπου έχει λογαριασμό. Στον οδηγό αυτό θα ακολουθήσουμε την πρώτη επιλογή (δηλαδή δημιουργία των private και public κλειδιών εντός του browser) κάτι που μπορεί να κάνει και ο χρήστης επιλέγοντας τον πρώτο από τους δύο μαρκαρισμένους συνδέσμους στην παρακάτω εικόνα.

Πριν την παραγωγή του ζεύγους ιδιωτικού/δημοσίου κλειδιού θα εμφανιστεί ένα μήνυμα όμοιο με αυτό της παρακάτω εικόνας που ενημερώνει τον χρήστη ότι η παραλαβή του πιστοποιητικού (μετά την υπογραφή του δημοσίου κλειδιού) μπορεί να γίνει μόνο από τον ίδιο υπολογιστή και τον ίδιο πρόγραμμα περιήγησης (browser).

Αφότου ο χρήστης επιλέξει 'OK' στο παραπάνω παράθυρο μπορεί να προχωρήσει στην παραγωγή του ζεύγους κλειδιών. Στην επόμενη σελίδα που εμφανίζεται (όμοια με αυτή του παρακάτω σχήματος) ο χρήστης επιλέγει το μέγεθος του κλειδιού. Αυτό θα πρέπει να είναι ίσο είτε με 1024bits είτε με 2048bits. Εν συνεχεία ο χρήστης πρέπει να επιλέξει 'Αποστολή'. Το δημόσιο κλειδί αυτομάτως αποστέλλεται στην Αρχή Πιστοποίησης για να υπογραφεί.

  !  Εφόσον δεν έχει οριστεί στο παρελθόν ένα password για το software security device του browser αυτό θα ζητηθεί σε αυτό το σημείο. Καλό είναι να χρησιμοποιηθεί ένας κωδικός που να περιέχει γράμματα, αριθμούς και άλλα σύμβολα έτσι ώστε η δύναμη του κωδικού να είναι τουλάχιστον 90%.

Κατόπιν αποστολής του δημοσίου κλειδιού στην Α.Π. ο χρήστης κατευθύνεται αυτόματα στην επόμενη σελίδα όπου ενημερώνεται ότι η αίτηση έχει καταχωρηθεί και ότι θα πρέπει τώρα να επισκεφτεί την Αρχή ταυτοποίησης που εξυπηρετεί το ίδρυμά του για να προχωρήσει στην διαδικασία ταυτοποίησης.

Το ίδιο κείμενο αποστέλλεται αυτομάτως στο χρήστη και με email όπως δείχνει και η παρακάτω εικόνα

Διαδικασία ταυτοποίησης

Μία πλήρης λίστα με τις Αρχές Ταυτοποίησης που εξυπηρετούν τους χρήστες της υποδομής HellasGrid είναι διαθέσιμη στο σύνδεσμο https://access.hellasgrid.gr/about_ca.

Μέσα σε 7 ημέρες από την υποβολή της αίτησης ο χρήστης πρέπει να επισκεφτεί την Αρχή Ταυτοποίησης που εξυπηρετεί τους χρήστες του Ιδρύματός του και να προσκομίσει τα παρακάτω έγγραφα:

  1. την αστυνομική ταυτότητα ή το διαβατήριο,
  2. κάποιο έγγραφο που να πιστοποιεί την σχέση του με το ίδρυμα,
  3. πιστά αντίγραφα των παραπάνω δύο εγγράφων και
  4. την εκτύπωση του αυτοματοποιημένου e-mail που λαμβάνει κατά την επιτυχή καταχώρηση της αίτησης

Εάν ο χρήστης έχει πιστοποιητικό από την Α.Π. HellasGrid CA το οποίο είναι έγκυρο μέχρι και την ημερομηνία καταχώρησης της αίτησης δεν χρειάζεται να επισκεφτεί την Αρχή Ταυτοποίησης με την προϋπόθεση ότι η τελευταία φορά που προσκόμισε τα απαραίτητα έγγραφα ήταν μέσα στα προηγούμενα τρία (5) χρόνια.

Κατάσταση αίτησης

Στο αυτοματοποιημένο e-mail που αποστέλλεται στον χρήστη κατά την επιτυχή καταχώρηση της αίτησης υπάρχει ένας σύνδεσμος που δίνει την κατάσταση προόδου της αίτησης

Ο χρήστης ακολουθώντας το σύνδεσμο αυτό μπορεί να παρακολουθήσει την εξέλιξη της αίτησής του όπως φαίνεται στο παρακάτω σχήμα.

Όταν η κατάσταση της αίτησης γίνει "signed" το πιστοποιητικό είναι έτοιμο και ένα νέο αυτοματοποιημένο e-mail που περιέχει το σύνδεσμο παραλαβής του ψηφιακού πιστοποιητικού της μορφής του παρακάτω σχήματος αποστέλλεται στο χρήστη.

 

Παραλαβή και αποδοχή του ψηφιακού πιστοποιητικού

Ο χρήστης για να κατεβάσει το υπογεγραμμένο ψηφιακό πιστοποιητικό θα πρέπει να χρησιμοποιήσει τον ίδιο υπολογιστή και το ίδιο πρόγραμμα περιήγησης (browser) από το οποίο είχε υποβάλλει την αίτηση του.

Για να κατεβάσει και να εγκαταστήσει το πιστοποιητικό του ο χρήστης θα πρέπει να ακολουθήσει το σύνδεσμο από το αυτοματοποιημένο email που λαμβάνει και τον ενημερώνει ότι έχει υπογραφεί το ψηφιακό πιστοποιητικό του. Επιπρόσθετα θα πρέπει από το web interface όπου κατευθύνεται να αποδεχτεί το πιστοποιητικό του.

Το ψηφιακό πιστοποιητικό και το private κλειδί βρίσκονται αποθηκευμένα και προστατευμένα στο software security device του browser. Από εκεί ο χρήστης μπορεί να τα εξάγει σε p12 ή pfx format αναλόγως τι τύπου browser χρησιμοποιεί και να τα μεταφέρει στο User Interface ή σε άλλες εφαρμογές (π.χ. mail client).

 
Με εικόνες