Download 4 Política de una RA
Transcript
Reunión administradores de autoridades de registro de pkIRISGrid CA pkIRISGrid RAdmin 2 Daniel García - [email protected] Javi Masa - [email protected] Oviedo, 20 de noviembre de 2007 Índice 1 Bienvenida 2 Escenario actual 3 Mejoras en el servicio 4 Política de una RA 5 Problemas encontrados 6 Futuro 7 Ruegos y preguntas Índice 1 Bienvenida 2 Escenario actual 3 Mejoras en el servicio 4 Política de una RA 5 Problemas encontrados 6 Futuro 7 Ruegos y preguntas Escenario actual de pkIRISGrid ● ● RAs ● 29 RAs ● 13 localizaciones Certificados ● ● 1200 emitidos ● 537 usuario ● 667 host/servicio CRLs ● 87 emitidas ● 35 Millones descargas jt2007 - pkIRISGrid RA Admin-2 4.28 Evolución del nº de certificados 1200 pkIRISGrid RA Admin-2 Emitidos Válidos Expirados Revocados 1100 1000 900 Certificados 800 pkIRISGrid RA Admin-1 700 600 500 400 300 200 100 Meses jt2007 - pkIRISGrid RA Admin-2 5.28 11 20 10 09 08 07 06 05 04 03 20 07 01 02 12 11 10 09 08 07 06 05 04 03 20 06 01 02 0 Certificados emitidos por RA RedIRIS : 1 PIC : 2 DACYA - UCM : 3 BSC/CNS : 4 UAM : 5 BIFI - UNIZAR : 6 UCLM : 7 CESGA : 8 DATSI - UPM : 9 URJC : 10 IAA : 11 CIEMAT : 12 CETA-CIEMAT : 13 UPV : 14 ESA : 15 UNICAN : 16 CICA : 17 UNAVARRA : 18 ECM - UB : 19 ARCOS - UC3M : 20 DIPC : 21 CSIC : 22 IFIC : 23 I2BASK : 24 IFCA : 25 CNB-CSIC : 26 UNIOVI : 27 TEST-RedIRIS : 28 MAIA-UB : 29 0 25 jt2007 - pkIRISGrid RA Admin-2 50 75 100 125 150 175 6.28 200 225 Certificados válidos por RA RedIRIS : 1 PIC : 2 DACYA - UCM : 3 BSC/CNS : 4 UAM : 5 BIFI - UNIZAR : 6 UCLM : 7 CESGA : 8 DATSI - UPM : 9 URJC : 10 IAA : 11 CIEMAT : 12 CETA-CIEMAT : 13 UPV : 14 ESA : 15 UNICAN : 16 CICA : 17 UNAVARRA : 18 ECM - UB : 19 ARCOS - UC3M : 20 DIPC : 21 CSIC : 22 IFIC : 23 I2BASK : 24 IFCA : 25 CNB-CSIC : 26 UNIOVI : 27 TEST-RedIRIS : 28 MAIA-UB : 29 0 10 20 jt2007 - pkIRISGrid RA Admin-2 30 40 50 60 70 80 90 100 110 120 7.28 130 140 150 160 Índice 1 Bienvenida 2 Escenario actual 3 Mejoras en el servicio 4 Política de una RA 5 Problemas encontrados 6 Futuro 7 Ruegos y preguntas Mejoras en el servicio -1 ● ● Procedimientos ● Documento de condiciones de uso ● Documento de modificación de datos de una RA ● Manual del operador ● http://www.irisgrid.es/pki/doc Software ● Aviso de expiración de certificados ● Aviso de solicitudes pendientes de gestionar (RA) ● Ayuda a la RA para el cumplimiento de algunos requisitos de identificación de solicitantes ● ● Documento para el solicitante a presentar en la RA Compatibilidad con Opera y Safari jt2007 - pkIRISGrid RA Admin-2 9.28 Mejoras en el servicio -2 ● Software ● Uso de "." en los CNs de los usuarios de EGEE/LCG ● Se ha resuelto esta semana pasada ● ● Sólo para gLite v3.0.0 Mantendremos el guión por el momento jt2007 - pkIRISGrid RA Admin-2 10.28 Mejoras en el servicio - 2 ● Coordinación ● Listas de correo con almacenamiento de mensajes ● [email protected] ● [email protected] jt2007 - pkIRISGrid RA Admin-2 11.28 Índice 1 Bienvenida 2 Escenario actual 3 Mejoras en el servicio 4 Política de una RA 5 Problemas encontrados 6 Futuro 7 Ruegos y preguntas Política de una RA -1 ● ● ● A raíz de la auditoría por parte de EUGridPMA ● Propusimos las auditorias de RA ● Se nos pidió un guión de auditoría Pensamos en que las RAs debían tener una “Política” ● No pretendemos que las RAs tengan un CP/CPS clásico ● Como tienen las CAs Documento de “Buenas Prácticas de Operación” ● Aunque lo llamamos política de RA ● Buscamos procedimientos, NO más burocracia jt2007 - pkIRISGrid RA