Regulamin usług certyfikacyjnych Centrum Certyfikacji SEKAP Wersja 1.0 Katowice 2008r.
Historia dokumentu Wersja Data Opis prac 1.0 18-04-2008 Publikacja dokumentu. - 2 -
Spis treści Historia dokumentu... 2 Spis treści... 3 1. Wstęp... 8 1.1 Wprowadzenie... 8 1.2 Dokumentacja... 9 1.3 Architektura PKI w SEKAP... 9 1.3.1 Centrum Certyfikacji... 10 1.3.2 Urząd rejestracji... 11 1.3.3 Subskrybent... 12 1.3.4 Strona ufająca... 12 1.4 Zastosowanie usług certyfikacyjnych... 12 1.4.1 Wykorzystanie usług certyfikacyjnych... 12 1.4.2 Ograniczenie wykorzystania Usług certyfikacyjnych... 13 1.5 Zarządzanie Polityką Certyfikacji i Regulaminem Certyfikacji... 13 1.5.1 Organ zarządzający Polityką Certyfikacji i Regulaminem Certyfikacji... 13 1.5.2 Osoby kontaktowe... 14 1.5.3 Zatwierdzanie Polityki Certyfikacji i Regulaminu Certyfikacji... 14 1.5.4 Procedura zatwierdzania Polityki Certyfikacji i Regulaminu Certyfikacji... 14 1.6 Definicje i akronimy... 14 2 Zobowiązania ogólne... 18 2.1 Repozytorium Centrum Certyfikacji... 18 2.2 Informacje podlegające publikacji w Repozytorium... 18 2.3 Częstotliwość publikacji informacji w Repozytorium... 19 2.4 Dostęp do Repozytorium... 19 3 Identyfikacja Subskrybenta... 20 3.1 Nazewnictwo... 20 3.1.1 Typy nazw... 20 3.1.2 Prawidłowość danych zamieszczanych w certyfikatach... 20 3.1.3 Anonimowość Subskrybentów... 20 3.1.4 Zasady interpretowania nazw... 20 3.1.5 Unikalność nazw... 22 3.1.6 Wykorzystanie znaków towarowych... 22 3.2 Pierwsza certyfikacja Subskrybenta... 22 3.2.1 Dowód posiadania klucza prywatnego... 22 3.2.2 Uwierzytelnienie Organizacji... 23 3.2.3 Weryfikacja toŝsamości... 23 3.2.4 Dane nie podlegające weryfikacji... 24 3.3 Recertyfikacja Subskrybenta... 24 3.3.1 Recertyfikacja Subskrybenta w przypadku wygaśnięcia Certyfikatu... 24 3.3.2 Recertyfikacja Subskrybenta w przypadku uniewaŝnienia certyfikatu... 24 3.4 Autoryzacja zgłoszeń o uniewaŝnienie certyfikatu... 24-3 -
4 Cykl Ŝycia Usług certyfikacyjnych... 26 4.1 Ubieganie się o certyfikat... 26 4.1.1 Podmioty upowaŝnione do ubiegania się o Certyfikat... 26 4.1.2 Procedura ubiegania się o Certyfikat przez osobę fizyczną... 26 4.1.3 Procedura ubiegania się o Certyfikat dla serwera... 27 4.2 Przetwarzanie wniosku o wystawienie Certyfikatu... 27 4.2.1 Weryfikacja toŝsamości Subskrybenta... 27 4.2.2 Procedura przyjęcia wniosku o wystawienie Certyfikatu... 28 4.2.3 Czas realizacji wniosku o wystawienie Certyfikatu... 29 4.3 Wystawienie Certyfikatu... 29 4.3.1 Przetwarzanie wniosku o wystawienie certyfikatu w Centrum Certyfikacji... 29 4.3.2 Informowanie Subskrybenta o wystawieniu Certyfikatu... 29 4.4 Przekazanie Certyfikatu... 29 4.4.1 Akceptacja Certyfikatu przez Subskrybenta... 29 4.4.2 Publikacja Certyfikatu w Repozytorium Centrum Certyfikacji... 30 4.4.3 Informowanie Stron ufających o wystawieniu certyfikatu dla Subskrybenta... 30 4.5 UŜycie Certyfikatu i pary kluczy... 30 4.5.1 Wykorzystanie pary kluczy i Certyfikatu przez Subskrybenta... 30 4.5.2 Wykorzystanie klucza publicznego i Certyfikatu przez Stronę ufającą... 30 4.6 Odnawianie Certyfikatu... 31 4.6.1 Kryteria odnowienia Certyfikatu... 31 4.6.2 Podmioty upowaŝnione do ubiegania się o odnowienie Certyfikatu... 31 4.6.3 Odnowienie Certyfikatu na drodze elektronicznej... 31 4.6.4 Odnowienie Certyfikatu serwerowego na drodze elektronicznej... 32 4.7 Odnawianie Certyfikatu dla istniejącej pary kluczy... 33 4.8 Zmiana danych w Certyfikacie... 33 4.8.1 Okoliczności zmiany danych w Certyfikacie... 33 4.8.2 Podmioty upowaŝnione do ubiegania się o zmianę danych w Certyfikacie... 33 4.8.3 Procedura zmiany danych w Certyfikacie... 33 4.8.4 Informowanie Stron ufających o odnowieniu Certyfikatu Subskrybenta... 34 4.9 Zawieszanie i uniewaŝnianie Certyfikatu... 34 4.9.1 Okoliczności uniewaŝnienia Certyfikatu... 34 4.9.2 Podmioty upowaŝnione do uniewaŝnienia certyfikatu... 35 4.9.3 Procedura składania wniosku o uniewaŝnienie Certyfikatu przez Subskrybenta... 36 4.9.4 Procedura składania wniosku o uniewaŝnienie Certyfikatu przez Organizację... 36 4.9.5 Procedura składania wniosku o uniewaŝnienie Certyfikatu przez Centrum Certyfikacji... 36 4.9.6 Procedura przetwarzania wniosku o uniewaŝnienie certyfikatu... 37 4.9.7 Czas realizacji uniewaŝnienia Certyfikatu przez Centrum Certyfikacji... 37 4.9.8 Weryfikacja waŝności Certyfikatu przez Strony ufające... 37 4.9.9 Częstotliwość generowania list CRL... 38 4.9.10 Okres waŝności list CRL... 38 4.9.11 Dostępność list CRL... 38 4.9.12 Inne formy publikacji informacji o uniewaŝnieniu Certyfikatu... 38 4.9.13 Okoliczności zawieszenia Certyfikatu... 38 4.9.14 Podmioty upowaŝnione do zawieszenia Certyfikatu... 38 4.9.15 Procedura składania wniosku o zmianę stanu waŝności Certyfikatu w zakresie zawieszenia/uchylenia zawieszenia Certyfikatu przez Subskrybenta... 39 4.9.16 Procedura składania wniosku o zawieszenie/uchylenie zawieszenia certyfikatu przez upowaŝnionego przedstawiciela Organizacji... 39 4.9.17 Procedura składania wniosku o zawieszenie/uchylenie zawieszenia certyfikatu przez Centrum Certyfikacji... 40 4.9.18 Okres zawieszenia certyfikatu... 41 4.9.19 Publikacja informacji o zawieszeniu certyfikatu... 41 4.9.20 Inne formy publikacji informacji o zawieszeniu certyfikatu... 41-4 -
4.10 Usługi weryfikacji waŝności certyfikatu... 41 4.11 Zakończenie świadczenia usługi certyfikacyjnej... 41 4.12 Archiwizacja i odtwarzanie pary kluczy... 42 5 Nieinformatyczne środki ochrony... 42 5.1 Ochrona fizyczna... 42 5.1.1 Lokalizacja Centrum Certyfikacji... 42 5.1.2 Kontrola dostępu... 42 5.1.3 Zasilanie i klimatyzacja... 42 5.1.4 Ochrona przed zalaniem... 42 5.1.5 Ochrona przeciwpoŝarowa... 42 5.1.6 Przechowywanie nośników danych... 43 5.1.7 Niszczenie informacji i nośników danych... 43 5.1.8 Przechowywanie nośników danych poza miejscem eksploatacji Centrum Certyfikacji... 43 5.2 Proceduralne środki ochrony... 43 5.2.1 Macierz uprawnień ról w Centrum Certyfikacji... 43 5.2.2 Zasady realizacji zadań... 43 5.2.3 Zasady uwierzytelniania i autoryzacji ról... 44 5.2.4 Zasady łączenia ról... 44 5.3 Bezpieczeństwo osobowe... 44 5.3.1 Kryteria doboru pracowników... 44 5.3.2 Weryfikacja doboru pracowników... 44 5.3.3 Rotacja personelu... 44 5.3.4 Sankcje z tytułu podejmowania nieuprawnionych działań... 44 5.3.5 Personel tymczasowy... 45 5.3.6 Dokumentacja przekazywana personelowi... 45 5.4 Archiwizacja zdarzeń Centrum Certyfikacji... 45 5.4.1 Rodzaje zdarzeń podlegających archiwizacji... 