Polityka Certyfikacji

Podobne dokumenty
Polityka Certyfikacji

Polityka Certyfikacji

Polityka Certyfikacji

Polityka Certyfikacji

Polityka Certyfikacji

Polityka Certyfikacji

Polityka Certyfikacji RootCA

Polityka Certyfikacji

Polityka Certyfikacji

Polityka Certyfikacji

Polityka Certyfikacji. Bezpieczna Poczta Korporacyjna Telekomunikacja Polska

Polityka Certyfikacji

Polityka Certyfikacji

For English version of this document click here. Polityka Certyfikacji. Bezpieczna Poczta Korporacyjna Orange Polska. wersja 1.11

Polityka Certyfikacji. Certyfikaty dla serwerów i urządzeń wersja 1.5

Polityka Certyfikacji Signet Root CA

Polityka Certyfikacji. Certyfikaty dla serwerów i urządzeń wersja 1.4

Polityka Certyfikacji. Certyfikaty dla serwerów i urządzeń wersja 1.3

Polityka Certyfikacji Root CA. Certyfikatów urzędów Signet - RootCA, CA TELEKOMUNIKACJA POLSKA. wersja: 1.1

For English version of this document click here. Polityka Certyfikacji. Zaufane funkcje w CC SIGNET. wersja 1.5

Polityka Certyfikacji. Certyfikaty dla serwerów i urządzeń wersja 1.6

Certyfikaty urzędów Signet Root CA i Signet Public CA

Polityka Certyfikacji

For English version of this document click here. Polityka Certyfikacji. Certyfikaty dla urządzeń infrastruktury ICT. wersja: 2.1

Polityka Certyfikacji

Polityka Certyfikacji

Polityka Certyfikacji. Zaufane funkcje w CC Signet

For English version of this document click here. Polityka Certyfikacji. Certyfikaty dla serwerów SSL. wersja 1.2

Polityka Certyfikacji

Polityka Certyfikacji dla Certyfikatów PEMI

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Polityka Certyfikacji

Polityka Certyfikacji dla kwalifikowanych certyfikatów

Dokumentacja Centrum Certyfikacji Ministerstwa Spraw Wewnętrznych

Dokumentacja Centrum Certyfikacji Ministerstwa Spraw Wewnętrznych. Tytuł dokumentu: Polityka Certyfikacji dla infrastruktury pl.

Oświadczenie o infrastrukturze klucza publicznego Data: Status: Obowiązujący PWPW S.A. Wersja 1.1. Page

Regulamin. świadczenia usług certyfikacyjnych przez Powiatowe Centrum Certyfikacji. Wprowadzenie

Polityka Certyfikacji dla Głównego Urzędu Certyfikacji Administracji Publicznej (Root CA)

Polityka Certyfikacji Unizeto CERTUM CCP Wersja 1.27 Data: 14 styczeń 2001 Status: poprzednia

F8WEB CC Polityka Lokalnego Centrum Certyfikacji LCC

Informacja o infrastrukturze klucza publicznego Certum QCA

Informacja o zasadach świadczenia usług zaufania w systemie DOCert Wersja 1.0

POLITYKA CERTYFIKACJI KIR DLA CERTYFIKATÓW KWALIFIKOWANYCH

POLITYKA CERTYFIKACJI KIR S.A. DLA CERTYFIKATÓW KWALIFIKOWANYCH

POLITYKA CERTYFIKACJI

For English version of this document click here: Kodeks Postępowania Certyfikacyjnego. wersja 1.2

Polityka certyfikacji dla infrastruktury CEPiK. wersja 1.0 z dnia r.

Zasady i warunki świadczenia usług (T&C) dla Centrum Usług Zaufania Sigillum Data: Status: Aktualna PWPW S.A. Wer. 1.0

Regulamin świadczenia usług certyfikacyjnych przez Centrum Certyfikacji Województwa Podlaskiego. Postanowienia ogólne

PKI NBP Polityka Certyfikacji dla certyfikatów ESCB Szyfrowanie. OID: wersja 1.2

Polityka Certyfikacji Unizeto CERTUM CCP Wersja 2.0 Data: 15 lipiec 2002 Status: poprzedni

POLITYKA CERTYFIKACJI NARODOWEGO CENTRUM CERTYFIKACJI. wersja 1.0

PKI NBP Polityka Certyfikacji dla certyfikatów ESCB Podpis. OID: wersja 1.5

Kodeks Postępowania Certyfikacyjnego

Polityka Certyfikacji Niekwalifikowanych Usług Unizeto CERTUM Wersja 2.2 Data: 09 maja 2005 Status: poprzedni

Polityka certyfikacji Narodowego Centrum Certyfikacji

Polityka certyfikacji dla certyfikatów niekwalifikowanych powszechnych Wersja: 1.2

Regulamin świadczenia usług certyfikacyjnych przez Lokalne Centrum Certyfikacji Powiatu Bialskiego

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 2.4 Data: 19 maja 2006 Status: poprzedni

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 3.4 Data: 01 czerwiec 2015 Status: aktualny

Polityka certyfikacji Narodowego Centrum Certyfikacji

KODEKS POSTĘPOWANIA CERTYFIKACYJNEGO Wersja 1.1

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Krok 2 Aktywacja karty Certum

PKI NBP Polityka Certyfikacji dla certyfikatów ESCB Logowanie. OID: wersja 1.7

Informacja o infrastrukturze klucza publicznego Certum

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 3.2 Data: 7 października 2011 Status: poprzedni

Informacja o infrastrukturze klucza publicznego Certum

POLITYKA PCCE DLA CERTYFIKATÓW KWALIFIKOWANYCH

REGULAMIN. stosowania kwalifikowanego podpisu elektronicznego na Uniwersytecie Kardynała Stefana Wyszyńskiego w Warszawie

POLITYKA PCCE DLA CERTYFIKATÓW. Symbol Dokumentu: P3.036 Data: r. Wersja: 1.1

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

POLITYKA PCCE DLA CERTYFIKATÓW OID: { } Symbol Dokumentu: P3.032 Data: r. Wersja: 1.6

Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER

For English version of this document click here. kodeks postępowania certyfikacyjengo

elektroniczna Platforma Usług Administracji Publicznej

UCHWAŁA Nr IX/5/2017 Krajowej Rady Notarialnej z dnia 27 stycznia 2017 r.

Instrukcja pobrania i instalacji. certyfikatu Premium EV SSL. wersja 1.4 UNIZETO TECHNOLOGIES SA

Zintegrowany system usług certyfikacyjnych. Dokumentacja użytkownika. Obsługa wniosków certyfikacyjnych i certyfikatów. Wersja dokumentacji 1.

Certyfikat Certum Basic ID. Rejestracja certyfikatu. wersja 1.0

LTC-Root-CA CPS Kodeks Postępowania Certyfikacyjnego LTC Root CA

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 3.0 Data: 19 października 2009 Status: aktualny

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Bezpiecze ństwo systemów komputerowych.

Instrukcja uzyskania certyfikatu niekwalifikowanego w Urzędzie Miasta i Gminy Strzelin

Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie. Instrukcja dla użytkowników. wersja 1.4

Krajowa Izba Rozliczeniowa S.A. POLITYKA CERTYFIKACJI KIR S.A. DLA CERTYFIKATÓW KWALIFIKOWANYCH. Wersja 2.0

Regulamin zdalnego odnawiania kwalifikowanych i niekwalifikowanych certyfikatów wydanych przez KIR S.A.

POLITYKA CERTYFIKACJI DLA CERTYFIKATÓW KWALIFIKOWANYCH

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

INSTRUKCJA OBSŁUGI APLIKACJI CENTRALNEGO SYSTEMU TELEINFORMATYCZNEGO SL 2014

Regulamin korzystania z Systemu Wrota Podlasia

POLITYKA CERTYFIKACJI DLA INSTYTUCJI ZEWNĘTRZNYCH KORZYSTAJĄCYCH Z SYSTEMU INFORMATYCZNEGO CEPIK, ŁĄCZĄCYCH SIĘ PRZEZ SIEĆ PUBLICZNĄ

UMOWA o świadczenie usług certyfikacyjnych z Subskrybentem

Exchange 2007 Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange 2007 wersja 1.1 UNIZETO TECHNOLOGIES S.A.

