Raport. Projekt metod współpracy usługi LDAP z. Wbudowanie elementów umożliwiajacych integrację z europejskim projektem NASTEC



Podobne dokumenty
Polityka Certyfikacji Unizeto CERTUM CCP Wersja 1.27 Data: 14 styczeń 2001 Status: poprzednia

Polityka Certyfikacji dla Certyfikatów PEMI

Opis zmian funkcjonalności platformy E-GIODO wprowadzających możliwość podpisania wniosku bezpośrednio w oknie przeglądarki.

DOTACJE NA INNOWACJE

- 1 Laboratorium fotografii cyfrowej Foto Video Hennig

REFERAT PRACY DYPLOMOWEJ

Dokumentacja użytkownika systemu wnioskowania i zarządzania certyfikatami BPTP O3 w systemie ITIM Wersja 2.1

Szczegółowa specyfikacja funkcjonalności zamawianego oprogramowania.

Instrukcja odnawiania certyfikatów. przez stronę elektronicznypodpis.pl

A co to jest LDAP. Dariusz Żbik Remigiusz Górecki

Instalacja przeglądarki FIREFOX OnLine FRSE KROK PO KROKU

PROJEKTY PK. Instrukcja użytkownika. System informatyczny. wersja 1.0

PUE ZUS Wysyłka elektronicznych zapytan. Instrukcja wysyłki zapytań do ZUZ-PUE za pomocą aplikacji Komornik SQL

Instrukcja. importu dokumentów. z programu Fakt do programu Płatnik. oraz. przesyłania danych do ZUS. przy pomocy programu Płatnik

Bezpieczeństwo bez kompromisów

Ćwiczenie 8 Implementacja podpisu cyfrowego opartego na standardzie X.509

Projekt Hurtownia, realizacja rejestracji dostaw produktów

OpenSSL - CA. Kamil Bartocha November 28, Tworzenie CA przy użyciu OpenSSL

KRÓTKI PRZEWODNIK Z ZAKRESU OBSŁUGI APLIKACJI PB ONLINE

WPROWADZENIE DO BAZ DANYCH

TRX API opis funkcji interfejsu

Jak zamówić zdjęcia przez FotoSender?

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Infrastruktura klucza publicznego w sieci PIONIER

Podręcznik użytkownika Publikujący aplikacji Wykaz2

CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji. Gracjan Jankowski, Maciej Brzeźniak, PCSS

Plan. Formularz i jego typy. Tworzenie formularza. Co to jest formularz? Typy formularzy Tworzenie prostego formularza Budowa prostego formularza

elektroniczna Platforma Usług Administracji Publicznej

Centrum Informacji Społeczno-Gospodarczej

Zastosowania PKI dla wirtualnych sieci prywatnych

1. Pobieranie i instalacja FotoSendera

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 2.4 Data: 19 maja 2006 Status: poprzedni

Instrukcja użytkowania Systemu zamawiania identyfikacji wizualnej samochodów testowych dealerów SI.DATEXA.COM

OPIS PRZEDMIOTU ZAMÓWIENIA

Bezpieczeństwo bez kompromisów

INSTRUKCJA UŻYTKOWNIKA Podpis cyfrowy ISO 9001:2008 Dokument: Wydanie: Podpis cyfrowy. Spis treści... 1

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),

Bydgoskie Centrum Archiwizacji Cyfrowej sp. z o.o.

PUE ZUS Wysyłka elektronicznych zapytan. Instrukcja wysyłki zapytań do ZUZ-PUE za pomocą aplikacji Komornik SQL

THINK PROJECT! USER PORTAL

Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER

Budowa aplikacji ASP.NET współpracującej z bazą dany do obsługi przesyłania wiadomości

Dokumentacja Użytkownika Systemu. Integracja z Okazje.info, Skąpiec, Sklepy24

OfficeObjects e-forms

Instrukcja pobrania i instalacji. certyfikatu Premium EV SSL. wersja 1.4 UNIZETO TECHNOLOGIES SA

Polityka Certyfikacji Unizeto CERTUM CCP Wersja 2.0 Data: 15 lipiec 2002 Status: poprzedni

Projekt Hurtownia, realizacja rejestracji dostaw produktów

Instrukcja użytkownika

Panel Mobilny. System Ankiet na urządzeniach mobilnych... Wprowadzenie. Ekran główny

Spis treści. Dzień 1. I Konfiguracja sterownika (wersja 1410) II Edycja programu (wersja 1406) III Środowisko TIA Portal (wersja 1410)

Zintegrowany system usług certyfikacyjnych. Dokumentacja użytkownika. Obsługa wniosków certyfikacyjnych i certyfikatów. Wersja dokumentacji 1.