45 5.4.2 Częstotliwość przeglądu rejestrów zdarzeń... 46 5.4.3 Czas przechowywania archiwalnych kopii rejestrów zdarzeń... 46 5.4.4 Zabezpieczenie archiwalnych kopii rejestrów zdarzeń... 46 5.4.5 Procedura dostępu do archiwalnych kopii... 46 5.4.6 Techniczna realizacja procesu archiwizacji rejestru zdarzeń... 46 5.5 Polityka tworzenia kopii zapasowych... 46 5.5.1 Rodzaje zasobów podlegających tworzeniu kopii zapasowych... 46 5.5.2 Częstotliwość tworzenia kopii zapasowych... 47 5.5.3 Czas przechowywania kopii zapasowych... 47 5.5.4 Przechowywanie i dostęp do kopii zapasowych... 47 5.5.5 Techniczna realizacja tworzenia kopii zapasowych... 47 5.6 Zmiana pary kluczy Centrum Certyfikacji... 47 5.7 Plan ciągłości działania... 47 5.7.1 Procedura reakcji na wystąpienie incydentu... 47 5.7.2 Awaria zasobów Centrum Certyfikacji... 48 5.7.3 Ujawnienie klucza prywatnego Centrum Certyfikacji... 48 5.7.4 Zdolność do zapewniania ciągłości działania po wystąpieniu incydentu... 48 5.8 Zakończenie działalności Centrum Certyfikacji... 48 6 Informatyczne środki ochrony... 49 6.1 Generowanie pary kluczy... 49 6.1.1 Generowanie pary kluczy Centrum Certyfikacji... 49 6.1.2 Generowanie pary kluczy Subskrybenta... 49 6.1.3 Dostarczanie pary kluczy do Subskrybenta... 49 6.1.4 Dostarczanie pary kluczy do upowaŝnionego przedstawiciela Organizacji... 49-5 -
6.1.5 Dostarczanie klucza publicznego do Centrum Certyfikacji... 50 6.1.6 Dostarczanie klucza publicznego Centrum Certyfikacji do Stron ufających... 50 6.1.7 Parametry techniczne pary kluczy... 50 6.1.8 Zastosowanie pary kluczy... 50 6.2 Ochrona pary kluczy... 52 6.2.1 Środki ochrony pary kluczy... 52 6.2.2 Podział klucza prywatnego... 53 6.2.3 Depozyt pary kluczy... 53 6.2.4 Kopia zapasowa pary kluczy... 53 6.2.5 Archiwizacja pary kluczy... 53 6.2.6 Aktywacja pary kluczy... 53 6.2.7 Niszczenie pary kluczy... 53 6.2.8 Ocena przydatności urządzeń kryptograficznych... 54 6.3 Zasady zarządzania i wykorzystania pary kluczy... 54 6.4 Przygotowanie pary kluczy do wykorzystania... 54 6.5 Zabezpieczanie systemów komputerowych... 55 6.6 Cykl Ŝycia zabezpieczeń technicznych Centrum Certyfikacji... 55 6.6.1 Rozwój systemu komputerowego... 55 6.6.2 Zarządzanie zmianami... 55 6.7 Zabezpieczenia sieci komputerowej... 55 7 Profil certyfikatu i listy CRL... 56 7.1 Profil certyfikatu... 56 7.1.1 Rozszerzenia certyfikatów... 57 7.1.2 Zasady przetwarzania rozszerzeń... 58 7.1.3 Szczegółowy profil certyfikatu SEKAP Osobisty... 58 7.1.4 Szczegółowy profil certyfikatu SEKAP Serwer... 59 7.1.5 Szczegółowy profil certyfikatu SEKAP VPN... 60 7.2 Profil listy CRL... 61 7.2.1 Rozszerzenia listy CRL... 61 7.2.2 Zasady zamieszczania informacji o uniewaŝnionym Certyfikacie... 62 8 Kontrola działalności Centrum Certyfikacji... 64 8.1 Częstotliwość i zasady realizacji kontroli... 64 8.2 Podmioty upowaŝnione do realizacji kontroli... 64 8.3 Powiązanie kontrolerów z Centrum Certyfikacji... 64 8.4 Zakres kontroli... 65 8.5 Przedstawianie wyników kontroli... 65 8.6 Podejmowanie działań w przypadku wykrycia niezgodności... 65 9 Zobowiązania biznesowe i prawne... 65 9.1 Opłaty... 65 9.2 Poufność informacji... 65 9.3 Ochrona danych osobowych... 66 9.4 Zobowiązania Centrum Certyfikacji... 66 9.5 Zobowiązania Subskrybenta... 66 9.6 Zobowiązania Strony ufającej... 67 9.7 Powiązane akty prawne... 68 9.8 Ograniczenia odpowiedzialności... 68-6 -
9.9 Ochrona informacji... 68 9.10 Rozstrzyganie sporów... 68-7 -
1. Wstęp 1.1 Wprowadzenie Niniejszy dokument stanowi szczegółowy zbiór zasad opisujących świadczenie usług certyfikacyjnych przez Centrum Certyfikacji SEKAP (CC SEKAP). Odzwierciedla podejście SEKAP do realizacji i wykorzystania usług Infrastruktury Klucza Publicznego (PKI). Regulamin Certyfikacji naleŝy rozpatrywać wraz z towarzyszącą mu Polityką Certyfikacji oraz Ustawą z dnia 18 września 2001 r. o podpisie elektronicznym. Dokument został utworzony w oparciu o zalecenia RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework oraz wymagania zapisane w ETSI TS 102 042 v 1.2.2. Definicje pojęć i terminów jakie moŝna znaleźć w niniejszym dokumencie zostały zamieszczone w rozdziale 1.6 Słownik terminów. Zadaniem Regulaminu Certyfikacji jest szczegółowe opisanie reguł świadczenia usług certyfikacyjnych przez Centrum Certyfikacji SEKAP. Jego treść odnosi się nie tylko do składników samej Infrastruktury Klucza Publicznego w Centrum Certyfikacji SEKAP, lecz takŝe do Subskrybentów (klientów usług certyfikacyjnych) oraz Stron ufających (odbiorców informacji zabezpieczonych elektronicznie z uŝyciem certyfikatów elektronicznych wystawionych przez CC SEKAP). Usługi PKI w szczególności obejmują: generowanie pary kluczy, generowanie i dystrybucję certyfikatów elektronicznych, udostępnianie mechanizmów weryfikacji waŝności certyfikatów elektronicznych (listy CRL), publikowanie certyfikatów elektronicznych w Repozytorium Centrum Certyfikacji, O zaufaniu do Centrum Certyfikacji decyduje nie tylko treść Polityki Certyfikacji i Regulaminu Certyfikacji, lecz takŝe zdolność do funkcjonowania Centrum Certyfikacji w zgodzie z regułami nakreślonymi w powyŝszych dokumentach. W celu zapewnienia jak najwyŝszego poziomu bezpieczeństwa, Centrum Certyfikacji zobowiązane jest do postępowania zgodnie z regułami zatwierdzonymi przez Dyrektora Śląskiego Centrum Społeczeństwa Informacyjnego. Obejmują one w szczególności obejmują: zagadnienia związane z identyfikacją i weryfikacją toŝsamości Subskrybentów, utrzymanie odpowiedniego poziomu bezpieczeństwa systemu komputerowego i urządzeń kryptograficznych związanych z PKI, funkcjonowaniem systemu informatycznego Centrum Certyfikacji, periodyczną publikacją danych do weryfikacji waŝności wystawianych certyfikatów, - 8 -