Przewodnik użytkownika

REGULAMIN PORTALU INFORMACYJNEGO SĄDU REJONOWEGO POZNAŃ GRUNWALD I JEŻYCE W POZNANIU

Transkrypt:

Polityka Certyfikacji Bezpieczna Poczta Korporacyjna Telekomunikacja Polska Klasa 2

Spis treści 1 Wstęp... 2 1.1 Identyfikacja polityki... 2 1.2 Historia zmian... 2 1.3 Odbiorcy usług oraz zastosowanie certyfikatów... 3 1.4 Dane kontaktowe...4 2 Podstawowe Zasady Certyfikacji...4 2.1 Wydawane certyfikaty...4 2.2 Prawa i obowiązki...5 2.2.1 Obowiązki posiadacza certyfikatu...5 2.2.2 Obowiązki strony ufającej...6 2.2.3 Obowiązki Centrum Certyfikacji Signet... 7 2.3 Odpowiedzialność Centrum Certyfikacji Signet... 7 2.4 Opłaty...7 2.5 Publikowanie wydanych certyfikatów i informacji o unieważnieniach... 7 2.6 Ochrona informacji...8 2.7 Interpretacja i obowiązujące akty prawne...8 2.8 Prawa własności intelektualnej...8 3 Weryfikacja tożsamości i uwierzytelnienie...8 3.1 Rejestracja...8 3.2 Wymiana kluczy...11 3.3 Zawieszanie certyfikatu...11 3.4 Uchylanie zawieszenia certyfikatu...11 3.5 Unieważnienie certyfikatu...11 3.6 Odnowienie certyfikatu...11 4 Wymagania operacyjne...11 4.1 Złożenie wniosku o wydanie certyfikatu...11 4.2 Wydanie certyfikatu...12 4.3 Akceptacja certyfikatu...12 4.4 Zawieszanie certyfikatu...12 4.5 Uchylenie zawieszenia certyfikatu...12 4.6 Unieważnienie certyfikatu...12 4.7 Odnowienie certyfikatu...13 4.8 Odzyskiwanie klucza prywatnego...13 5 Techniczne środki zapewnienia bezpieczeństwa...13 5.1 Generowanie kluczy...13 5.2 Ochrona kluczy posiadacza certyfikatu...14 5.3 Aktywacja kluczy...14 5.4 Niszczenie kluczy...14 6 Możliwość dostosowania zapisów polityki do wymagań użytkownika...15 7 Profil certyfikatu i listy certyfikatów unieważnionych (CRL)...15 7.1 Profil certyfikatu...15 7.2 Profil certyfikatu dla serwerów... 18 7.3 Profil certyfikatu dla VPNów... 20 7.4 Profil certyfikatu dla kontrolerów domen...21 7.5 Profil certyfikatu oprogramowania...23 wersja 2.5 1

7.6 Profil listy certyfikatów unieważnionych (CRL)... 24 1 Wstęp Niniejsza Polityka Certyfikacji (dalej nazywana Polityką) określa szczegółowe rozwiązania (techniczne i organizacyjne) wskazujące sposób, zakres oraz warunki ochrony, tworzenia i stosowania certyfikatów klasy 2 przeznaczonych do zabezpieczenia poczty elektronicznej oraz serwerów, stosowanych w usłudze Bezpiecznej Poczty dla Telekomunikacji Polskiej SA. Usługi certyfikacyjne opisywane w Polityce są świadczone przez Centrum Certyfikacji Signet prowadzone przez TP Internet Sp. z o.o. z siedzibą w Warszawie przy ul. Domaniewskiej 41, kod pocztowy 02-672, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy XX Wydział Gospodarczy pod numerem KRS 00000-43165, nazywaną dalej w Polityce Centrum Certyfikacji Signet, bądź CC Signet. Podstawą do świadczenia usług certyfikacyjnych jest Umowa z dnia 13.07.2001 pomiędzy TP Internet Sp. z o.o. a Telekomunikacją Polską S.A., zwana dalej Umową. 1.1 Identyfikacja polityki Nazwa polityki Polityka Certyfikacji - Bezpieczna Poczta Korporacyjna Telekomunikacja Polska Zastrzeżenie Certyfikat wystawiony zgodnie z dokumentem Polityka Certyfikacji Bezpieczna Poczta Korporacyjna Telekomunikacja Polska. Wersja 2.5 Identyfikator polityki OID (ang. Object Identifier) Urząd realizujący Politykę Data wydania 03-08-2005 Data ważności Kodeks Postępowania Certyfikacyjnego dotyczący Polityki 1.2 Historia zmian 1.3.6.1.4.1.7999.2.201.10.1.2.5 CA TELEKOMUNIKACJA POLSKA Do odwołania Wersja Data Opis zmian KPC Centrum Certyfikacji Signet (CPS CC Signet) 1.3.6.1.4.1.7999.2.1.1.1.2 1.0 06-08-2002 Pierwsza wersja dokumentu. 1.1 18-09-2002 Zmiana tytułu Polityki. Zmiana nazw domenowych. Dodanie w profilu certyfikatu do podpisu możliwości logowania do domeny. 1.2 23-09-2002 Zmiana miejsca generowania kluczy do szyfrowania. Zmiana krytyczności rozszerzenia netscapecerttype 1.3 23-01-2003 Wprowadzenie unikalnych nazw na poszczególne wersje polityk; rozszerzenie polityki certyfikatów certyfikaty dla Operatorów CC Signet; wydłużenie (z jednego do pięciu dni) gwarantowanego czasu na wystawienie certyfikatu (liczonego od momentu wpłynięcia ważnego wniosku o certyfikat); drobne korekty stylistyczne. UWAGA! DOTYCZY WSZYSTKICH WYSTAWIONYCH CERTYFIKATÓW: usunięcie rozszerzenia issuingdistributionpoint z listy CRL w związku z aktualizacją oprogramowania. wersja 2.5 2

Wersja Data Opis zmian 1.4 12-02-2003 Zmiana zawartości atrybutu CN pola Subject dla certyfikatów do szyfrowania operatorów CC Signet, poprawienie błędnej numeracji rozdziałów 2.4 do 2.9, poprawa błędów literowych w rozdz. 2.3 i 6 2.0 30-06-2003 Zmiana wersji Kodeksu Postępowania Certyfikacyjnego. Ujednolicenie stosowanej terminologii oraz formy dokumentu w ramach unifikacji dokumentacji Centrum Certyfikacji Signet; dodanie profilu dla 30-dniowych certyfikatów dla VPNów. 2.1 12-09-2003 Zmiana okresu ważności certyfikatu do VPN na 1096 dni; ustawienie atrybutów pola subjectaltname w certyfikacje VPN na opcjonalne. 2.2 10-10-2003 Polityki o możliwość wydawania certyfikatów kontrolerów domen. Drobne poprawki redakcyjne. 2.3 30-07-2004 Wprowadzenie funkcyjnych certyfikatów do szyfrowania. 2.4 08-09-2004 Uściślenie opisów atrybutów CN i E-mail pola subject oraz atrybutów rfc822name rozszerzenia subjectaltname w podstawowym profilu certyfikatu. 2.5 03-08-2005 zakresu osób uprawnionych do uzyskania certyfikatu do podpisu i certyfikatu do szyfrowania oraz wprowadzenie certyfikatów do podpisywania oprogramowania. O ile nie podano inaczej, to wprowadzane zmiany mają zastosowanie do certyfikatów wystawionych po dacie wydania danej wersji Polityki. W każdym certyfikacie wydanym przez CC Signet znajduje się odnośnik do pełnego tekstu Polityki w wersji obowiązującej dla tego certyfikatu. 1.3 Odbiorcy usług oraz zastosowanie certyfikatów Certyfikaty wydawane zgodnie z Polityką są przeznaczone dla osób fizycznych świadczących pracę na rzecz Telekomunikacji Polskiej S.A., urządzeń stosowanych w tej firmie oraz pracowników TP Internet Sp. z o.o., którzy administrują, utrzymują i obsługują system Bezpiecznej Poczty Korporacyjnej Telekomunikacji Polskiej S.A.. Odbiorcami usług certyfikacyjnych świadczonych w ramach Polityki są osoby świadczące pracę na rzecz Telekomunikacji Polskiej S.A. oraz pracownicy TP Internet Sp. z o.o. określani dalej jako: LRAO (ang. Local Registration Authority Officer) osoba pełniąca funkcję przedstawiciela urzędu CA TELEKOMUNIKACJA POLSKA; ATP (Administrator Telekomunikacji Polskiej S.A.) osoba pełniąca funkcję administratora, z którym będą kontaktować się Użytkownicy Końcowi; Administrator zatrudniona w Telekomunikacji Polskiej S.A. osoba odpowiedzialna za funkcjonowanie urządzenia które jest zabezpieczone certyfikatem wydanym w ramach Polityki; UK (Użytkownik Końcowy); Operator CC Signet osoba zatrudniona w Centrum Certyfikacji Signet prowadzonym przez TP Internet Sp. z o.o., która administruje, bądź utrzymuje elementy systemu Bezpiecznej Poczty Korporacyjnej Telekomunikacji Polskiej. W ramach Polityki wystawiane są następujące typy certyfikatów: certyfikat do weryfikacji podpisu elektronicznego oraz uwierzytelnienia (dalej nazywany certyfikatem do podpisu); wersja 2.5 3