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 3.2 Data: 7 października 2011 Status: poprzedni

Dokumentacja użytkownika systemu wnioskowania i zarządzania certyfikatami BPTP O3 w systemie ITIM Wersja 2.2

Bezpieczeństwo bez kompromisów

Instrukcja pobierania i weryfikacji zaświadczeń elektronicznych w portalu internetowym Polskiej Izby Inżynierów Budownictwa

Bezpieczeństwo bez kompromisów

Po uzupełnieniu informacji i zapisaniu formularza, należy wybrać firmę jako aktywną, potwierdzając na liście dostępnych firm klawiszem Wybierz.

ZAPYTANIE OFERTOWE z dnia

Dokumentacja Użytkownika Systemu

Monitoring procesów z wykorzystaniem systemu ADONIS. Krok po kroku

Bezpieczeństwo bez kompromisów

Proces obsługi walnego zgromadzenia z perspektywy KDPW

Implementacja prototypu modułu dostępu do danych SkOs przy pomocy protokołu LDAP

PHICS - Polish Harbours Information & Control System Dokumentacja użytkownika System weryfikacji autentyczności polskich dokumentów marynarzy

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 3.4 Data: 01 czerwiec 2015 Status: aktualny

INSTRUKCJA OBSŁUGI PROGRAMU

3.0. Poznaj najnowsze udoskonalenia platformy XPRIMER! Zobacz wizualne zmiany platformy! INTERAKTYWNOŚĆ MOBILNOŚĆ ELASTYCZNOŚĆ ERGONOMIA

Dokumentacja techniczna API systemu SimPay.pl

WPROWADZANIE ZLECEŃ POPRZEZ STRONĘ INSTRUKCJA UŻYTKOWNIKA

WYKONAWCY. Dotyczy: przetargu nieograniczonego na budowę wortalu i systemu poczty elektronicznej PIP

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Bezpieczeństwo bez kompromisów

Polityka Certyfikacji Niekwalifikowanych Usług Unizeto CERTUM Wersja 2.2 Data: 09 maja 2005 Status: poprzedni

Polityka Certyfikacji Niekwalifikowanych Usług CERTUM Wersja 3.0 Data: 19 października 2009 Status: aktualny

Instrukcja złożenia wniosku o wydanie karty ŚKUP przy pomocy tokena

Krzysztof Kadowski. PL-E3579, PL-EA0312,

Naso CC LITE klient CTI/ statystyki połączeń dla central Platan. CTI Solutions

Rejestracja w serwisie martwekontabankowe.pl...2 Proces zamawiania usługi w serwisie martwekontabankowe.pl...4

Bezpieczeństwo bez kompromisów

Instrukcja użytkownika

Warszawa, 4 wrzesień 2013r.

DOTACJE NA INNOWACJE

Bezpieczeństwo bez kompromisów

INSTRUKCJA UŻYTKOWNIKA. Zamówienie zestawu z certyfikatem kwalifikowanym i odnowienie certyfikatu. Wersja dokumentacji 1.1 UNIZETO TECHNOLOGIES SA

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Podpis elektroniczny Teoria i praktyka. Stowarzyszeni PEMI

Podręcznik użytkownika

Bezpieczeństwo bez kompromisów

XTrack SKOG: Nowoczesny system kontroli Operatorów w ramach wykonywanych zadań związanych z odbiorami odpadów na rzecz miasta i gminy..

INSTRUKCJA UŻYTKOWNIKA Podpis cyfrowy ISO 9001:2008 Dokument: Wydanie: Podpis cyfrowy

Instrukcja odnawiania certyfikatów. przez stronę elektronicznypodpis.pl

Dokumentacja użytkownika systemu wnioskowania i zarządzania certyfikatami BPTP w systemie ITIM Wersja 2.2

W dalszej części dokumentu przedstawiamy skrócony opis kluczowych funkcji systemu. Niniejszy dokument nie zawiera opisu technicznego systemu.