wykorzystaniem pary kluczy i certyfikatów przez Subskrybentów i Strony ufające. Wiarygodność usług certyfikacyjnych CC SEKAP ściśle zaleŝy od skrupulatnej realizacji procedur eksploatacji Centrum Certyfikacji, zastosowanego sprzętu, wykorzystywanej lokalizacji oraz doborze odpowiedniego personelu. 1.2 Dokumentacja Zapisy Regulaminu Certyfikacji naleŝy rozpatrywać ściśle z towarzyszącą mu Polityką Certyfikacji. Operacyjnie Usługi certyfikacyjne realizowane są w oparciu o zbiór dokumentów obejmujących: procedury Centrum Certyfikacji (nie podlegające publikacji), procedury Urzędu rejestracji (nie podlegające publikacji), umowy o świadczenie usług certyfikacyjnych, wniosek o wystawienie certyfikatu elektronicznego wniosek o zmianę stanu waŝności certyfikatu elektronicznego. Polityka Certyfikacji i Regulamin Certyfikacji nie podlega rejestracji w Krajowym Rejestrze Identyfikatorów Obiektów. 1 1.3 Architektura PKI w SEKAP SEKAP (System Elektronicznej Komunikacji Administracji Publicznej) to system informatyczny samorządów gmin i powiatów Województwa Śląskiego. System obejmuje teleinformatyczne środowisko dla świadczenia usług publicznych w formie elektronicznej. Pełna lista jednostek samorządu terytorialnego eksploatujących system znajduje się w Załączniku 1 do niniejszego Regulaminu Certyfikacji. Zadaniem Centrum Certyfikacji SEKAP jest ścisłe wspieranie realizacji w/w usług. Centrum Certyfikacji SEKAP jest systemem informatycznym przeznaczonym do świadczenia usług certyfikacyjnych w oparciu o Ustawę o podpisie elektronicznym. Obejmuje on organizacyjnie i technicznie wydzielone Centrum Certyfikacji oraz Urzędy rejestracji pozostające w bezpośrednim kontakcie z Subskrybentami usług certyfikacyjnych. Rysunek przedstawiony poniŝej ilustruje Architekturę Centrum Certyfikacji SEKAP. 1 Krajowy Rejestr Identyfikatorów Obiektów (KRIO), przydziela unikalną wartość nazwy organizacji w dwóch postaciach numerycznej i alfanumerycznej. Numery te mogą mieć zastosowanie w przypadku, gdy zachodzi potrzeba identyfikacji obiektu (np. algorytmu podpisu cyfrowego, polityki certyfikacji, alternatywnej nazwy uŝytkownika) który powiązany jest z organizacją. Więcej informacji na stronie internetowej www.krio.pl - 9 -
Usługi CC SEKAP Repozytorium Centrum Certyfikacji Urząd rejestracji Odbiorcy usług certyfikacyjnych Strona ufająca Subskrybent Rys 1. Architektura PKI w SEKAP 1.3.1 Centrum Certyfikacji Centrum Certyfikacji jest głównym elementem infrastruktury PKI. Zostało utworzone w celu generowania certyfikatów elektronicznych. Centrum Certyfikacji podlega bezpośrednio pod Dyrektora Śląskiego Centrum Społeczeństwa Informacyjnego. Centrum Certyfikacji funkcjonuje zgodnie z zapisami Polityki Certyfikacji i Regulaminu Certyfikacji. Podmiot ten odpowiada za wszelkie aspekty związane z wystawianiem i zarządzaniem certyfikatami elektronicznymi, począwszy od procesu rejestracji Subskrybenta, przez publikację certyfikatów po działania związane z ich zawieszaniem i uniewaŝnianiem. W ramach architektury PKI wygenerowanej w SEKAP istnieje jedno Centrum Certyfikacji, posiadające samopodpisane zaświadczenie certyfikacyjne. Centrum Certyfikacji odpowiada za: wystawianie Zaświadczeń certyfikacyjnych dla siebie, wystawianie Certyfikatów dla pracowników odpowiadających za wstawianie Certyfikatów, - 10 -
wystawianie Certyfikatów dla osób fizycznych będących członkami wspólnoty samorządowej gmin i powiatów wymienionych w Załączniku 1 do niniejszego Regulaminu Certyfikacji, Certyfikatów urządzeń sieciowych i urządzeń serwerowych funkcjonujących w ramach systemu informatycznego SEKAP. Centrum Certyfikacji wystawia Certyfikaty o specyfikacji opisanej w Polityce Certyfikacji i Regulaminie Certyfikacji. Centrum Certyfikacji dostarcza takŝe środki do zarządzania stanem Certyfikatów (uniewaŝnianie/zawieszanie/uchylanie zawieszenia) oraz publikuje informacje o uniewaŝnionych/zawieszonych Certyfikatach. Centrum Certyfikacji jest głównym elementem ŚcieŜki certyfikacji i przed pierwszym uŝyciem Certyfikatu, zarówno Subskrybenci jaki i Strony ufające zobowiązane są do instalacji Zaświadczenia certyfikacyjnego Centrum Certfikacji. Zaświadczenie to dostępne jest w Repozytorium. Centrum Certyfikacji jest zarządzane i utrzymywane przez wskazanych pracowników Śląskiego Centrum Społeczeństwa Informacyjnego. 1.3.2 Urząd rejestracji Za działania związane ze wspieraniem usług certyfikacyjnych odpowiada Urząd rejestracji. Jest do wydzielona jednostka organizacyjna do zadań której naleŝy: realizacja procesu akceptacji zgłoszeń o wydanie Certyfikatu Subskrybentowi, weryfikacja toŝsamości Subskrybentów, przekazywanie Subskrybentowi Certyfikatu, przyjmowanie zgłoszeń o zmianę stanu Certyfikatów Subskrybentów. Urząd rejestracji jest punktem styku pomiędzy Subskrybentami, a Centrum Certyfikacji. Urząd rejestracji funkcjonuje w oparciu o umowę zawartą pomiędzy jednostką samorządu terytorialnego, a Śląskim Centrum Społeczeństwa Informacyjnego. Pełna lista jednostek samorządu terytorialnego określona została w Załączniku 1 do niniejszego Regulaminu Certyfikacji. Za realizację zadań Urzędu rejestracji odpowiadają wskazani pracownicy jednostki samorządu terytorialnego pełniący role Inspektorów ds. rejestracji. Wymagane jest, aby przed uzyskaniem dostępu do systemu teleinformatycznego Centrum Certyfikacji Inspektorzy ds. rejestracji przeszli stosowne szkolenie. Urząd rejestracji funkcjonuje w ramach Polityki Certyfikacji, Regulaminu Certyfikacji oraz procedur i innych dokumentów dostarczanych przez Centrum Certyfikacji. Pełna lista Punktów rejestracji została opublikowana w Repozytorium Centrum Certyfikacji. - 11 -
1.3.3 Subskrybent Subskrybentami mogą być wyłącznie osoby fizyczne będące członkami wspólnot samorządowych w rozumieniu art. 9 ust. 3 UPE, które zawarły z ŚCSI umowę o świadczenie usług certyfikacyjnych. Osoby te zostały wymienione w Załączniku 1 do niniejszego Regulaminu Certyfikacji. Zakres uŝycia certyfikatów został określony w niniejszym Regulaminie Certyfikacji i Polityce Certyfikacji. Zakres zobowiązań i odpowiedzialności Subskrybenta został opisany w rozdziale 9. 1.3.4 Strona ufająca Osoba fizyczna, prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która w granicach określonych w Polityce Certyfikacji i Regulaminie Certyfikacji moŝe działać w oparciu o certyfikat lub zaświadczenie certyfikacyjne..w szczególności Strona ufająca nie musi być Subskrybentem Usług certyfikacyjnych CC SEKAP, a jej działania ograniczają się wówczas do weryfikacji waŝności i interpretacji Certyfikatu Subskrybenta. Na czas wykorzystania Certyfikatu Subskrybenta, Strony ufające zobowiązane są do weryfikacji waŝności Certyfikatu w zgodzie z zapisami niniejszego Regulaminu Certyfikacji. Do realizacji procesu weryfikacji waŝności Certyfikatu Strony ufające posługują się sprzętem i/lub oprogramowaniem do weryfikacji autentyczności i integralności danych zawartych w Certyfikacie. 1.4 Zastosowanie usług certyfikacyjnych 1.4.1 Wykorzystanie usług certyfikacyjnych W niniejszym rozdziale określono zakres dopuszczalnego uŝycia Certyfikatu. Ilustruję on politykę Dyrektora Śląskiego Centrum Społeczeństwa Informacyjnego w zakresie wykorzystania technologii PKI w systemie SEKAP. Za określenie danych zawartych w Certyfikacie oraz przeznaczenia Certyfikatu jaki ma zostać wystawiony odpowiada Subskrybent. Centrum Certyfikacji SEKAP wystawia następujące rodzaje Certyfikatów: Nazwa certyfikatu Odbiorca Źródło klucza Zastosowanie SEKAP Osobisty Osoba fizyczna plik Podpisywanie i szyfrowanie danych, uwierzytelnianie w systemie SEKAP. SEKAP VPN Urządzenie lub serwer Sprzęt lub plik Uwierzytelnianie maszyn i urządzeń serwerowych w systemie informatycznym SEKAP. SEKAP Serwer Urządzenie lub serwer Sprzęt lub plik Certyfikat do uwierzytelniania serwera lub urządzenia w sieci komputerowej. Certyfikat - 12 -