certyfikat do szyfrowania wiadomości poczty elektronicznej (dalej nazywany certyfikatem do szyfrowania); certyfikat do szyfrowania wiadomości poczty elektronicznej dla funkcyjnych adresów kont poczty elektronicznej, współużytkowany przez grupę UK, uprawnionych do korzystania z tego konta (dalej nazywany funkcyjnym certyfikatem do szyfrowania); certyfikat Operatora CC Signet do weryfikacji podpisu elektronicznego oraz uwierzytelnienia (dalej nazywany certyfikatem operatora CC Signet do podpisu); certyfikat Operatora CC Signet do szyfrowania wiadomości poczty elektronicznej, współużytkowany przez grupę Operatorów CC Signet (dalej nazywany certyfikatem Operatora CC Signet do szyfrowania); certyfikat do zabezpieczenia serwerów w protokole SSL (dalej nazywany certyfikatem dla serwerów); certyfikat do zestawiania połączeń w wirtualnych sieciach prywatnych (dalej nazywany certyfikatem dla VPNów); certyfikat do uwierzytelniania serwerów wykorzystywanych jako kontrolery domen (zwane dalej certyfikatami kontrolerów domen). certyfikat do podpisywania oprogramowania rozpowszechnianego w ramach Telekomunikacji Polskiej (dalej nazywany certyfikatem oprogramowania). Certyfikat ten umożliwia wykrycie zmian kodu oprogramowania dokonanych po jego podpisaniu. Certyfikat gwarantuje także autentyczność kodu oprogramowania, tzn. potwierdza, że zostało ono podpisane przez wydawcę, którego dane zostały umieszczone w certyfikacie. 1.4 Dane kontaktowe W celu uzyskania dalszych informacji dotyczących usług Centrum Certyfikacji Signet prosimy o kontakt: TP Internet Sp. z o.o. Centrum Certyfikacji Signet ul. Domaniewska 41 02-672 Warszawa tel. 0 801 30 20 21 (Contact Center) E-mail: kontakt@signet.pl 2 Podstawowe Zasady Certyfikacji 2.1 Wydawane certyfikaty W ramach Polityki Centrum Certyfikacji Signet wystawia certyfikaty klasy 2 służące do: weryfikacji podpisów elektronicznych oraz uwierzytelniania; szyfrowania wiadomości poczty elektronicznej; wersja 2.5 4

uwierzytelnienia serwerów; zestawiania wirtualnych sieci prywatnych; uwierzytelniania kontrolerów domen; podpisywania oprogramowania. Certyfikaty do weryfikacji podpisu oraz certyfikaty do podpisywania oprogramowania wydawane zgodnie z Polityką nie są certyfikatami kwalifikowanymi w rozumieniu ustawy z dnia 18 września 2001 o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450). Podpis elektroniczny weryfikowany przy pomocy tych certyfikatów nie wywołuje skutków prawnych równoważnych podpisowi własnoręcznemu. Certyfikaty do zabezpieczenia serwerów, zestawiania połączeń w wirtualnych sieciach prywatnych oraz kontrolerów domen, wydawane zgodnie z Polityką nie są certyfikatami w rozumieniu przepisów Ustawy o podpisie elektronicznym z dn. 18 września 2001 r., ponieważ przyporządkowują klucz publiczny do urządzenia. W poniższej tabeli zdefiniowani zostali posiadacze poszczególnych certyfikatów, czyli osoby, których dane są umieszczone w certyfikacie, bądź osoby, które odpowiadają za działanie urządzenia, którego dane są w certyfikacie: Certyfikat do podpisu do szyfrowania funkcyjny do szyfrowania Operatora CC Signet do podpisu Operatora CC Signet do szyfrowania dla serwerów dla VPNów dla kontrolerów domen do podpisywania oprogramowania Posiadacz certyfikatu LRAO, ATP, Operator CC Signet lub UK LRAO, ATP lub UK LRAO, ATP lub UK Operator CC Signet Operator CC Signet Administrator Administrator Administrator UK 2.2 Prawa i obowiązki 2.2.1 Obowiązki posiadacza certyfikatu Przed złożeniem wniosku o wydanie certyfikatu wnioskodawca zobowiązany jest zapoznać się z treścią Polityki. Złożenie wniosku oznacza akceptację warunków świadczenia usługi, w ramach której wydawane są certyfikaty objęte Polityką. Posiadacz certyfikatu zobowiązany jest do bezpiecznego przechowywania klucza prywatnego, z którym jest skojarzony klucz publiczny umieszczony w jego certyfikacie. Posiadacz certyfikatu jest zobowiązany do starannego przechowywania hasła do zarządzania certyfikatem oraz jego ochrony przed ujawnieniem. wersja 2.5 5

W przypadku utraty kontroli nad kluczem prywatnym, skojarzonym z kluczem publicznym umieszczonym w certyfikacie, jego ujawnienia lub też uzasadnionego podejrzenia, iż fakt taki mógł mieć miejsce, posiadacz certyfikatu zobowiązuje się niezwłocznie powiadomić o tym wydawcę certyfikatu poprzez złożenie wniosku o unieważnienie albo zawieszenie tego certyfikatu. Posiadacz certyfikatu jest odpowiedzialny za prawdziwość danych przekazywanych we wniosku o wydanie certyfikatu. Administrator jest też odpowiedzialny za jakość wygenerowanej przez siebie pary kluczy, z której klucz publiczny podawany jest we wniosku o wydanie certyfikatu. Posiadacz certyfikatu jest zobowiązany do informowania wydawcy certyfikatu o wszelkich zmianach informacji zawartych w jego certyfikacie lub podanych we wniosku o wydanie certyfikatu. Posiadacz certyfikatu jest zobowiązany do sprawdzenia, czy zawartość jego certyfikatu jest prawidłowa po opublikowaniu tego certyfikatu w Repozytorium dla Telekomunikacji Polskiej S.A. Po upływie okresu ważności, bądź po unieważnieniu certyfikatu posiadacz certyfikatu zobowiązany jest do zaprzestania stosowania klucza prywatnego skojarzonego z kluczem publicznym zawartym w tym certyfikacie do operacji uwierzytelniania. 2.2.2 Obowiązki strony ufającej Strona ufająca jest zobowiązana do pobrania w sposób bezpieczny certyfikatu Urzędu Certyfikacji (CA), który obdarzyła zaufaniem oraz zweryfikowania klucza publicznego tego urzędu. Metody udostępniania certyfikatów urzędów certyfikacji oraz informacji niezbędnych dla weryfikacji ich poprawności opisane są w Kodeksie Postępowania Certyfikacyjnego. W trakcie określania swojego zaufania wobec usługi bazującej na certyfikacie wydanym w ramach Polityki, obowiązkiem strony ufającej jest przeprowadzenie stosownej weryfikacji ważności certyfikatu. W procesie weryfikacji strona ufająca musi zweryfikować ścieżkę certyfikacji. Ścieżką certyfikacji jest uporządkowany ciąg certyfikatów urzędów certyfikacji i weryfikowanego certyfikatu, utworzony w ten sposób, że przy pomocy danych służących do weryfikacji poświadczenia elektronicznego i nazwy wydawcy pierwszego certyfikatu na ścieżce możliwe jest wykazanie, że dla każdych dwóch bezpośrednio po sobie występujących certyfikatów, poświadczenie elektroniczne zawarte w następnym z nich zostało sporządzone przy pomocy danych służących do składania poświadczenia elektronicznego związanych z poprzednim z nich; dane służące do weryfikacji pierwszego poświadczenia elektronicznego są dla weryfikującego punktem zaufania. W procesie weryfikacji strona ufająca powinna korzystać z zasobów i procedur udostępnianych przez CC Signet. Kodeks Postępowania Certyfikacyjnego definiuje dostępne usługi i metody określania ważności certyfikatu dla każdej z klas certyfikatów. Strona ufająca jest zobowiązana co najmniej do korzystania z publikowanej przez CC Signet listy certyfikatów unieważnionych oraz zweryfikowania ścieżki certyfikatów od Urzędu Certyfikacji, który obdarzyła zaufaniem do urzędu, który wydał certyfikat wersja 2.5 6