Bezpieczeństwo bez kompromisów

E-administracja. Korzystanie z Elektronicznej Platformy Usług Administracji Publicznej

3. Budowa prostych raportów opartych o bazę danych

Bezpieczeństwo bez kompromisów

Transkrypt:

Projekt metod współpracy usługi LDAP z infrastruktura kluczy publicznych (PKI) Wbudowanie elementów umożliwiajacych integrację z europejskim projektem NASTEC Maciej Dyczkowski Tomasz Kowal Agnieszka Kwiecień WCSS, PWr Wstęp Zgodnie z założeniami projektu LDAP użytkownik może przechowywać w bazie wiele adresów email i wiele certyfikatów. Polityka ceryfikacji Polskiego Centrum Certyfikacji EuroPKI zakłada, że publikowane mają być wszystkie certyfikaty: aktualne, poza terminem ważności, unieważnione. Certyfikaty publikowane są zaraz po wydaniu. Ponieważ większość certyfikatów wydawanych przez Polskie Centrum Certyfikacji EuroPKI, wydawanych jest dla pracowników Politechniki Wrocławskiej, ich certyfikaty mogą być umieszczane w drzewie o=politechnika Wrocławska,c=PL. Scenariusze Opisane tutaj scenariusze definiują sytuacje obsługiwane w ramach tego zadania. Pozwalają one zidentyfikować punkty styku systemów (LDAP, EuroPKI) zaangażowanych w dostarczanie wymaganych funkcjonalności oraz procedury postępowania w konkretnych przypadkach. Procedury te są ważne szczególnie ze względu na konieczność angażowania wielu aktorów, w tym bezpośrednio użytkownika (rozumianego jako właściciela certyfikatu EuroPKI). 1

Scenariusz 1 Wydanie nowego certyfikatu. 1. Polskie Centrum Certyfikacji EuroPKI otrzymuje zlecenie certyfikacji od użytkownika z prośbą o Certyfikat oraz wymagane do certyfikacji dokumenty (zgłoszenie zawiera m.in. Imię, Nazwisko, adres email, organizację oraz jednostkę organizacyjną dla której wydawany jest certyfikat), 2. Jeżeli dane w zgłoszeniu są poprawne i dokumenty zostaną zweryfikowane poprawnie, certyfikat zostaje wydany, 3. Dodanie certyfikatu do bazy EuroPKI, 4. Dodanie certyfikatu do bazy LDAP. Zakłada się, że tylko adres email zawarty w certyfikacie jest elementem niepowtarzalnym, jednoznacznie identyfikującym użytkownika w bazie LDAP. Notatka: Wynika to z faktu braku kodowania unicode we Włoskim oprogramowaniu CA Backend i CA Frontend, co powoduje różnice pomiędzy DN w certyfikacie a tym występujacym w drzewie LDAP o=politechnika Wrocławska,c=PL. Obecnie prowadzone sa prace nad modifikacja oprogramowania. a. przeszukuj bazę LDAP w poszukiwaniu adresu email użytkownika, zawartego w Certyfikacie i. jeżeli znajdziesz email w bazie LDAP, dodaj certyfikat i powiadom użytkownika o wydaniu Certyfikatu i dodaniu go do jego danych w bazie LDAP, ii. jeżeli nie znajdziesz emaila w bazie LDAP, powiadom użytkownika o wydaniu Certyfikatu i niepowodzeniu w umieszczeniu go w bazie LDAP. Mogą być dwie przyczyny niepowodzenia: 1. nie ma użytkownika w bazie LDAP, 2.użytkownik nie chce publikować maila, dla którego przyznany jest Certyfikat i nie podał go w ankiecie LDAP. W obydwu przypadkach użytkownik może przejść procedurę wypełniania ankiety w celu dodania/modyfikacji wpisu do bazy LDAP i dzieje się to na jego inicjatywę (scenariusz 2). 2