umoŝliwia takŝe nawiązywanie i utrzymywanie szyfrowanych połączeń sieciowych z serwerem lub urządzeniem. Tabela 1. Dopuszczalne nazwy typów Certyfikatów. 1.4.2 Ograniczenie wykorzystania Usług certyfikacyjnych Centrum Certyfikacji nie odpowiada za skutki uŝycia Certyfikatów do innych celów niŝ opisano w rozdziale 1.4.1 Regulaminu Certyfikacji. PowyŜsze ograniczenie odnosi się zarówno do Subskrybentów, jak i Stron ufających weryfikujących dane zabezpieczone elektronicznie z uŝyciem Certyfikatu Subskrybenta. 1.5 Zarządzanie Polityką Certyfikacji i Regulaminem Certyfikacji 1.5.1 Organ zarządzający Polityką Certyfikacji i Regulaminem Certyfikacji Polityka Certyfikacji i Regulamin Certyfikacji odzwierciedla podejście Śląskiego Centrum Społeczeństwa Informacyjnego do wykorzystania Usług certyfikacyjnych. Z tego względu są to dokumenty, których zarządzanie podlega wyłącznej kontroli Dyrektora ŚCSI. W/w dokumenty obowiązują od dnia ich publikacji do dnia publikacji ich znowelizowanej wersji. Dyrektor ŚCSI zobowiązany jest do powołania Zespołu Eksperckiego, którego zadaniem jest: opracowywanie nowych dokumentów związanych ze świadczeniem Usług certyfikacyjnych, wprowadzanie zmian do dokumentacji związanej ze świadczeniem Usług certyfikacyjnych, przegląd dokumentacji związanej ze świadczeniem Usług certyfikacyjnych (z częstotliwością przynajmniej raz na 12 miesięcy), opiniowanie sugestii związanych ze świadczeniem Usług certyfikacyjnych wypływających ze strony Dyrektora Śląskiego Centrum Społeczeństwa Informacyjnego, Subskrybentów, Stron ufających, ekspertów zewnętrznych, utrzymywaniem dokumentacji certyfikacyjnej, informowaniem Subskrybentów i Strony ufające o aktualizacji dokumentów. O składzie Zespołu Eksperckiego decyduje Dyrektor ŚCSI. - 13 -
1.5.2 Osoby kontaktowe Zapytania i uwagi naleŝy kierować na adres: Email: kwitanski@e-slask.pl Osoba kontaktowa: Krzysztof Witański Telefon: 032 7740317 1.5.3 Zatwierdzanie Polityki Certyfikacji i Regulaminu Certyfikacji Zmiany w dokumentacji certyfikacyjnej Centrum Certyfikacji SEKAP podlegają zatwierdzeniu przez Dyrektora Śląskiego Centrum Społeczeństwa Informacyjnego. 1.5.4 Procedura zatwierdzania Polityki Certyfikacji i Regulaminu Certyfikacji Zmiany w dokumentacji certyfikacyjnej mogą wynikać ze zmiany uwarunkowań prawnych, zmian w wykorzystywanej technologii czy teŝ moŝliwości rozszerzenia wykorzystania certyfikatów elektronicznych. W przypadku podjęcia decyzji o zmianach, Śląskie Centrum Społeczeństwa Informacyjnego zleca Zespołowi Eksperckiemu przygotowanie zmian w dokumentacji w oparciu o sugestie przedstawione przez zainteresowane podmioty (Dyrektor Śląskiego Centrum Społeczeństwa Informacyjnego, Subskrybenci, Strony ufające, eksperci zewnętrzni). Znowelizowane dokumenty przedstawiane są do zatwierdzenia Dyrektorowi Śląskiego Centrum Społeczeństwa Informacyjnego. W przypadku zatwierdzenia, dokumenty zostają oznaczane kolejnym numerem wersji, po czym podlegają niezwłocznej publikacji w Repozytorium. Śląskie Centrum Społeczeństwa Informacyjnego podejmuje równolegle kroki w kierunku poinformowania Subskrybentów i Strony ufające o nowelizacji. Czynność ta podejmowana jest na 30 dni kalendarzowych przed wejściem w Ŝycie znowelizowanej wersji. W okresie tym Subskrybent zobowiązany jest to zapoznania się z Regulaminem. W przypadku braku akceptacji nowej wersji Regulaminu Certyfikacji Subskrybent ma prawo do rozwiązania umowy o świadczenie usług certyfikacyjnych. Poinformowanie Subskrybentów i Stron ufających odbywa się to za pośrednictwem poczty elektronicznej (w przypadku Subskrybentów) oraz za pośrednictwem komunikatu opublikowanego na stronie internetowej Repozytorium. 1.6 Definicje i akronimy Definicja Algorytm szyfrowy Centrum Certyfikacji Certyfikat Opis Zestaw przekształceń matematycznych słuŝących do zamiany informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zaleŝnych od zastosowanego klucza. Komórka organizacyjna ŚCSI która wystawia certyfikaty elektroniczne lub udostępnia inne usługi certyfikacyjne. Sekwencja danych, opatrzona przez ośrodek certyfikacji - 14 -
podpisem cyfrowym, która zawiera co najmniej: nazwę ośrodka certyfikacji (lub identyfikuje ośrodek certyfikacji w inny sposób), identyfikator Subskrybenta, klucz: publiczny subskrybenta, określenie okresu waŝności oraz numer seryjny certyfikatu. Podpis cyfrowy Klucz prywatny Klucz publiczny Kryptografia asymetryczna Lista CRL Nazwa wyróŝniona Odbiorca usług certyfikacyjnych Organizacja Para kluczy Dane dołączone do jednostki danych lub przekształcenie kryptograficzne tej jednostki, które pozwala odbiorcy tej jednostki dowieść jej pochodzenia i integralności oraz chroni nadawcę i odbiorcę tej jednostki przed jej sfałszowaniem przez strony trzecie, a nadawcę przed sfałszowaniem przez odbiorcę (ISO/IEC 11770-1) Ciąg danych, wykorzystywany do składania podpisu elektronicznego i deszyfrowania danych. Klucz prywatny powinien pozostawać pod wyłączną kontrolą jego posiadacza. Ciąg danych, wykorzystywany do weryfikacji podpisu elektronicznego i szyfrowania danych. Klucz publiczny moŝe być swobodnie dystrybuowany i jest zamieszczany w certyfikacie. Rodzaj kryptografii, która wykorzystuje parę matematycznie powiązanych ze sobą kluczy, zwanych kluczem publicznym i kluczem prywatnym. Lista uniewaŝnionych i zawieszonych certyfikatów klucza publicznego wystawionych przez Centrum Certyfikacji. Lista jest poświadczona elektronicznie przez Centrum Certyfikacji. Jednoznaczna nazwa Subskrybenta, która została zapisana w certyfikacie. Nazwą wyróŝnioną identyfikuje się takŝe Centrum Certyfikacji. Subskrybent usług certyfikacyjnych lub Strona ufająca. Jedna z jednostek samorządu terytorialnego, która została określona w Załączniku 1 do niniejszego Regulaminu Certyfikacji. Klucz prywatny i klucz publiczny, które połączone są ze sobą zaleŝnością matematyczną. Para wykorzystywana jest do kryptograficznego zabezpieczania informacji, np. do podpisu elektronicznego, szyfrowania. - 15 -