2.2.3 Obowiązki Centrum Certyfikacji Signet Usługi certyfikacyjne są świadczone przez Centrum Certyfikacji Signet zgodnie z obowiązującymi na terenie Rzeczypospolitej Polskiej przepisami prawa. Centrum Certyfikacji Signet zobowiązane jest do postępowania zgodnie z zapisami Polityki, a w szczególności przeprowadzania procedur rejestracji, odnawiania i unieważniania certyfikatów zgodnie z zasadami opisanymi w Polityce, Regulaminie oraz Umowie. Centrum Certyfikacji Signet przechowuje każdy klucz prywatny skojarzony z kluczem publicznym umieszczonym w certyfikacie do szyfrowania wydanym w ramach Polityki, przez okres nie krótszy niż 5 lat od momentu jego zarchiwizowania, które następuje niezwłocznie po wygenerowaniu certyfikatu. 2.3 Odpowiedzialność Centrum Certyfikacji Signet Centrum Certyfikacji Signet odpowiada za zgodność informacji zawartych w certyfikacie z informacjami otrzymanymi we wniosku o wydanie certyfikatu. Centrum Certyfikacji Signet nie odpowiada za prawdziwość informacji zawartych we wniosku o wydanie certyfikatu. Zakres i sposób weryfikacji danych podanych we wniosku o wydanie certyfikatu jest opisany w rozdziale 3 Polityki. Centrum Certyfikacji Signet odpowiada za przestrzeganie przyjętych procedur postępowania. W szczególności Centrum Certyfikacji Signet odpowiada za publikowanie aktualnych informacji o unieważnieniach certyfikatów w Repozytorium Centrum Certyfikacji Signet, zgodnie z Polityką. 2.4 Opłaty Usługi związane z wydawaniem i odnawianiem certyfikatów, których dotyczy Polityka, są płatne zgodnie z Umową pomiędzy TP Internet Sp. z o.o. a Telekomunikacją Polską S.A. Usługi unieważniania certyfikatów oraz udostępniania informacji o unieważnieniach w postaci list certyfikatów unieważnionych i zawieszonych (CRL) są nieodpłatne. 2.5 Publikowanie wydanych certyfikatów i informacji o unieważnieniach Centrum Certyfikacji Signet publikuje wydane certyfikaty oraz listy certyfikatów unieważnionych w ogólnie dostępnym dla pracowników Telekomunikacji Polskiej S.A. Repozytorium informacji. Szczegóły organizacji Repozytorium i opis metod dostępu do tych informacji znajdują się pod adresem http://www.bptp.lodz.telekomunikacja.pl/repozytorium/. Certyfikaty są publikowane w Repozytorium natychmiast po ich wydaniu. Informacja o unieważnieniu certyfikatu jest publikowana w chwili tworzenia nowej listy certyfikatów unieważnionych. Nowa lista certyfikatów unieważnionych dla certyfikatów wydawanych zgodnie z Polityką jest tworzona w terminie do 1 godziny po każdym unieważnieniu, jednak nie rzadziej, niż co 24 godziny wersja 2.5 7

2.6 Ochrona informacji Polityka certyfikacji Informacje gromadzone i przetwarzane w ramach realizacji Polityki podlegają ochronie w zakresie i trybie przewidzianym obowiązującymi przepisami prawa. Centrum Certyfikacji Signet gwarantuje, że osobom spoza sieci korporacyjnej Telekomunikacji Polskiej SA nie są udostępniane żadne informacje gromadzone i przetwarzane w ramach realizacji Polityki. Nie dotyczy to pracowników TP Internet Sp. z o.o., którzy utrzymują lub świadczą na rzecz Telekomunikacji Polskiej S.A. usługi w ramach systemu Bezpiecznej Poczty Korporacyjnej Telekomunikacji Polskiej. Zobowiązanie to nie dotyczy przypadku skierowania żądania o udostępnienie informacji przez władze RP mające odpowiednie umocowanie w obowiązującym prawie. 2.7 Interpretacja i obowiązujące akty prawne W zakresie certyfikatów wydawanych na podstawie Polityki funkcjonowanie Centrum Certyfikacji Signet oparte jest na zasadach określonych w Kodeksie Postępowania Certyfikacyjnego Centrum Certyfikacji Signet i Polityce. W przypadku wątpliwości, interpretacja postanowień tych dokumentów odbywa się zgodnie z obowiązującymi aktualnie na terenie Rzeczypospolitej Polskiej nadrzędnymi aktami prawnymi. 2.8 Prawa własności intelektualnej Majątkowe prawa autorskie do Polityki są wyłączną własnością TP Internet Sp. z o.o. 3 Weryfikacja tożsamości i uwierzytelnienie Rozdział ten opisuje sposób weryfikacji tożsamości osoby dokonującej operacji związanych z zarządzaniem certyfikatami oraz przedstawia sposób weryfikacji praw danej osoby do wykonania określonej czynności. 3.1 Rejestracja Rejestracja, czyli proces przyjęcia i weryfikacji wniosku o wydanie nowego certyfikatu dla danego wnioskodawcy jest przeprowadzana przez Urząd Rejestracji Centrum Certyfikacji Signet, funkcjonujący przy Urzędzie Certyfikacji dla Telekomunikacji Polskiej S.A.. Po pozytywnym zakończeniu procesu rejestracji następuje wydanie certyfikatu przez Urząd Certyfikacji. Szczegółowy przebieg rejestracji dla poszczególnych certyfikatów opisany jest w procedurach operacyjnych przekazanych do Telekomunikacji Polskiej S.A. w ramach realizacji Umowy. Ogólny opis rejestracji zawarty jest w rozdziale 4 Polityki. W trakcie procesu rejestracji wnioskodawca dostarcza następujące dane: 1. w przypadku certyfikatów do podpisu, certyfikatów do szyfrowania i funkcyjnych certyfikatów do szyfrowania a. imię i nazwisko przyszłego posiadacza certyfikatu; wersja 2.5 8

b. numer identyfikacyjny przyszłego posiadacza certyfikatu (nie dotyczy osób niezatrudnionych w Telekomunikacji Polskiej S.A.); c. nazwę jednostki organizacyjnej, w której jest zatrudniony przyszły posiadacz certyfikatu; d. nazwę stanowiska, na którym jest zatrudniony przyszły posiadacz certyfikatu; e. adres (zgodny ze standardem SMTP) konta poczty elektronicznej posiadacza certyfikatu UWAGA: W przypadku wydawania funkcyjnych certyfikatów do szyfrowania dla podanego adresu konta pocztowego jest wydawany jeden certyfikat, wykorzystywany przez wszystkich jego użytkowników. 2. w przypadku certyfikatów Operatorów CC Signet: a. imię i nazwisko przyszłego posiadacza certyfikatu; b. funkcjonalną nazwę konta, które ma być umieszczone w certyfikacie; c. adres (zgodny ze standardem SMTP) konta poczty elektronicznej przyszłego posiadacza certyfikatu 3. w przypadku certyfikatów dla VPNów i serwerów: a. adres serwera, dla którego ma być wydany certyfikat; b. nazwa jednostki organizacyjnej, w której jest zainstalowany serwer; c. adres (zgodny ze standardem SMTP) konta poczty Administratora odpowiedzialnego za serwer; d. klucz publiczny do umieszczenia w certyfikacie. 4. w przypadku certyfikatów dla kontrolerów domen: a. wartość DN do umieszczenia w polu subject; b. wartość GUID do umieszczenia w atrybucie othername rozszerzenia subjectaltname, c. nazwa domenowa kontrolera domeny - do umieszczenia w atrybucie dnsname rozszerzenia subjectaltname. d. adres (zgodny ze standardem SMTP) konta poczty Administratora odpowiedzialnego za kontroler domeny - do umieszczenia w atrybucie rfc822name rozszerzenia subjectaltname. 5. w przypadku certyfikatów oprogramowania: a. imię i nazwisko przyszłego posiadacza certyfikatu (tylko w przypadku, jeśli imię i nazwisko ma zostać umieszczone w certyfikacie); b. wartość CN do umieszczenia w polu subject; c. adres (zgodny ze standardem SMTP) konta poczty elektronicznej osoby odpowiedzialnej za wykorzystanie certyfikatu - do umieszczenia w atrybucie rfc822name rozszerzenia subjectaltname; wersja 2.5 9

d. klucz publiczny do umieszczenia w certyfikacie (tylko w przypadku, jeśli para kluczy jest generowana przez przyszłego posiadacza certyfikatu). W trakcie rejestracji wniosku o wydanie certyfikatu dla podpisu lub szyfrowania weryfikowana jest tożsamość przyszłego posiadacza certyfikatu oraz fakt świadczenia pracy na rzecz Telekomunikacji Polskiej S.A., albo zatrudnienia w TP Internet Sp. z o.o.. Weryfikacja tożsamości polega na sprawdzeniu okazanego dokumentu tożsamości. Weryfikacja świadczenia pracy na rzecz Telekomunikacji Polskiej S.A. odbywa się na poprzez sprawdzenie okazanego przez przyszłego posiadacza certyfikatu wniosku o korzystanie z usług certyfikacyjnych dla Bezpiecznej Poczty Korporacyjnej Telekomunikacji Polskiej, podpisanego przez osobę upoważnioną. Weryfikacja zatrudnienia w TP Internet Sp. z o.o. odbywa się poprzez sprawdzenie okazanego przez wnioskodawcę identyfikatora pracowniczego. W trakcie rejestracji wniosku o certyfikat dla VPNów i serwerów weryfikowane są: poprawność adresu serwera: w przypadku certyfikatu na adres domenowy: weryfikacja, czy domena której nazwa jest umieszczona we wniosku o wydanie certyfikatu jest przyznana Telekomunikacji Polskiej S.A. na podstawie dostarczonego zaświadczenia wystawionego przez organizację zarządzającą daną przestrzenią nazw albo weryfikacja, czy podana we wniosku nazwa domenowa nie należy do przestrzeni nazw internetowych (nie kończy się żadnym z zarejestrowanych znaczników dla domen najwyższego poziomu (ang. top level domain)); w przypadku certyfikatu na adres IP: weryfikacja, czy podany adres należy do klasy adresów prywatnych albo weryfikacja, czy podany adres IP należy do klasy przyznanej Telekomunikacji Polskiej S.A. na podstawie informacji uzyskanej w Réseaux IP Européens (www.ripe.net) posiadanie klucza prywatnego skojarzonego z kluczem zawartym we wniosku wniosek musi być zgodny ze standardem pkcs#10. W trakcie rejestracji wniosku o certyfikat kontrolera domeny weryfikowane są uprawnienia wnioskodawcy do złożenia tego wniosku, zgodnie z procedurami operacyjnymi, przekazanymi do Telekomunikacji Polskiej S.A. w ramach realizacji Umowy. Do składania wniosku o certyfikat o 30-dniowym okresie ważności (testowy) oprócz osób wymienionych we wspomnianych wyżej procedurach operacyjnych, uprawnieni są także Kierownicy Projektu ze strony Telekomunikacji Polskiej S.A oraz TP Internet Sp. z o.o. W trakcie rejestracji wniosku o certyfikat oprogramowania weryfikowane są uprawnienia wnioskodawcy do złożenia tego wniosku, zgodnie z procedurami operacyjnymi, przekazanymi do Telekomunikacji Polskiej S.A. w ramach realizacji Umowy. wersja 2.5 10