Scenariusz 2 Użytkownik chce dodać posiadany certyfikat dla niepublikowanego w bazie LDAP adresu email. 1. Użytkownik wypełnia ankietę LDAP odpowiednio aktualizując dane (w tym adres email) i dostarcza je do osoby odpowiedzialnej za aktualizację danych w bazie LDAP 2. Certyfikat dodawany jest do bazy LDAP przy najbliższej aktualizacji certyfikatów (scenariusz 3). Scenariusz 3 Automatyczna aktualizacja certyfikatów Zakłada się, że ze względu na politykę bezpieczeństwa (należy odpowiednio szybko aktualizować dane o certyfikatach) automatyczna aktualizacja informacji o certyfikatach wyzwalana będzie czasem (np. cron) i przeprowadzana raz dziennie, niezależnie czy i ile certyfikatów w tym czasie zostało wydanych, unieważnionych czy przeterminowało się. Dla wszystkich certyfikatów (zawartych w nich adresów email) znajdujących się w bazie EuroPKI (wydane, unieważnione,...) przeszukiwana jest baza LDAP i jeżeli znaleziony zostanie użytkownik z adresem email takim jak zawarty w certyfikacie: 1. Sprawdzony zostanie wpis w bazie LDAP dla tego użytkownika, i w zależności od tego, czy użytkownik posiada już certyfikaty a. Użytkownik posiada certyfikaty i. Certyfikaty są pobierane z bazy LDAP ii. Zostaje dokonane porównanie pobranych certyfikatow z certyfikatem bieżącym A. Jeśli taki certyfikat jest już w bazie LDAP operacja jest przerywana B. Jeśli nie certyfikat bieżący jest dodawany b. Użytkownik nie posiada certyfikatów, certyfikat bieżący jest dodawany do wpisu użytkownika Scenariusz 4 Poszukiwanie emaila i certyfikatu danego użytkownika. Szukający przegląda przez interfejs www bazę LDAP i znajduje rekord użytkownika. Użytkownik posiada kilka adresów email i kilka certyfikatów. Szukający ma możliwość jednoznacznie wybrać adres email i odpowiadający mu certyfikat. Szukający ma możliwość przeglądania wszystkich certyfikatów tego użytkownika oraz może rozróżnić certyfikaty ze względu na ich ważność (aktualność). 3

Zakres prac Aby spełnić wymagania opisane w scenariuszach potrzebne są prace w następującym zakresie: 1. modyfikacja interfejsu www bazy LDAP w celu wyświetlania informacji o certyfikatach w sposób pełny i jednoznaczny (scenariusz 4) 2. modyfikacja narzędzi PKI aby uwzględniały wstawianie Certyfikatu do bazy LDAP po jego wydaniu (scenariusz 1 punkt 4) 3. stworzenie narzędzia do automatycznej aktualizacji certyfikatów publikowanych w bazie LDAP (scenariusz 3, 2) Ogólne założenia projektowe: Do przechowywania w LDAP informacji o certyfikatach użytkownika zastosowano klasę obiektów inetorgperson. Certyfikaty składowane są tam jako wartości atrybutu usercertificate ze schematu Core: attributetype ( 2.5.4.36 NAME usercertificate DESC RFC2256: X.509 user certificate, use ;binary SYNTAX 1.3.6.1.4.1.1466.115.121.1.8 ) Certyfikaty użytkownika przekazywane są do LDAP w formacie binarnym der W bazie LDAP przechowywane są certyfikaty wydawane przez EuroPKI. W przypadku wstawienia do bazy certyfikatu podpisanego przez inne CA (ang. Certificate Authority) jego ważność będzie nieweryfikowalna. Stan w jakim może znajdować się certyfikat przechowywany w bazie LDAP (ze względu na ważność): ważny, poza terminem ważności (nie nabrał ważności lub stracił ważność), unieważniony przez EuroPKI, nieokreślony (nie można zweryfikować ważności certyfikatu). Dla potrzeb Polskiego Centrum Certyfikacji EuroPKI zastanie stworzone oddzielne drzewo o=europki,c=pl (planowana nazwa serwisu ldap.europki.pl), w którym będą przechowywane: Certyfikat Polskiego Centrum Certyfikacji EuroPKI, obecnie przechowywany w klasie certificationauthority: objectclass ( 2.5.6.16 NAME certificationauthority DESC RFC2256: a certificate authority SUP top AUXILIARY MUST ( authorityrevocationlist $ certificaterevocationlist $ cacertificate ) MAY crosscertificatepair ) bieżąca lista unieważnionych CRL certyfikatów w atrybutach authorityrevocationlist, certificaterevocationlist klasy certificationauthority certyfikaty podrzednych urzędów certyfikacji wraz z bieżącą listą unieważnionych certyfikatów CRL przechowywane w klasie jak wyżej 4