PKCS#10 Podpis elektroniczny Podział na sekrety Polityka certyfikacji Regulamin Certyfikacji Repozytorium SEKAP Sprzętowy moduł bezpieczeństwa Strona ufająca Subskrybent ŚcieŜka certyfikacji Plik w formacie PKCS#10 zawierający miedzy innymi nazwę wyróŝniającą Subskrybenta oraz klucz publiczny Dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały połączone lub z którymi są logicznie powiązane, słuŝą do identyfikacji osoby składającej podpis elektroniczny. Praktyka dystrybuowania części klucza prywatnego między kilku uŝytkowników. Dokument określający ogólne zasady świadczenia usług certyfikacyjnych przez Centrum Certyfikacji. Dokument określający szczegółowe zasady świadczenia usług certyfikacyjnych przez Centrum Certyfikacji. Element Centrum Certyfikacji, odpowiedzialny za publikację najbardziej istotnych dla architektury PKI informacji takich jak listy CRL, certyfikaty, polityki i regulaminy certyfikacji. System informatyczny samorządów gmin i powiatów Województwa Śląskiego. System obejmuje teleinformatyczne środowisko dla świadczenia usług publicznych w formie elektronicznej. Urządzenie sprzętowo programowe odpowiadające za przechowywanie klucza prywatnego i realizację operacji kryptograficznych z uŝyciem klucza prywatnego. Osoba fizyczna, prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która w granicach określonych w Polityce Certyfikacji i Regulaminie Certyfikacji moŝe działać w oparciu o certyfikat lub zaświadczenie certyfikacyjne. Osoba fizyczna, prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, która zawarła z ŚCSI umowę o świadczenie usług certyfikacyjnych. Uporządkowany ciąg zaświadczeń certyfikacyjnych lub zaświadczeń certyfikacyjnych i certyfikatu, utworzony w ten sposób, Ŝe za pomocą danych słuŝących do weryfikacji poświadczenia elektronicznego i nazwy wydawcy pierwszego zaświadczenia certyfikacyjnego na ścieŝce jest moŝliwe wykazanie, Ŝe dla kaŝdych dwóch bezpośrednio po sobie występujących zaświadczeń certyfikacyjnych lub zaświadczenia certyfikacyjnego i certyfikatu, poświadczenie elektroniczne zawarte w jednym z nich - 16 -
zostało sporządzone za pomocą danych słuŝących do składania poświadczenia elektronicznego związanych z drugim z nich; dane słuŝące do weryfikacji pierwszego poświadczenia elektronicznego są dla weryfikującego punktem zaufania. Śląskie Centrum Społeczeństwa Informacyjnego Urząd rejestracji Usługi certyfikacyjne Wniosek o wystawienie certyfikatu Wspólnota samorządowa Zaświadczenie certyfikacyjne Skrzynka PeUP - elektroniczna skrzynka kontaktowa Podmiot świadczący usługi certyfikacyjne w ramach niniejszego Regulaminu Certyfikacji. Jednostka organizacyjna działająca w imieniu Śląskiego Centrum Społeczeństwa Informacyjnego CC SEKAP wykonująca zgodnie z niniejszą polityką niektóre funkcje związane ze świadczeniem usług certyfikacyjnych. Usługi polegające na wystawianiu i zarządzaniu certyfikatami wykorzystywanymi do zabezpieczenia komunikacji elektronicznej w SEKAP Dokument stanowiący załącznik do umowy o świadczenie usług certyfikacyjnych. Zawiera informacje wymagane do poprawnej identyfikacji Subskrybenta i określenia usług certyfikacyjnych świadczonych na rzecz Subskrybenta. Ogół osób fizycznych mających miejsce zamieszkania na obszarze danej gminy, powiatu lub województwa Certyfikat elektroniczny, poświadczający przynaleŝność klucza publicznego do określonego w zaświadczeniu Centrum Certyfikacji. Personalizowany interfejs dostępu do e-usług publicznych przez przeglądarkę WWW realizowany w ramach projektu SEKAP. - 17 -
2 Zobowiązania ogólne 2.1 Repozytorium Centrum Certyfikacji Centrum Certyfikacji zobowiązane jest do utrzymywania Repozytorium. Jest to system informatyczny naleŝący do Centrum Certyfikacji, odpowiadający za publikację informacji związanych z funkcjonowaniem Centrum Certyfikacji. Wykaz danych podlegających publikacji został określony w rozdziale 2.2. Repozytorium dostępne jest publicznie pod adresem: W skład Repozytorium Centrum Certyfikacji wchodzi: usługa katalogowa zawierająca certyfikaty Subskrybentów, strona WWW, która publikuje pozostałe informacje określone w rozdziale 2.2. Centrum Certyfikacji SEKAP dołoŝy naleŝytych starań aby wszelkie informacje publikowane w Repozytorium były aktualne, dokładne oraz kompletne. 2.2 Informacje podlegające publikacji w Repozytorium W Repozytorium podlegają publikacji następujące informacje: Zaświadczenie certyfikacyjne Centrum Certyfikacji, Certyfikaty Subskrybentów, lista CRL, Polityka Certyfikacji (w tym archiwalne wersje), Regulamin Certyfikacji (w tym archiwalne wersje), inne dokumenty związane ze świadczeniem Usług certyfikacyjnych, informacje o Urzędzie rejestracji w tym informacje kontaktowe, informacje o Zespole Zatwierdzania Polityk CC SEKAP, lista urządzeń kryptograficznych jakie moŝna wykorzystać wraz z certyfikatami wystawianymi przez Centrum Certyfikacji, o ile zajdzie potrzeba, publikacji poddawane jest takŝe oprogramowanie umoŝliwiające wykorzystanie Certyfikatów, komunikaty związane z funkcjonowaniem Centrum Certyfikacji. Publikacji podlegają wszystkie Certyfikaty wystawione przez Centrum Certyfikacji. Certyfikaty publikowane są za pośrednictwem usługi katalogowej oraz za pośrednictwem strony www Usługa dostępna jest odpowiednio pod adresem: LDAP://cc.sekap.pl CN=CC-SEKAP,o=SCSI,L=Katowice,C=PL oraz http://cc.sekap.pl/ldap/ Za pośrednictwem strony WWW publikowana jest aktualna lista CRL wygenerowana przez Centrum Certyfikacji. Lista CRL dostępna jest pod adresem: http://cc.sekap.pl/repozytorium/cc-sekap.crl - 18 -
2.3 Częstotliwość publikacji informacji w Repozytorium Certyfikaty Subskrybentów podlegają publikacji w czasie nie dłuŝszym niŝ 1 dzień od momentu ich wygenerowania. Listy CRL publikowane są periodycznie. Szczegóły związane z publikacją list CRL zostały poruszone w rozdziale 4.9. 2.4 Dostęp do Repozytorium Dostęp do Repozytorium jest publiczny, nieodpłatny i anonimowy. Repozytorium dostępne jest przez 24 godziny na dobę i przez 7 dni w tygodniu. W skali roku kalendarzowego, Repozytorium moŝe być maksymalnie niedostępne przez okres 7 dni w skali roku. - 19 -