3.2 Wymiana kluczy Polityka certyfikacji Centrum Certyfikacji Signet nie udostępnia procedury wymiany kluczy, czyli wydania nowego certyfikatu z nowym kluczem publicznym w okresie ważności certyfikatu danego posiadacza w ramach uproszczonej procedury rejestracji. Wymiana kluczy jest możliwa tylko poprzez złożenie wniosku o wydanie nowego certyfikatu z nowym kluczem publicznym zgodnie z procedurami opisanymi w rozdziale 4.1. 3.3 Zawieszanie certyfikatu Centrum Certyfikacji Signet nie udostępnia usługi zawieszania certyfikatów wydawanych w ramach Polityki. 3.4 Uchylanie zawieszenia certyfikatu Centrum Certyfikacji Signet nie udostępnia usługi uchylania zawieszenia certyfikatu wydanego w ramach Polityki. 3.5 Unieważnienie certyfikatu Unieważnienie certyfikatu wydanego w ramach Polityką wymaga przesłania odpowiedniego wniosku o unieważnienie certyfikatu, uwierzytelnienia wnioskodawcy i weryfikacji jego uprawnień do złożenia takiego wniosku. Uwierzytelnienie wnioskodawcy i weryfikacja uprawnień do unieważnienia certyfikatu polega na sprawdzeniu zgodności hasła podanego we wniosku o unieważnienie certyfikatu z hasłem do zarządzania certyfikatem podanym przez posiadacza certyfikatu, bądź przekazanym posiadaczowi certyfikatu podczas procesu rejestracji. 3.6 Odnowienie certyfikatu Certyfikat wydany zgodnie z Polityką może być odnawiany. Odnowienie certyfikatu polega na wydaniu nowego certyfikatu, w którym wszystkie dane za wyjątkiem okresu ważności i klucza publicznego są takie same jak w certyfikacie odnawianym. Odnowienie certyfikatu jest możliwe tylko przed upływem terminu ważności odnawianego certyfikatu i jedynie w przypadku, jeśli dane na podstawie których wydano certyfikat nie uległy zmianie. Po upływie terminu ważności lub w przypadku zmiany danych, posiadacz certyfikatu musi ubiegać się o nowy certyfikat zgodnie z procedurą rejestracji opisaną w rozdziale 3.1. Podczas odnowienia certyfikatu nie jest weryfikowana tożsamość wnioskodawcy. 4 Wymagania operacyjne 4.1 Złożenie wniosku o wydanie certyfikatu Wydanie certyfikatu w ramach Polityki certyfikacji jest możliwe tylko po zapoznaniu się przyszłego posiadacza certyfikatu z warunkami świadczenia usług oraz dostarczeniu odpowiedniego wniosku o wydanie certyfikatu. wersja 2.5 11

Procedura składania wniosku o wydanie certyfikatu jest opisana w procedurach załączonych do Umowy. 4.2 Wydanie certyfikatu Wydanie certyfikatu odbywa się nie później niż w ciągu 5 (pięciu) dni roboczych od otrzymania przez Centrum Certyfikacji Signet poprawnego wniosku o wydanie certyfikatu. Razem z certyfikatem użytkownik otrzymuje hasło do zarządzania certyfikatem. 4.3 Akceptacja certyfikatu Po wydaniu certyfikatu, posiadacz jest zobowiązany do sprawdzenia, czy dane zawarte w certyfikacie są zgodne z danymi podanymi we wniosku o jego wydanie. W przypadku stwierdzenia niezgodności, posiadacz certyfikatu jest zobowiązany niezwłocznie powiadomić o nich Centrum Certyfikacji Signet, złożyć wniosek o unieważnienie wadliwego certyfikatu i nie używać klucza prywatnego, skojarzonego z kluczem publicznym zawartym w tym certyfikacie. Brak zgłoszenia przez posiadacza certyfikatu zastrzeżeń w ciągu 24 godzin uznaje się za potwierdzenie zgodność danych w certyfikacie z danymi we wniosku. W przypadku, gdy dane zawarte w certyfikacie są niezgodne z danymi podanymi we wniosku, Centrum Certyfikacji Signet wydaje posiadaczowi bezpłatnie nowy certyfikat, zawierający poprawne dane. Jeśli posiadacz certyfikatu zaakceptował certyfikat zawierający dane niezgodne z danymi podanymi we wniosku, to odpowiada on za szkody spowodowane użyciem tego certyfikatu, jeśli wystąpiły one na skutek tych niezgodności. 4.4 Zawieszanie certyfikatu Nie dotyczy certyfikatów wydawanych w ramach Polityki. 4.5 Uchylenie zawieszenia certyfikatu Nie dotyczy certyfikatów wydawanych w ramach Polityki. 4.6 Unieważnienie certyfikatu Certyfikat wydany w ramach Polityki może zostać unieważniony. Uwierzytelnienie wnioskodawcy odbywa się zgodnie z postanowieniami rozdziału 3.5. Pozytywna weryfikacja praw do złożenia wniosku o unieważnienie danego certyfikatu prowadzi do nieodwracalnego unieważnienia certyfikatu. Przebieg procedury unieważniania certyfikatu jest następujący: połączenie się wnioskodawcy ze stroną WWW, podanie informacji niezbędnych do jednoznacznego zidentyfikowania unieważnianego certyfikatu, podanie hasła do zarządzania certyfikatem i unieważnienie certyfikatu albo połączenie się wnioskodawcy z Telecentrum TP, podanie informacji niezbędnych do jednoznacznego zidentyfikowania unieważnianego certyfikatu, podanie hasła do zarządzania certyfikatem i unieważnienie certyfikatu. wersja 2.5 12

Centrum Certyfikacji Signet może również unieważnić certyfikat w przypadku: otrzymania pisemnego wniosku o unieważnienie od posiadacza certyfikatu lub autoryzowanej strony trzeciej; dezaktualizacji informacji zawartych w certyfikacie; niedozwolonego lub błędnego wydania certyfikatu na skutek: nie spełnienia istotnych warunków wstępnych do wydania certyfikatu; fałszerstwa istotnych danych zawartych w certyfikacie popełnienia błędów przy wprowadzaniu danych lub innych błędów przetwarzania. W przypadku istnienia uzasadnionego podejrzenia, że istnieją przesłanki do unieważnienia certyfikatu, Centrum Certyfikacji Signet zawiesza ważność tego certyfikatu, informuje o tym jego posiadacza i podejmuje działania niezbędne do wyjaśnienia tych wątpliwości. 4.7 Odnowienie certyfikatu Certyfikat wydany zgodnie z Polityką może być odnawiany. Odnowienie certyfikatu jest możliwe tylko przed upływem terminu ważności odnawianego certyfikatu. Po upływie terminu ważności, posiadacz certyfikatu musi ubiegać się o nowy certyfikat zgodnie z procedurą rejestracji opisaną w rozdziale 4.1. Szczegółowy przebieg procedury odnowienia certyfikatu jest opisany w procedurach dołączonych do Umowy. 4.8 Odzyskiwanie klucza prywatnego Przechowywane w Centrum Certyfikacji Signet kopie kluczy prywatnych skojarzonych z certyfikatami do szyfrowania mogą być odzyskiwane. Szczegółowy przebieg procedury odzyskania klucza prywatnego skojarzonego z certyfikatem do szyfrowania opisana jest w procedurach dołączonych do Umowy. 5 Techniczne środki zapewnienia bezpieczeństwa. 5.1 Generowanie kluczy Polityka wymaga, żeby para kluczy, z której publiczny jest certyfikowany zgodnie z Polityką, była stowarzyszona z algorytmem RSA i spełniała wymagania opisane w poniższej tabeli. Rodzaj certyfikatu do podpisu, Operatorów CC Signet do podpisu do szyfrowania,funkcyjny do szyfrowania, Operatorów CC Signet do szyfrowania Minimalna długość klucza (rozumiana jako moduł p*q) 1024 bity Sposób generowania klucza na karcie mikroprocesorowej 1024 bity w bezpiecznym środowisku Podmiot generujący klucze Centrum Certyfikacji Signet Centrum Certyfikacji Signet wersja 2.5 13

dla serwera 1024 bity brak wymagań posiadacz certyfikatu dla VPNów 1024 bity brak wymagań posiadacz certyfikatu dla kontrolerów domen 1024 bity w bezpiecznym środowisku do podpisywania oprogramowania 1024 bity brak wymagań Centrum Certyfikacji Signet Centrum Certyfikacji Signet lub posiadacz certyfikatu 5.2 Ochrona kluczy posiadacza certyfikatu Za ochronę klucza prywatnego od chwili jego wygenerowania (w przypadku certyfikatów dla serwera i VPNów) albo od chwili jego przekazania (dla certyfikatów do podpisów i szyfrowania oraz certyfikatów kontrolerów domen) odpowiedzialny jest wyłącznie posiadacz certyfikatu. Za ochronę klucza prywatnego skojarzonego z kluczem publicznym umieszczonym w certyfikacie oprogramowania odpowiedzialny jest posiadacz certyfikatu od chwili jego wygenerowania (w przypadku generowania pary kluczy przez posiadacza) lub od chwili jego przekazania (w przypadku generowania pary kluczy przez Centrum Certyfikacji Signet). Za ochronę klucza prywatnego skojarzonego z funkcyjnym certyfikatem do szyfrowania i certyfikatem Operatorów CC Signet do szyfrowania odpowiedzialna jest każda z osób, uprawnionych do jego wykorzystywania. Centrum Certyfikacji Signet jest również odpowiedzialne za ochronę kopii klucza prywatnego, skojarzonego z certyfikatem do szyfrowania przechowywanej w Centrum Certyfikacji Signet, do momentu jej zniszczenia. 5.3 Aktywacja kluczy Polityka nie nakłada wymagań na sposób aktywacji klucza prywatnego posiadacza certyfikatu. 5.4 Niszczenie kluczy Polityka nie stawia szczególnych wymogów odnośnie sposobu niszczenia klucza prywatnego, skojarzonego z kluczem publicznym, zawartym w certyfikacie wydanym w ramach Polityki. Gdy certyfikat do podpisu wydany zgodnie z Polityką utraci ważność, klucz prywatny skojarzony z kluczem publicznym, umieszczonym w tym certyfikacie powinien zostać usunięty z karty za pomocą dostarczonego przez CC Signet oprogramowania, lub dostęp do niego powinien zostać zablokowany w sposób nieodwracalny. W przypadku certyfikatów dla serwera, VPNów i kontrolera domeny, klucz prywatny z nim skojarzony powinien zostać usunięty z urządzenia, zgodnie z instrukcją standardowego oprogramowania do zarządzania tym urządzeniem. W przypadku certyfikatów oprogramowania, skojarzony klucz prywatny powinien zostać usunięty z nośnika, na którym się znajduje lub dostęp do niego powinien zostać zablokowany w sposób nieodwracalny. wersja 2.5 14

Klucz prywatny skojarzony z certyfikatem do szyfrowania wydanym zgodnie z Polityką może być wykorzystywany do odszyfrowywania danych, powinien jednak być nadal przechowywany w bezpieczny sposób. Centrum Certyfikacji Signet niszczy kopię klucza prywatnego przechowywaną w bezpiecznym archiwum nie wcześniej niż po 5 latach od jego zarchiwizowania. 6 Możliwość dostosowania zapisów polityki do wymagań użytkownika Na wniosek Telekomunikacji Polskiej TP Internet Sp. z o.o. może opracować nową wersję polityki uwzględniającą zgłoszone wymagania. 7 Profil certyfikatu i listy certyfikatów unieważnionych (CRL) Poniżej przedstawione zostały profile certyfikatów i listy certyfikatów unieważnionych (listy CRL) wystawianych zgodnie z Polityką. Dla podstawowych pól certyfikatu i listy CRL, w kolumnie Atrybut podano nazwy poszczególnych pól i atrybutów zgodne ze standardem X.509 w wersji 3. Wartości atrybutów w polach Issuer i Subject podawane są w kolejności od korzenia drzewa katalogu, zgodnie ze standardem X.500. Dla rozszerzeń certyfikatu i listy CRL, w kolumnie podano nazwy poszczególnych rozszerzeń i atrybutów wraz z ich identyfikatorem obiektu, a w kolumnie krytyczne? określono, czy dane rozszerzenie jest krytyczne, czy nie. W kolumnie zawarte są wartości poszczególnych pól i atrybutów lub rozpoczynające się znakiem # opisy sposobu określenia wartości pola i komentarze. 7.1 Profil certyfikatu Certyfikaty wystawiane zgodnie z Polityką mają następującą strukturę: Atrybut version 2 # certyfikat zgodny z wersją 3 standardu X.509 serialnumber signature issuer validity not before not after # jednoznaczny w ramach urzędu CA TELEKOMUNIKACJA POLSKA numer, nadawany przez ten urząd 1.2.840.113549.1.1.5 #SHA1 z szyfrowaniem RSA - identyfikator algorytmu stosowanego do elektronicznego poświadczenia certyfikatu C = PL, O = Grupa TELEKOMUNIKACJA POLSKA, OU = Centrum Certyfikacji Signet, OU = CA TELEKOMUNIKACJA POLSKA # Nazwa wyróżniona Urzędu CA wydającego certyfikaty w ramach Polityki # Okres ważności certyfikatu # data i godzina wydania certyfikatu (GMT w formacie UTCTime) # data wydania certyfikatu + 1096 dni (GMT w formacie UTCTome) wersja 2.5 15

subject subjectpublickeyinfo algorithm subjectpublickey Polityka certyfikacji C = PL, O = Grupa TELEKOMUNIKACJA POLSKA, OU = # zgodnie z opisem pod tabelą CN = # zgodnie z opisem pod tabelą Title = # nazwa stanowiska posiadacza certyfikatu (atrybut opcjonalny) E-mail = # zgodnie z opisem pod tabelą rsaencryption # identyfikator algorytmu, z którym stowarzyszony jest klucz publiczny posiadacza certyfikatu # klucz publiczny posiadacza certyfikatu atrybutu CN w polu subject jest następująca: nazwa stanowiska funkcyjnego (dla funkcyjnych certyfikatów do szyfrowania i certyfikatów do szyfrowania operatorów CC Signet) <nazwisko> <imię> / Nr Ew. <nr> # (dla pracowników Telekomunikacji Polskiej S.A.) <nazwisko> <imię> / Partner TP (dla pozostałych przypadków) atrybutu OU w polu subject jest następująca: dla pracowników Telekomunikacji Polskiej S.A. TELEKOMUNIKACJA POLSKA ; dla pracowników innych firm <nazwa Firmy> - Partner TP. atrybutu E-mail w polu subject jest następująca: adres e-mail skrzynki funkcyjnej (dla funkcyjnych certyfikatów do szyfrowania i certyfikatów do szyfrowania operatorów CC Signet); adres e-mail posiadacza certyfikatu (dla pozostałych przypadków). W certyfikacie umieszczone są następujące rozszerzenia zgodne ze standardem X.509: Krytyczne keyusage 2.5.29.15 TAK # zgodnie z opisem pod tabelą (0) digitalsignature - # klucz do realizacji podpisu elektronicznego 1 # w certyfikatach do podpisu 0 # w certyfikatach do szyfrowania (1) nonrepudiation - 0 (2) keyencipherment - # klucz do wymiany klucza 0 # w certyfikatach do podpisu 1 # w certyfikatach do szyfrowania (3) dataencipherment - # klucz do szyfrowania danych 0 # w certyfikatach do podpisu 1 # w certyfikatach do szyfrowania (4) keyagreement - 0 wersja 2.5 16