Admin-2 13.28 Política de una RA -2 ● Cómo hemos preparado la “Política” I ● Un documento a modo de plantilla ● Pretendemos que siga la estructura del RFC3647 ● ● Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework Es un marco de referencia para redactar el documento CP/CPS de CAs ● Pero tampoco ser tan estrictos ● No nos hemos basado en su contenido ● Nos interesaba el concepto jt2007 - pkIRISGrid RA Admin-2 14.28 Política de una RA -3 ● Cómo hemos preparado la “Política” II ● Contiene en cada punto una ayuda para redactarlo ● Primer borrador disponible ● URL: http://www.irisgrid.es/pki/doc/pkirisgrid-ra-policy-template.pdf jt2007 - pkIRISGrid RA Admin-2 15.28 Política de una RA -4 ● Cómo hemos preparado la “Política” III ● ● Una guía de ayuda a la redacción de la Política ● Es un ejemplo sobre una RA ficticia ● Explica lo que hay decir en cada apartado ● No es una guía exhaustiva Primer borrador disponible ● URL: http://www.irisgrid.es/pki/doc/pkirisgrid-ra-policy-example.pdf jt2007 - pkIRISGrid RA Admin-2 16.28 Política de una RA -5 ● La idea de política debe ser colaborativa ● Queremos que participéis en la mejora de los borradores ● Para obtener un mejor documento que estregar a próximas RAs jt2007 - pkIRISGrid RA Admin-2 17.28 Índice 1 Bienvenida 2 Escenario actual 3 Mejoras en el servicio 4 Política de una RA 5 Problemas encontrados 6 Futuro 7 Ruegos y preguntas Problemas encontrados - 1 ● Usuario final ● Cambio de responsable del certificado de host/servicio ● ● Cambio de datos del certificado de un usuario ● ● Creación de figura responsable administrativo Revocar certificado MS Internet Explorer 7 sobre Windows Vista y otros navegadores jt2007 - pkIRISGrid RA Admin-2 19.28 Problemas encontrados - 2 ● RA ● Comprobación de datos de la solicitud ● CN ● ● Email ● ● ● En muchos casos se está certificado la dirección de correo Debe existir ya que a esa dirección llegarán los avisos de expiración FQDN ● ● ● Comprobar Nombre y Apellido No certificamos direcciones IP No se emiten certificados con wildcard ● *.subdominio.dominio Cambio de PIN de usuario ● Captura de pantalla ● Veamoslo en el interfaz web jt2007 - pkIRISGrid RA Admin-2 20.28 Problemas encontrados - 3 ● CA ● ● Revocaciones en período de renovación ¿Más problemas? ● Por favor comentadlos ahora jt2007 - pkIRISGrid RA Admin-2 21.28 Índice 1 Bienvenida 2 Escenario actual 3 Mejoras en el servicio 4 Política de una RA 5 Problemas encontrados 6 Futuro 7 Ruegos y preguntas Futuro - 1 ● A corto plazo ● ● Creación de nuevas listas por cada RA ● pkirisgrid-ratN-admin@ (administradores de la RA N) ● pkirisgrid-ratN-users@ (usuarios de la RA N) Realizar auditoría pkIRISGrid-CA ● ● También alguna auditoría a alguna de las RAs Estadísticas de uso de la RA ● Solicitudes aprobadas/denegadas ● Certificados emitidos/válidos/revocados jt2007 - pkIRISGrid RA Admin-2 23.28 Futuro - 2 ● A medio plazo ● Especificación de duración del certificado (en días) ● ● ● Modificar la política Soporte de Subject Alternative Name A largo plazo ● Importación de CSRs externas ● Soporte de múltiples certificados jt2007 - pkIRISGrid RA Admin-2 24.28 Índice 1 Bienvenida 2 Escenario actual 3 Mejoras en el servicio 4 Política de una RA 5 Problemas encontrados 6 Futuro 7 Ruegos y preguntas jt2007 - pkIRISGrid RA Admin-2 Edificio Bronce Plaza Manuel Gómez Moreno s/n 28020 Madrid. España Tel.: 91 212 76 20 / 25 Fax: 91 212 76 35 www.red.es RedIRIS. Edificio CICA Avenida Reina Mercedes s/n 41012. Sevilla. España Tel: 95 505 66 00 Fax: 95 505 66 27 26.28