3 Identyfikacja Subskrybenta 3.1 Nazewnictwo 3.1.1 Typy nazw Centrum Certyfikacji zobowiązane jest zamieszczania danych Subskrybentów w wystawianych certyfikatach. Nazwy Subskrybentów tworzą tzw. nazwy wyróŝnione DN (z ang. distinguished name). Nazwa wyróŝniona jest zbiorem atrybutów, które identyfikują Subskrybenta. Centrum Certyfikacji określa dopuszczalny zbiór atrybutów oraz ich znaczenie. Atrybuty nazwy Subskrybenta powinny zawierać znaki narodowe, o ile zostały one zamieszczone w danych Subskrybenta. 3.1.2 Prawidłowość danych zamieszczanych w certyfikatach Informacje dotyczące Subskrybenta które podlegają zamieszczeniu w Certyfikacie podlegają ścisłej weryfikacji. Centrum Certyfikacji kontroluje ich zgodność na drodze weryfikacji dowodów toŝsamości oraz innych dokumentów upowaŝniających Subskrybenta do występowania w imieniu organizacji (o ile sytuacja taka ma miejsce). W celu realizacji tego wymogu do ubiegania się o Certyfikat upowaŝnieni są tylko Subskrybenci Usług certyfikacyjnych oraz upowaŝnieni przedstawiciele Organizacji. 3.1.3 Anonimowość Subskrybentów Centrum Certyfikacji nie zezwala na wystawianie Certyfikatów z anonimowymi danymi Subskrybenta (np. z pseudonimem). 3.1.4 Zasady interpretowania nazw Informacja o Subskrybencie jaka podlega zamieszczeniu w Certyfikacie musi zawierać niepustą nazwę wyróŝniającą podmiotu. Zawiera ona niektóre lub wszystkie atrybuty zawarte w następującym zbiorze atrybutów: Nazwa atrybutu Akronim Opis nazwa powszechna cn Nazwa, którą zwyczajowo jest określany Subskrybent. Tworzona jest zwyczajowo z zawartości atrybutów Imię(imiona) oraz Nazwisko. W przypadku Certyfikatów dla serwerów i urządzeń sieciowych atrybut ten zawiera nazwę DNS urządzenia lub inną nazwę wskazaną przez Organizację. imię (imiona) givenname Imię lub imiona Subskrybenta. Nazwisko sn Nazwisko Subskrybenta. jednoznaczna upn Jednoznaczna nazwa, którą Subskrybent identyfikuje się w systemach - 20 -
nazwa podmiotu numer seryjny tytuł zawodowy organizacja jednostka organizacyjna nazwa kraju adres poczty elektronicznej serialnumber title o ou c emailaddress komputerowych (np. nazwa konta komputerowego). Jednoznaczny identyfikator, którym identyfikuje się Subskrybent. Takim identyfikatorem w przypadku CC SEKAP jest numer PESEL. Nazwa stanowiska, na którym pracuje Subskrybent. Nazwa organizacji, w której pracuje Subskrybent lub znajduje się serwer Komórka organizacyjna w ramach organizacji, w której pracuje Subskrybent lub znajduje się serwer Nazwa kraju pochodzenia Organizacji (jedyną dopuszczalną wartością jest PL). Adres poczty elektronicznej, który przyporządkowany jest do Subskrybenta lub serwera opis certyfikatu Description Nazwa Certyfikatu. Tabela 3. Dopuszczalne atrybuty nazwy wyróŝnionej. raz. PowyŜsze atrybuty mogą wystąpić w nazwie wyróŝnionej Subskrybenta tylko Dopuszczalne są następujące kombinacje nazw wyróŝnionych Subskrybenta: 1) Dla Subskrybenta będącego osobą fizyczną moŝna zamieścić w certyfikacie następujące informacje: nazwa powszechna, imię (imiona), nazwisko, numer seryjny, tytuł zawodowy, organizacja, jednostka organizacyjna, nazwa kraju, adres poczty elektronicznej, opis certyfikatu. - 21 -
2) W przypadku serwera lub innego urządzenia komputerowego moŝliwe jest zamieszczenie w Certyfikacie następujących informacji: nazwa powszechna, organizacja, jednostka organizacyjna, nazwa kraju, adres poczty elektronicznej opis Certyfikatu. Jako minimalny zbiór atrybutów określających nazwę Subskrybenta lub serwera lub innego urządzenia komputerowego dopuszczane będzie zamieszczenie: nazwy powszechnej ( cn ), nazwy kraju ( c ). 3.1.5 Unikalność nazw Centrum Certyfikacji dołoŝy wszelkiej staranności przy zamieszczaniu danych jednoznacznie identyfikujących Subskrybenta. Dopuszczalne jest posiadanie przez Subskrybenta kilku Certyfikatów wystawionych przez Centrum Certyfikacji z takimi samymi wartościami nazwy wyróŝnionej. 3.1.6 Wykorzystanie znaków towarowych Centrum Certyfikacji nie kontroluje praw do korzystania z podawanych znaków towarowych i nazw handlowych i nie umieszcza ich w Certyfikacie. W przypadku, gdy we Wniosku o wystawienie certyfikatu Subskrybent podaje informacje o takim charakterze, jest obowiązany do dołączenia dokumentów potwierdzających te prawa. 3.2 Pierwsza certyfikacja Subskrybenta 3.2.1 Dowód posiadania klucza prywatnego W poniŝszym rozdziale określono procedury jakie zobowiązane jest zrealizować Centrum Certyfikacji, aby wystawić certyfikat dla Subskrybenta, który wcześniej nie korzystał z usług certyfikacyjnych. Regulamin Certyfikacji zakłada, Ŝe dowodem posiadania pary kluczy przez Subskrybenta jest: fakt wygenerowania pary kluczy w obecności Subskrybenta w Urzędzie rejestracji i przekazania ich w bezpieczny sposób Subskrybentowi, dostarczenie przez Subskrybenta wniosku certyfikacyjnego w postaci struktury pkcs#10. Wniosek pkcs#10 zawiera klucz publiczny naleŝący do pary kluczy Subskrybenta. Wniosku pkcs#10 nie naleŝy rozpatrywać jako Wniosku o - 22 -
wystawienie certyfikatu, który jest integralnym elementem procedury wydania Certyfikatu Subskrybentowi. 3.2.2 Uwierzytelnienie Organizacji Uwierzytelnienie Organizacji ma na celu jednoznaczne określenie, Ŝe Subskrybent pozostaje w relacji z organizacją, a konkretnie w relacji z jedną z jednostek samorządu terytorialnego, która została określona w Załączniku 1 do niniejszego Regulaminu Certyfikacji. Uwierzytelnienie to następuje na drodze dostarczenia do Urzędu rejestracji Wniosku o wystawienie certyfikatu, w którym znajdują się dane organizacyjne (Np. nazwa wydziału, komórki, adres poczty elektronicznej, nazwa konta). W przypadku wyraŝenia woli zamieszczenia w Certyfikacie danych identyfikujących Organizację, Subskrybent dostarcza dodatkowe oświadczenie podpisane przez upowaŝnionego przedstawiciela Organizacji upowaŝniające do umieszczenia w Certyfikacie informacji identyfikujących Organizację. 3.2.3 Weryfikacja toŝsamości Celem niniejszego działania jest udowodnienie istnienia osoby fizycznej oraz osoby prawnej pozostającej w relacji z Subskrybentem. Weryfikacja toŝsamości następuje tylko i wyłącznie w momencie osobistego stawiennictwa Subskrybenta w Urzędzie rejestracji. Podstawą do realizacji tego działania jest przedstawienie przez Subskrybenta dowodu toŝsamości oraz wypełnionego Wniosku o wystawienie certyfikatu 2. Wniosek powinien być podpisany przez Subskrybenta. Wynikiem weryfikacji powinno być podpisanie umowy o świadczenie usług certyfikacyjnych 3. W przypadku wystawiania Certyfikatów elektronicznych dla serwerów lub innych urządzeń, weryfikacji toŝsamości podlega upowaŝniony przedstawiciel Organizacji dla której ma zostać wydany Certyfikat. Weryfikacja toŝsamości następuje w momencie osobistego stawiennictwa upowaŝnionego przedstawiciela Organizacji w Urzędzie rejestracji lub w przypadku posiadania przez upowaŝnionego przedstawiciela certyfikatu SEKAP Osobisty. UpowaŜniony przedstawiciel Organizacji zobowiązany jest takŝe do przedstawienia dodatkowego oświadczenia stwierdzającego fakt posiadania nazwy domenowej na którą ma zostać wydany certyfikat. Wynikiem weryfikacji powinno być podpisanie umowy o świadczenie usług certyfikacyjnych 4. Weryfikacja toŝsamości Subskrybenta lub upowaŝnionego przedstawiciela Organizacji następuje po okazaniu jednego z następujących dokumentów: dowód osobisty, paszport, 2 Wzór wniosku zamieszczony został w Repozytorium 3 Wzór umowy o świadczenie usług certyfikacyjnych zamieszczony został w Repozytorium 4 Wzór umowy o świadczenie usług certyfikacyjnych zamieszczony został w Repozytorium - 23 -
prawo jazdy wydane po 1 lipca 1999 r. 3.2.4 Dane nie podlegające weryfikacji Weryfikacji nie podlegają dane jakie nie zostały zamieszczone w dokumencie potwierdzającym toŝsamość Subskrybenta lub upowaŝnionego przedstawiciela Organizacji, oraz jakie nie znalazły się we Wniosku o wystawienie certyfikatu.. 3.3 Recertyfikacja Subskrybenta 3.3.1 Recertyfikacja Subskrybenta w przypadku wygaśnięcia Certyfikatu W poniŝszym rozdziale określono procedury jakie zobowiązane jest zrealizować Centrum Certyfikacji, aby wystawić kolejny Certyfikat dla Subskrybenta, który wcześniej korzystał z Usług certyfikacyjnych Centrum Certyfikacji. W przypadku gdy Certyfikat Subskrybenta uległ wygaśnięciu i następuje odnowienie Usługi certyfikacyjnej, Subskrybent poddawany jest procedurze opisanej w rozdziale 3.2. 3.3.2 Recertyfikacja Subskrybenta w przypadku uniewaŝnienia certyfikatu W przypadku, gdy Certyfikat Subskrybenta został uniewaŝniony przed upływem okresu waŝności Certyfikatu i następuje odnowienie Usługi certyfikacyjnej, Subskrybent poddawany jest procedurze opisanej w rozdziale 3.2. 3.4 Autoryzacja zgłoszeń o uniewaŝnienie certyfikatu Procedury zarządzania stanem Certyfikatu naleŝą do szczególnie istotnych aspektów, fundamentalnie wpływających na wiarygodność Centrum Certyfikacji i Usług certyfikacyjnych przez niego świadczonych. Zgłoszenia o: uniewaŝnienie certyfikatu, zawieszenie certyfikatu, uchylenie zawieszenia certyfikatu zgłaszane są na Wniosku o zmianę stanu waŝności certyfikatu 5 Wniosek o zmianę stanu waŝności zawierający prośbę o uniewaŝnienie Certyfikatu przekazywany jest bezpośrednio do ŚCSI. MoŜe być dostarczony przez Subskrybenta lub upowaŝnionego przedstawiciela Organizacji: Osobiście (poprzez Urząd rejestracji), Z wykorzystaniem Skrzynki PeUP. 5 Wzór wniosku zamieszczony został w Repozytorium. - 24 -
Wniosek o zmianę stanu waŝności zawierający prośbę o zawieszenie Certyfikatu przekazywany jest bezpośrednio do ŚCSI. MoŜe być dostarczony przez Subskrybenta lub upowaŝnionego przedstawiciela organizacji: Osobiście (poprzez Urząd rejestracji), Z wykorzystaniem Skrzynki PeUP. Wniosek o zmianę stanu waŝności certyfikatu zawierający prośbę o uchylenie zawieszenia Certyfikatu przedstawiany są bezpośrednio ŚCSI przez Subskrybenta lub upowaŝnionego przedstawiciela organizacji: Osobiście (poprzez Urząd rejestracji), Z wykorzystaniem Skrzynki PeUP. Wszystkie zgłaszane wnioski o zmianę stanu waŝności Certyfikatu realizowane są w dni robocze określone przez ŚCSI od godz. 7.30 do godz. 17.30 Szczegółowa procedura zarządzania stanem waŝności Certyfikatu została opisana w rozdziale 4. - 25 -
4 Cykl Ŝycia Usług certyfikacyjnych 4.1 Ubieganie się o certyfikat 4.1.1 Podmioty upowaŝnione do ubiegania się o Certyfikat W ramach niniejszego Regulaminu Certyfikacji, do ubiegania się o Certyfikat upowaŝnione są osoby fizyczne będące członkami wspólnot samorządowych jednostek samorządu terytorialnego, które zostały określone w Załączniku 1 do niniejszego Regulaminu Certyfikacji. W przypadku, gdy certyfikacji będzie podlegał serwer bądź urządzenie, za wystąpienie o jego certyfikację odpowiada upowaŝniony przedstawiciel Organizacji. Osoba ta zatrudniona jest w Śląskim Centrum Społeczeństwa Informacyjnego lub w jednej z jednostek samorządu terytorialnego, która została określona w Załączniku 1 do niniejszego Regulaminu Certyfikacji. Wnioski o wystawienie certyfikatu przesyłane są do Centrum Certyfikacji w przez Inspektorów ds. rejestracji. 4.1.2 Procedura ubiegania się o Certyfikat przez osobę fizyczną Procedura ta ma na celu przygotowanie niezbędnych danych i podjęcie przez Subskrybenta kroków zmierzających do pozyskania Certyfikatu. W toku tej procedury, Subskrybent zobowiązany jest do: zapoznania się z treścią Polityki Certyfikacji i Regulaminem Certyfikacji wybrania rodzaju certyfikatu elektronicznego (o których mowa w rozdziale 1.4.1), Wypełnieniu Wniosku o wystawienie certyfikatu, Przygotowania dokumentu określającego jego toŝsamość (wykaz dopuszczalnych dokumentów określono w rozdziale 3.2.3) Udania się do Urzędu rejestracji w celu dokończenia procedury uzyskania Certyfikatu W przypadku wyraŝenia woli zamieszczenia w Certyfikacie danych identyfikujących Organizację, Subskrybent dostarcza dodatkowe oświadczenie podpisane przez upowaŝnionego przedstawiciela Organizacji upowaŝniające do umieszczenia w Certyfikacie informacji identyfikujących Organizację. W przypadku, gdy Subskrybent samodzielnie generuje parę kluczy, zobowiązany jest do przygotowania wniosku pkcs#10. Wniosek w postaci struktury pkcs#10 powinien zawierać przynajmniej następujące informacje: Nazwa Subskrybenta (zawartą w atrybucie Nazwa powszechna), Nazwę kraju (zawartą w atrybucie Nazwa kraju) Klucz publiczny Subskrybenta - 26 -
oraz informacje dodatkowe w zaleŝności od rodzaju Certyfikatu zgodnie z rozdziałem 3.1.4 Wnioski o wystawienie Certyfikatu mogą być dostarczone do Urzędu rejestracji w postaci elektronicznej oraz potwierdzone wersją papierową z wymaganymi podpisami. 4.1.3 Procedura ubiegania się o Certyfikat dla serwera Procedura ta ma na celu przygotowanie niezbędnych danych i podjęcie przez upowaŝnionego przedstawiciela Organizacji kroków zmierzających do pozyskania Certyfikatu dla serwera lub innego urządzenia. W toku tej procedury, upowaŝniony przedstawiciel Organizacji zobowiązany jest do: zapoznania się z treścią Polityki Certyfikacji i Regulaminu Certyfikacji Wybrania certyfikatu, który jest wymagany do realizacji usług serwerowych, Wypełnienia Wniosku o wystawienie certyfikatu, Przygotowania dokumentu określającego jego toŝsamość (wykaz dopuszczalnych dokumentów określono w rozdziale 3.2.3), Przedstawienia umocowania do reprezentowania danej Organizacji Przedstawienia dodatkowego oświadczenia stwierdzającego fakt posiadania nazwy domenowej na którą ma zostać wystawiony Certyfikat Udania się do Urzędu rejestracji w celu finalizacji procedury uzyskania certyfikatu Opcjonalnie przygotowaniu wniosku certyfikacyjnego w postaci pliku pkcs#10. UpowaŜniony przedstawiciel Organizacji moŝe przygotować wniosek certyfikacyjny w postaci struktury pkcs#10. Struktura ta powinna być dostarczona do Urzędu rejestracji w postaci pliku, za pośrednictwem poczty elektronicznej lub z uŝyciem elektronicznych nośników danych. Wniosek w postaci struktury pkcs#10 powinien zawierać przynajmniej następujące informacje: Nazwa serwera (zawartą w atrybucie Nazwa powszechna), Nazwę kraju (zawartą w atrybucie Nazwa kraju) Klucz publiczny serwera lub urządzenia. oraz informacje dodatkowe w zaleŝności od rodzaju Certyfikatu zgodnie z rozdziałem 3.1.4 4.2 Przetwarzanie wniosku o wystawienie Certyfikatu 4.2.1 Weryfikacja toŝsamości Subskrybenta Przed wystawieniem Certyfikatu, Centrum Certyfikacji zobowiązane jest do jednoznacznego potwierdzenia toŝsamości ubiegającego się o Certyfikat. - 27 -
Weryfikacja toŝsamości realizowana jest w Urzędzie rejestracji przez Inspektora ds. Rejestracji i wykonywana jest w oparciu o dokument toŝsamości Subskrybenta. W związku z tym Subskrybent zobowiązany jest do osobistego stawienia się w Urzędzie rejestracji i przedstawienia dokumentów, o których mowa w rozdziale 4.1.2. W przypadku wystąpienia niezgodności w dostarczonej dokumentacji lub niemoŝliwości jednoznacznego stwierdzenia toŝsamości Subskrybenta, Inspektor ds. Rejestracji ma prawo do odmówienia realizacji dalszej części procedury certyfikacji. W raŝących przypadkach łamania wymogów Polityki Certyfikacji i Regulaminu Certyfikacji, Inspektor zobowiązany jest do poinformowania o tym fakcie Dyrektora Śląskiego Centrum Społeczeństwa Informacyjnego oraz upowaŝnionego przedstawiciela jednostki samorządu terytorialnego w siedzibie której znajduje się Punkt rejestracji. 4.2.2 Procedura przyjęcia wniosku o wystawienie Certyfikatu Po poprawnie zakończonej weryfikacji toŝsamości, Inspektor ds. rejestracji zobowiązany jest do stwierdzenia, czy Subskrybent przedstawił wszystkie dokumenty o których mowa w rozdziale 4.1.2. Przeglądowi Inspektora ds. rejestracji podlega Wniosek o wystawienie certyfikatu. W przypadku niezgodności lub niekompletności i niedokładności danych zawartych we Wniosku o wystawienie certyfikatu, Subskrybent zobowiązany jest do jego uzupełnienia. Subskrybent dokonuje takŝe podpisania Wniosku o wystawienie certyfikatu. Inspektor ds. Rejestracji w oparciu zgromadzone dane przystępuje do procedury wystawienia Certyfikatu. Obejmuje ona wygenerowanie pary kluczy na stosownym nośniku lub pobranie klucza publicznego z wniosku certyfikacyjnego pkcs#10, oraz przesłanie klucza publicznego wraz z danymi Subskrybenta do Centrum Certyfikacji celem wystawienia Certyfikatu. Przed zawarciem umowy o świadczenie usług certyfikacyjnych, Inspektor ds. Rejestracji reprezentujący Centrum Certyfikacji zobowiązany jest do poinformowania Subskrybenta w sposób jasny i powszechnie zrozumiały o warunkach uŝycia certyfikatu elektronicznego. Poinformowanie o tychŝe warunkach realizowane jest na piśmie lub za pomocą informacji trwale zapisanej na nośniku elektronicznym. Subskrybent zobowiązany jest do złoŝenia oświadczenia na piśmie, Ŝe został poinformowany o warunkach uŝycia certyfikatu elektronicznego. Procedurę przyjęcia Wniosku o wystawienie certyfikatu kończy popisanie umowy o świadczenie usług certyfikacyjnych. Umowa o świadczenie usług certyfikacyjnych zawierana jest pomiędzy Subskrybentem a ŚCSI reprezentowanym przez Inspektora ds. Rejestracji i stanowi podstawę do wygenerowania Certyfikatu. W przypadku Certyfikatów dla serwerów i urządzeń, umowa zawierana jest pomiędzy ŚCSI reprezentowanym przez Inspektorem ds. Rejestracji a upowaŝnionym przedstawicielem Organizacji, po okazaniu wszystkich niezbędnych dokumentów określonych w rozdziale 4.1.3. - 28 -
4.2.3 Czas realizacji wniosku o wystawienie Certyfikatu Wystawienie Certyfikatu elektronicznego realizowane jest niezwłocznie po przyjęciu i akceptacji Wniosku o wystawienie certyfikatu przez Inspektora ds. Rejestracji. 4.3 Wystawienie Certyfikatu 4.3.1 Przetwarzanie wniosku o wystawienie certyfikatu w Centrum Certyfikacji Wnioski o wystawienie certyfikatu przesyłane są do Centrum Certyfikacji w trybie on-line. Centrum Certyfikacji po odbiorze wniosku dokonuje jego automatycznego przetworzenia, po spełnieniu wszystkich wymagań formalnych opisanych w rozdziale 4.1.2 i/lub 4.1.3. Pozyskuje z niego klucz publiczny oraz dane, które zostaną zamieszczone w Certyfikacie. Po realizacji tych czynności, Centrum Certyfikacji zobowiązane jest do poświadczenia Certyfikatu swoim kluczem prywatnym. Proces generowania Certyfikatu przez Centrum Certyfikacji kończy przesłanie zwrotne Certyfikatu do Urzędu rejestracji. Równolegle realizowana jest publikacja certyfikatu w Repozytorium. W przypadku, gdy nie jest moŝliwe wystawienie Certyfikatu, Centrum Certyfikacji zobowiązane jest do poinformowania o tym fakcie Urzędu rejestracji z którego spłynął wniosek certyfikacyjny. Odmowie towarzyszy podanie przyczyny odrzucenia wniosku. 4.3.2 Informowanie Subskrybenta o wystawieniu Certyfikatu O fakcie wystawienia Certyfikatu Subskrybent powiadamiany jest wg następujących procedur: jeŝeli Certyfikat wystawiany jest podczas wizyty Subskrybenta w Punkcie rejestracji, to o fakcie wygenerowania Certyfikatu informuje Inspektor ds. Rejestracji, jeŝeli Certyfikat wystawiany jest podczas nieobecności Subskrybenta w Punkcie rejestracji, to o fakcie wygenerowania Certyfikatu informuje Inspektor ds. Rejestracji za pośrednictwem poczty elektronicznej. 4.4 Przekazanie Certyfikatu 4.4.1 Akceptacja Certyfikatu przez Subskrybenta Po otrzymaniu Certyfikatu i przed jego pierwszym uŝyciem, Subskrybent zobowiązany jest do przeprowadzenia procedury akceptacji Certyfikatu. Procedura ta polega na: weryfikacji, czy dane zawarte w Certyfikacie są zgodne z danymi przedstawionymi przez Subskrybenta w dokumentacji o której mowa w rozdziale 4.1, stwierdzeniu, czy przeznaczenie Certyfikatu jest zgodne z tym, jakie Subskrybent określił występując o jego wystawienie. - 29 -