extendedkeyusage 2.5.29.37 Polityka certyfikacji Krytyczne (5) keycertsign - 0 (6) crlsign - 0 (7) encipheronly - 0 (8) decipheronly - 0 authoritykeyidentifier 2.5.29.35 keyidentifier - subjectkeyidentifier 2.5.29.14 basicconstraints 2.5.29.19 subjectaltname 2.5.29.17 ca - FAŁSZ # zgodnie z opisem pod tabelą # identyfikator klucza urzędu do weryfikacji podpisu pod certyfikatem # identyfikator klucza posiadacza certyfikatu, umieszczonego w polu subjectpublickeyinfo # alternatywna nazwa posiadacza certyfikatu rfc822name - # zgodnie z opisem pod tabelą UPN - crldistributionpoint 2.5.29.31 distributionpoint certificatepolicies 2.5.29.32 # domenowa_nazwa_użytkownika@nazwa_domeny - atrybut występuje tylko w certyfikatach do podpisu! CN =TP CDP-U ldap://ldap.bptp.lodz.telekomunikacja.pl:389/cn=tp CDP-U,ou=CA distributionpoint TELEKOMUNIKACJA POLSKA,ou=Centrum Certyfikacji Signet,O=Grupa TELEKOMUNIKACJA POLSKA,c=PL distributionpoint - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/crl/catp.crl policyidentifier - 1.3.6.1.4.1.7999.2.201.10.1.2.5 policyqualifierid 1.3.6.1.5.5.7.2.1 qualifier 1.3.6.1.5.5.7.2.2 - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/dokumenty/ pc_bptp_2_5.pdf - #zgodnie z opisem pod tabelą Zawartość pola keyusage jest następująca: dla certyfikatów do podpisu 80h; dla certyfikatów do szyfrowania 30h;. Zawartość pola extendedkeyusage jest następująca: dla certyfikatów do podpisu: 1.3.6.1.5.5.7.3.2 (id-kp-clientauth), 1.3.6.1.5.5.7.3.4 (id kp emailprotection), 1.3.6.1.4.1.311.20.2.2 (smartcardlogon); wersja 2.5 17

dla certyfikatów do szyfrowania: 1.3.6.1.5.5.7.3.4 (id-kp-emailprotection). Zawartość pola rfc822name rozszerzenia subjestaltname jest następująca: adres e-mail skrzynki funkcyjnej (dla funkcyjnych certyfikatów do szyfrowania i certyfikatów do szyfrowania operatorów CC Signet); adres e-mail posiadacza certyfikatu (dla pozostałych przypadków). Zawartość pola CertificatePolicies/qualifier jest następująca: dla certyfikatów do podpisu: "Certyfikat wystawiony zgodnie z dok. "Polityka Certyfikacji - Bezpieczna Poczta Korporacyjna Telekomunikacja Polska. Nie jest certyfikatem kwalifikowanym w rozumieniu ustawy o podpisie elektronicznym" dla certyfikatów do szyfrowania: "Certyfikat wystawiony zgodnie z dokumentem "Polityka Certyfikacji - Bezpieczna Poczta Korporacyjna Telekomunikacja Polska. Nie jest certyfikatem do weryfikacji podpisu elektronicznego." 7.2 Profil certyfikatu dla serwerów Certyfikat dla serwerów ma następującą budowę: Atrybut version 2 # certyfikat zgodny z wersją 3 standardu X.509 serialnumber signature issuer validity subject not before not after subjectpublickeyinfo algorithm subjectpublickey # jednoznaczny w ramach urzędu CA TELEKOMUNIKACJA POLSKA numer, nadawany przez ten urząd 1.2.840.113549.1.1.5 #SHA1 z szyfrowaniem RSA - identyfikator algorytmu stosowanego do elektronicznego poświadczenia certyfikatu C = PL, O = Grupa TELEKOMUNIKACJA POLSKA, OU = Centrum Certyfikacji Signet, OU = CA TELEKOMUNIKACJA POLSKA # Nazwa wyróżniona Urzędu CA wydającego certyfikaty w ramach Polityki # Okres ważności certyfikatu # data i godzina wydania certyfikatu (GMT w formacie UTCTime) # data i godzina wydania certyfikatu + 1096 dni (GMT w formacie UTCTime) C = PL O = Grupa TELEKOMUNIKACJA POLSKA OU = TELEKOMUNIKACJA POLSKA OU = SSL CN = # adres IP albo nazwa domenowa serwera rsaencryption # identyfikator algorytmu, z którym stowarzyszony jest klucz publiczny posiadacza certyfikatu # klucz publiczny posiadacza certyfikatu wersja 2.5 18

W certyfikacie umieszczone są następujące rozszerzenia zgodne ze standardem X.509: Krytyczne keyusage 2.5.29.15 extendedkeyusage 2.5.29.37 TAK B0h (0) digitalsignature - 1 # klucz do realizacji podpisu elektronicznego (1) nonrepudiation - 0 (2) keyencipherment - 1 # klucz do wymiany klucza (3) dataencipherment - 1 # klucz do szyfrowania danych (4) keyagreement - 0 (5) keycertsign - 0 (6) crlsign - 0 (7) encipheronly - 0 (8) decipheronly - 0 authoritykeyidentifier 2.5.29.35 keyidentifier - subjectkeyidentifier 2.5.29.14 basicconstraints 2.5.29.19 ca - FAŁSZ netscapecerttype 2.16.840.1.113730.1.1 subjectaltname 2.5.29.17 1.3.6.1.5.5.7.3.1 #id-kp-serverauth # identyfikator klucza urzędu do weryfikacji podpisu pod certyfikatem # identyfikator klucza posiadacza certyfikatu, umieszczonego w polu subjectpublickeyinfo sslserver #40h # alternatywna nazwa posiadacza certyfikatu rfc822name - # adres e-mail posiadacza certyfikatu crldistributionpoint 2.5.29.31 distributionpoint certificatepolicies 2.5.29.32 CN =TP CDP-S ldap://ldap.bptp.lodz.telekomuni-kacja.pl:389/cn=tp CDP-S,ou=CA distributionpoint TELEKOMUNIKACJA POLSKA,ou=Centrum Certyfikacji Signet,O=Grupa TELEKOMUNIKACJA POLSKA,c=PL distributionpoint - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/crl/catp.crl policyidentifier - 1.3.6.1.4.1.7999.2.201.10.1.2.5 policyqualifierid 1.3.6.1.5.5.7.2.1 qualifier 1.3.6.1.5.5.7.2.2 - - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/dokumenty/ pc_bptp_2_5.pdf Certyfikat wystawiony zgodnie z dokumentem "Polityka Certyfikacji - Bezpieczna Poczta Korporacyjna Telekomunikacja Polska. Nie jest certyfikatem do weryfikacji podpisu elektronicznego. wersja 2.5 19

7.3 Profil certyfikatu dla VPNów Certyfikat dla VPNów ma następującą budowę: Atrybut Polityka certyfikacji version 2 # certyfikat zgodny z wersją 3 standardu X.509 serialnumber signature issuer validity subject not before not after subjectpublickeyinfo algorithm subjectpublickey # jednoznaczny w ramach urzędu CA TELEKOMUNIKACJA POLSKA numer, nadawany przez ten urząd 1.2.840.113549.1.1.5 #SHA1 z szyfrowaniem RSA - identyfikator algorytmu stosowanego do elektronicznego poświadczenia certyfikatu C = PL, O = Grupa TELEKOMUNIKACJA POLSKA, OU = Centrum Certyfikacji Signet, OU = CA TELEKOMUNIKACJA POLSKA # Nazwa wyróżniona Urzędu CA wydającego certyfikaty w ramach Polityki # Okres ważności certyfikatu # data i godzina wydania certyfikatu (GMT w formacie UTCTime) # data i godzina wydania certyfikatu + 1096 dni (GMT w formacie UTCTime) C = PL O = Grupa TELEKOMUNIKACJA POLSKA OU = TELEKOMUNIKACJA POLSKA OU = VPN CN = # adres IP albo nazwa domenowa urządzenia rsaencryption # identyfikator algorytmu, z którym stowarzyszony jest klucz publiczny posiadacza certyfikatu # klucz publiczny posiadacza certyfikatu W certyfikacie umieszczone są następujące rozszerzenia zgodne ze standardem X.509: Krytyczne keyusage 2.5.29.15 TAK B0h (0) digitalsignature - 1 # klucz do realizacji podpisu elektronicznego (1) nonrepudiation - 0 (2) keyencipherment - 1 # klucz do wymiany klucza (3) dataencipherment - 1 # klucz do szyfrowania danych (4) keyagreement - 0 (5) keycertsign - 0 (6) crlsign - 0 (7) encipheronly - 0 (8) decipheronly - 0 authoritykeyidentifier 2.5.29.35 keyidentifier - subjectkeyidentifier 2.5.29.14 # identyfikator klucza urzędu do weryfikacji podpisu pod certyfikatem # identyfikator klucza posiadacza certyfikatu, umieszczonego w polu subjectpublickeyinfo wersja 2.5 20

basicconstraints 2.5.29.19 subjectaltname 2.5.29.17 Polityka certyfikacji Krytyczne ca - FAŁSZ ip address dns # alternatywna nazwa posiadacza certyfikatu # adres ip urządzenia (pole opcjonalne) # nazwa domenowa urządzenia (pole opcjonalne) rfc822name - # adres e-mail posiadacza certyfikatu (pole opcjonalne) crldistributionpoint 2.5.29.31 distributionpoint certificatepolicies 2.5.29.32 CN =TP CDP-V ldap://ldap.bptp.lodz.telekomuni-kacja.pl:389/cn=tp CDP-V,ou=CA distributionpoint TELEKOMUNIKACJA POLSKA,ou=Centrum Certyfikacji Signet,O=Grupa TELEKOMUNIKACJA POLSKA,c=PL distributionpoint - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/crl/catp.crl policyidentifier - 1.3.6.1.4.1.7999.2.201.10.1.2.5 policyqualifierid 1.3.6.1.5.5.7.2.1 qualifier 1.3.6.1.5.5.7.2.2 - - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/dokumenty/ pc_bptp_2_5.pdf Certyfikat wystawiony zgodnie z dokumentem "Polityka Certyfikacji - Bezpieczna Poczta Korporacyjna Telekomunikacja Polska. Nie jest certyfikatem do weryfikacji podpisu elektronicznego. 7.4 Profil certyfikatu dla kontrolerów domen Certyfikat kontrolerów domen, ma następującą budowę: Atrybut version 2 # certyfikat zgodny z wersją 3 standardu X.509 serialnumber signature Issuer validity subject not before not after # jednoznaczny w ramach urzędu CA TELEKOMUNIKACJA POLSKA numer, nadawany przez ten urząd 1.2.840.113549.1.1.5 #SHA1 z szyfrowaniem RSA - opis algorytmu stosowanego do podpisywania certyfikatu C = PL, O = Grupa TELEKOMUNIKACJA POLSKA, OU = Centrum Certyfikacji Signet, OU = CA TELEKOMUNIKACJA POLSKA # Nazwa wyróżniona Urzędu CA wydającego certyfikaty w ramach Polityki # Okres ważności certyfikatu # data i godzina wydania certyfikatu (GMT w formacie UTCTime) # data i godzina wydania certyfikatu + 1096 dni; lub # data i godzina wydania certyfikatu + 30 dni (wersja testowa) # (GMT w formacie UTCTime) CN = # nazwa domenowa kontrolera domeny OU = # nazwa jednostki organizacyjnej lub grupy urządzeń (pole opcjonalne) wersja 2.5 21

subjectpublickeyinfo algorithm subjectpublickey DC = # poszczególne fragmenty nazwy domeny, podane we wniosku (może występować wielokrotnie) 1.2.840.113549.1.1.1 #rsaencryption - identyfikator algorytmu, z którym jest stowarzyszony klucz publiczny posiadacza certyfikatu # klucz publiczny posiadacza certyfikatu W certyfikacie kontrolera domeny umieszczone są następujące rozszerzenia zgodne ze standardem X.509: Krytyczne? keyusage (2.5.29.15) TAK A0h # wartość podana w zapisie szesnastkowym (0) digitalsignature 1 # klucz do realizacji podpisu elektronicznego (1) nonrepudiation 0 (2) keyencipherment 1 # klucz do wymiany klucza (3) dataencipherment 0 (4) keyagreement 0 (5) keycertsign 0 (6) crlsign 0 (7) encipheronly 0 (8) decipheronly 0 extendedkeyusage 2.5.29.37 certificatetemplatename 1.3.6.1.4.1.311.20.2 authoritykeyidentifier 2.5.29.35 keyidentifier - subjectkeyidentifier 2.5.29.14 basicconstraints subjectaltname 2.5.29.17 ca - FAŁSZ othername dnsname 1.3.6.1.5.5.7.3.2 #id-kp-clientauth 1.3.6.1.5.5.7.3..1 # id-kp-serverauth DomainController # identyfikator klucza urzędu do weryfikacji podpisu pod certyfikatem # identyfikator klucza posiadacza certyfikatu umieszczonego w polu subjectpublickeyinfo # alternatywna nazwa posiadacza certyfikatu 1.3.6.1.4.1.311.25.1 = # wartość GUID podana we wniosku (uwaga!!! dopuszcza się stosowanie wyłącznie wielkich liter) # nazwa domenowa serwera, podana we wniosku rfc822name - # adres e-mail Administratora (posiadacza certyfikatu) crldistributionpoint 2.5.29.31 distributionpoint distributionpoint CN =TP CDP-S ldap://ldap.bptp.lodz.telekomuni-kacja.pl:389/cn=tp CDP-S,ou=CA TELEKOMUNIKACJA POLSKA,ou=Centrum Certyfikacji Signet,O=Grupa TELEKOMUNIKACJA POLSKA,c=PL wersja 2.5 22

certificatepolicies 2.5.29.32 Polityka certyfikacji distributionpoint - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/crl/catp.crl policyidentifier - 1.3.6.1.4.1.7999.2.201.10.1.2.5 policyqualifierid 1.3.6.1.5.5.7.2.1 qualifier 1.3.6.1.5.5.7.2.2 - - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/dokumenty/ pc_bptp_2_5.pdf Certyfikat wystawiony zgodnie z dokumentem "Polityka Certyfikacji - Bezpieczna Poczta Korporacyjna Telekomunikacja Polska. Nie jest certyfikatem do weryfikacji podpisu elektronicznego. 7.5 Profil certyfikatu oprogramowania Certyfikat oprogramowania ma następującą budowę: Atrybut Version 2 # certyfikat zgodny z wersją 3 standardu X.509 SerialNumber Signature Issuer Validity Subject not before not after subjectpublickeyinfo algorithm subjectpublickey # jednoznaczny w ramach urzędu CA TELEKOMUNIKACJA POLSKA numer, nadawany przez ten urząd` 1.2.840.113549.1.1.5 #SHA1 z szyfrowaniem RSA - identyfikator algorytmu stosowanego do elektronicznego poświadczenia certyfikatu C = PL, O = Grupa TELEKOMUNIKACJA POLSKA, OU = Centrum Certyfikacji Signet, OU = CA TELEKOMUNIKACJA POLSKA # Nazwa wyróżniona Urzędu CA wydającego certyfikaty w ramach Polityki # Okres ważności certyfikatu # data i godzina wydania certyfikatu (GMT w formacie UTCTime) # data i godzina wydania certyfikatu + 1096 dni (GMT w formacie UTCTime) C = PL, O = Grupa TELEKOMUNIKACJA POLSKA, OU = # TELEKOMUNIKACJA POLSKA CN = # nazwa podana we wniosku givenname= # imię posiadacza certyfikatu (atrybut opcjonalny) surname = # nazwisko posiadacza certyfikatu (atrybut opcjonalny) 1.2.840.113549.1.1.1 #rsaencryption - identyfikator algorytmu, z którym jest stowarzyszony klucz publiczny posiadacza certyfikatu # klucz publiczny posiadacza certyfikatu W certyfikacie umieszczone są następujące rozszerzenia zgodne ze standardem X.509: Krytyczne keyusage 2.5.29.15 TAK 80h (0) digitalsignature - 1 # klucz do realizacji podpisu elektronicznego (1) nonrepudiation - 0 wersja 2.5 23

extendedkeyusage 2.5.29.37 Polityka certyfikacji Krytyczne (2) keyencipherment - 0 (3) dataencipherment - 0 (4) keyagreement - 0 (5) keycertsign - 0 (6) crlsign - 0 (7) encipheronly - 0 (8) decipheronly - 0 authoritykeyidentifier 2.5.29.35 keyidentifier - subjectkeyidentifier 2.5.29.14 basicconstraints 2.5.29.19 ca - FAŁSZ netscapecerttype 2.16.840.1.113730.1.1 1.3.6.1.5.5.7.3.3 #id-kp-codesigning # identyfikator klucza urzędu do weryfikacji podpisu pod certyfikatem # identyfikator klucza posiadacza certyfikatu umieszczonego w polu subjectpublickeyinfo objectsigning #10h - wartość podana w zapisie szesnastkowym subjectaltname 2.5.29.17 # alternatywna nazwa posiadacza certyfikatu rfc822name - # adres e-mail osoby odpowiedzialnej za wykorzystanie certyfikatu crldistributionpoint 2.5.29.31 certificatepolicies 2.5.29.32 distributionpoint - CN =TP CDP-U ldap://ldap.bptp.lodz.telekomunikacja.pl:389/cn=tp CDP-U,ou=CA distributionpoint TELEKOMUNIKACJA POLSKA,ou=Centrum Certyfikacji Signet,O=Grupa TELEKOMUNIKACJA POLSKA,c=PL distributionpoint - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/crl/catp.crl policyidentifier - 1.3.6.1.4.1.7999.2.201.10.1.2.5 policyqualifierid 1.3.6.1.5.5.7.2.1 qualifier 1.3.6.1.5.5.7.2.2 - - http://www.bptp.lodz.telekomunikacja.pl/repozytorium/dokumenty/ pc_bptp_2_5.pdf Certyfikat wystawiony zgodnie z dokumentem "Polityka Certyfikacji - Bezpieczna Poczta Korporacyjna Telekomunikacja Polska. Nie jest certyfikatem kwalifikowanym w rozumieniu Ustawy. 7.6 Profil listy certyfikatów unieważnionych (CRL) Lista certyfikatów unieważnionych ma następującą budowę: wersja 2.5 24

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres