Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porGustavo Duarte Paz Modificado hace 8 años
1
iris-pca@rediris.es RedIRIS Campus del CSIC (Madrid) 2 de Junio de 2000 VI Reunión Grupo de Trabajo GTI-PCA Chelo Malagón Paco Montserrat
2
VI Reunion GTI-PCA iris-pca@rediris.es AGENDA n Resumen operación Piloto de Certificación IRIS-PCA n V Reunión GTI-PCA (Oviedo) n Fase operativa Piloto n Relaciones Internacionales n Aspectos legales n Presentaciones n "PKI en UM" Pepi Gil (UM) n "Sistemas de Sincronización y Autoridades de Certificación" Luis Batanero (ROA) n "Integración Certificados X509 en Directorio X500" Diego López, RedIRIS n "Red Temática Iberoamericana de Criptografía y Seguridad de la Información" Jorge Ramio (UPM) n Otros temas n Ruegos y Preguntas
3
VI Reunion GTI-PCA iris-pca@rediris.es RESUMEN DE OPERACIÓN PILOTO DE CERTIFICACIÓN IRIS-PCA n V Reunión GTI-PCA (Oviedo, 16 de Noviembre 1999) n Inclusión Obligaciones y Responsabilidades en Politica de Certificacion n Especificación de protocolo de Revocación de Certificados (CDIP, CSD, CAs) n Uso de extensiones X509 para IRIS-PCA y CAs subordinadas n Validez de Certificados n Protocolo de Emisión Certificados por parte de la IRIS-PCA
4
VI Reunion GTI-PCA iris-pca@rediris.es PROTOCOLO DE REVOCACIÓN DE CERTIFICADOS CAs SUBORDINADAS n ¿Quién puede solicitar la revocación? n Cualquier persona Listas de suspensión y reactivación de certificados n Responsable técnico directo n Soluciones propuestas: n Código de identificación secreto n Correo de solicitud firmado digitalmente n Estructura PGP paralela (Cert'eM ??)
5
VI Reunion GTI-PCA iris-pca@rediris.es USO DE EXTENSIONES EN CERTIFICADOS X509v3 n Extensiones obligatorias en CAs subordinadas n netscape-ca-revocation-url (Certificados D. CAs) http://www.rediris.es/cert/iris-pca/crl-rep.html n netscape-revocation-url (CDIP, CDS) n netscape-cert-type SSL CA, S/MIME CA, Object Signing CA n basicConstrains - cA = true - pathlen <= 4 n netscape-ca-policy-url http://www.rediris.es/cert/iris-pca/politica.html n KeyUsage (crítica) Certificate Sign, CRL Sign n AuthorityKeyIdentifier 6A:79:94:C8:8A:B1:0F:1E:D0:F9:1B:31:36:14:1F:BC:D5:72:91:5D n SubjectKeyIdentifier (RFC 2459) n netscape-comment CA perteneciente al Piloto de Certificación IRIS-PCA n Extensiones opcionales A pactar con AR
6
VI Reunion GTI-PCA iris-pca@rediris.es EXTENSIONES PRESENTES EN IRIS-PCA X509v3 extensions: X509v3 Subject Key Identifier: 6A:79:94:C8:8A:B1:0F:1E:D0:F9:1B:31:36:14:1F:BC:D5:72:91:5D X509v3 Authority Key Identifier: keyid:6A:79:94:C8:8A:B1:0F:1E:D0:F9:1B:31:36:14:1F:BC:D5:72:91:5D DirName:/C=ES/ST=Madrid/O=RedIRIS/CN=IRIS-PCA/Email=iris-pca@rediris.es serial:00 X509v3 Basic Constraints: CA:TRUE, pathlen:5 X509v3 Key Usage: critical Certificate Sign, CRL Sign Netscape CA Revocation Url: http://www.rediris.es/cert/iris-pca/crl-rep.html Netscape Comment: CA Raiz del Piloto de Certificacion IRIS-PCA Netscape CA Policy Url: http://www.rediris.es/cert/iris-pca/politica.html
7
VI Reunion GTI-PCA iris-pca@rediris.es PERIODO DE VALIDEZ CERTIFICADO IRIS-PCA n Fase de pruebas (1 año) n Feb 14 15:12:32 2000 GMT-Feb 13 15:12:32 2001 GMT n Fase operativa (no debe ser superior a 4 años)
8
VI Reunion GTI-PCA iris-pca@rediris.es EMISIÓN DE CERTIFICADOS DIGITALES POR PARTE DE IRIS-PCA (PROTOCOLO) n Grupo de Interés solicitante n e-mail (iris-pca@rediris.es) n CSR (Certificate Signing Request) PKCS#10 n Correo Postal Certificado n Designación formal responsable técnico directo n Documento solicitud y acuerdo legal n Política de Certificación n AR RedIRIS n e-mail (responsable técnico) n Certificado (PEM) n Correo postal certificado n Código secreto para la revocación
9
VI Reunion GTI-PCA iris-pca@rediris.es FASE OPERATIVA DEL PILOTO DE CERTIFICACIÓN (I) n Periodo de Validez (1 año) Feb 14 15:12:32 2000 GMT-Feb 13 15:12:32 2001 GMT n RSA 2048 bits n DN: C=ES, ST=Madrid, O=RedIRIS, CN=IRISPCA/Email=iris-pca@rediris.es n FingerPrint B5:66:63:85:08:3C:EA:08:F0:DF:36:77:B3:44:20:3F n Diciembre 2000: Coexistencia dos identidades IRIS-PCA
10
VI Reunion GTI-PCA iris-pca@rediris.es FASE OPERATIVA DEL PILOTO DE CERTIFICACIÓN (II) n Certificados Emitidos IRIS-PCA U. Murcia U. Alcala Henares Febrero 2000 Marzo 2000
11
VI Reunion GTI-PCA iris-pca@rediris.es FASE OPERATIVA DEL PILOTO DE CERTIFICACIÓN (III) n CRL (Certificate Revocation List) n Se han emitido 3 CRLs hasta el momento n Certificados Revocados n 1er Certificado emitido a favor de la UM Serial Number: 01 Revocation Date: Mar 8 15:01:04 2000 GMT n Causas: Cambio DN (UID) Solución: preserveDN
12
VI Reunion GTI-PCA iris-pca@rediris.es FASE OPERATIVA DEL PILOTO DE CERTIFICACIÓN (IV) n Temas pendientes: n Periodo de validez certificado IRIS-PCA tras fase de pruebas n Cambio de algoritmo de firma: md5withRSAEncryption sha1WithRSAEncryption (Recomendación RFC 2459). n Problemas al mezclar distintos tipos de algoritmos de firma n Pruebas realizadas en MIE y NetScape sin problemas n Utilización sha1WithRSAEncryption para firmas de CRL n pca-admin@rediris.es n Reunión responsables técnicos directos en Septiembre
13
VI Reunion GTI-PCA iris-pca@rediris.es RELACIONES INTERNACIONALES (I) n Redes de académicas y de investigación europeas n Surfnet PCA, UK Academic PCA, DFN PCA, UNINETT PCA,.. n Paralelamente desarrollan PGP PKI: Permite simplificar el modelo "web-of-trust" de PGP facilitando la certificación de claves para nuevos usuarios n PGP cross-certificates: PGP Surfnet PCA PGP DFN PCA PGP UK Academic PCA n Por el momento, no hay certificados cruzados X509 entre PCAs académicas n Necesidad de unificar políticas de certificación RFC 2527 n Discusión próxima reunión de CERT-COORD en París (Septiembre 2000)
14
VI Reunion GTI-PCA iris-pca@rediris.es RELACIONES INTERNACIONALES (II) n Iberoamérica n Infraestructuras de Firma Digital existentes y cobertura legal de la firma digital n Chile e-certChile Empresa Nacional de Certificación Electrónica (Ministerio de Economía, Cámara de comercio, Asociación Chilena de Tecnologías de la Información) www.acti.cl n Argentina Infraestructura de Firma Digital, aplicable a la administración pública nacional (IFDAPN). Decreto Presidencial nº 427 de 1998 www.pki.gov.ar
15
VI Reunion GTI-PCA iris-pca@rediris.es RED DE SINCRONIA (SERVIDORES DE SELLOS) CriptoLab (UPM) ROARedIRIS Stratum 1 Server1 Server n Stratum 2 ….
16
VI Reunion GTI-PCA iris-pca@rediris.es DIRECCIONES DE INTERÉS n Piloto de Certificación: http://www.rediris.es/cert/iris-pca/index.html n Grupos de Trabajo: http://www.rediris.es/cert/pca/ n Lista de distribución: GTI-PCA@listserv.rediris.es n e-mail AR: iris-pca@rediris.es
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.