docelowo certyfikaty CA będą przechowywane w nowocześniejszej klasie pkica, jak zostało to opisane w raporcie "Projekt schematu bazy (klasy obiektów, atrybuty) dla potrzeb ogólnopolskiej usługi LDAP:zdefiniowanie dodatkowych klas obiektów i atrybutów wymaganych przez projekt IST NASTEC" drzewo o=europki,c=pl ma zostać wykorzystane jako źródło informacji dla Online Certificate Status Protocoll (OCSP). Rozszerzenie funkcjonalności interfejsu WWW bazy LDAP Interfejs WWW zostanie rozszerzony o dwie dodatkowe funkcjonalności: 1. Wyświetlanie listy WAŻNYCH certyfikatów dla każego adresu email danego użytkownika 2. Wyświetlanie listy WSZYSTKICH certyfikatów danego użytkownika Założenia ad.1: ważność certyfikatów użytkownika dla każdego adresu email jest weryfikowana przed wyświetleniem rekordu danych użytkownika (funkcje openssl) wyświetlane są tylko ważne certyfikaty dla każdego adresu email użytkownika Założenia ad.2: Lista wszystkich certyfikatów uporządkowana jest według terminów wydania certyfikatów. Dla każdego certyfikatu podany jest adres email, dla którego wydany został certyfikat. Wyświetlany jest numer seryjny każdego certyfikatu (ang. Serial Number), pozwala on na jednoznaczną identyfikację certyfikatu użytkownika, co może być przydatne w przypadku zgłaszania ewentualnych problemów do Centrum Certyfikacji. wyświetlany jest termin nabrania ważności i termin utraty ważności każdego certyfikatu, aby wiadomo było w jakim okresie można certyfikatu używać oraz aby właściciel certyfikatu mógł odpowiednio wcześnie zgłosić do Centrum Certyfikacji chęć odnowienia certyfikatu. Symbole certyfikatów: Przewiduje się, ze certyfikaty prezentowane będą w formie graficznej, co ułatwi użytkownikowi szybką ocenę stanu ważności każdego z nich. Powinna istnieć możliwość szybkiego pobrania certyfikatu przez przeglądarkę za pomocą kliknięcia w wybrany symbol. Przeglądarka powinna natomiast rozpoznawać pobierane dane jako dane certyfikatu. 5

Tabela 1. symbole certyfikatów ważny nie można zweryfikować ważności poza okresem ważności / unieważniony przez EuroPKI Modyfikacja interfejsu WWW W celu osiągnięcia zamierzonej funkcjonalności istniejący interfejs WWW (utworzony w PHP) zostanie rozszerzony o poniższe funkcje: 1. pobierającą certyfikaty z bazy LDAP i przetwarzającą je na wewnętrzny format base64 2. pobierającą wybrane informacje z certyfikatu (takie jak data ważności czy adres e-mail) 3. weryfikującą ważność certyfikatu 4. wyśwetlającą certyfikat z możliwością pobrania go do przeglądarki Ad. 1: Certyfikaty w bazie LDAP przechowywane są w formacie binarnym, dlatego do ich pobrania konieczne będzie wykorzystanie odrębnych funkcji php. Dane będą też przekazywane w parametrach GET protokołu HTTP, dlatego celowa wydaje się konwersja tych danych do formatu base64. Ad. 2: Dane takie jak adres e-mail, numer seryjny lub data ważności są zakodowane w certyfikacie protokołem X509 i mogą zostać odczytane za pomocą odpowiednich funkcji openssl. Pewnych funkcji obsługi certyfikatów dostarcza php-openssl, lecz jest to jeszcze produkt niestabilny i wciąż ma duże braki. Alternatywę stanowią wywołania systemowe komend openssl z odpowiednimi parametrami. Ad. 3: Podobnie jak w przypadku funkcji X509, również weryfikacja certyfikatu musi odbywać się z wykorzystaniem wywołań komend systemu operacyjnego. Dodatkowo przewiduje się sprawdzenie, czy numer seryjny certyfikatu nie widnieje na liście cofniętych certyfikatów (CRL) - w takim bowiem przypadku certyfikat zostanie uznany za nieważny. Ad. 4: Funkcje wyświetlające certyfikat korzystać będą z opisanych w punkcie 3 metod weryfikacji w celu pobrania odpowiedniego symbolu. 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres