Manual de operación de una RA

pkIRISGrid CA


1. Índice

  • 1. Índice
  • 2. Administración de una RA
    • 2.1 Creación de una RA
    • 2.2 Política de una RA
    • 2.3 Alta de un operador
    • 2.4 Baja de un operador
    • 2.5 Modificación de datos de un operador
  • 3. Operación de una RA
    • 3.1 Gestión de solicitudes
    • 3.1.1 Aprobar/Denegar solicitudes
    • 3.2 Exportación de solicitudes a la CA
    • 3.3 Revocación de un certificado
    • 3.4 Cambio de responsable de certificado de servidor
    • 3.5 Estadísticas
  • 4. Auditoría de una RA
    • 4.1 Auditoría de procedimientos
    • 4.2 Auditoría de datos
      • 4.2.1 Documentación requerida
      • 4.2.2 Envío de la documentación
    • 4.3 Auditoría del personal de operación de la RA

2. Administración de una RA

2.1 Creación de una RA

Las autoridades de registro (RA) de pkIRISGrid se encuentran alojadas en los servidores de RedIRIS y, por ello, la gestión es muy simple. No requiere de desarrollo software por parte de la institución que la gestiona ya que se gestiona vía web.

Antes de dar de alta una RA hay que cumplir una serie de requisitos.

2.2 Política de una RA

El administrador de la RA debe enviar la política de la RA a RedIRIS antes de que se cree la RA.

Se puede tomar como ejemplo la plantilla para la creación de la política de una RA disponible en la sección de documentación.

2.3 Alta de un operador

El acceso al interface de operación de la RA (IORA) se realiza a través de SIR. Por ello es necesario que la institución que gestiona la RA esté dada de alta en SIR.

Cada uno de los operadores debe enviar un documento de condiciones de uso de operación de la RA. Si el administrador de la RA desea actuar también como operador deberá enviar su propio documento.

Las direcciones de correo de los operadores serán incorporadas en la lista de correo de adminitradores de RAs de pkIRISGrid

2.4 Baja de un operador

El proceso de baja de un operador de RA de pkIRISGrid es el siguiente:

  • Denegación de acceso a operar la RA

    La institución a la que pertenece el operador de la RA le deniega el acceso a operar la RA. Para ello basta con que elimien el valor

    urn:mace:rediris.es:entitlement:pkirisgrid:rat[Num]:oper

    del atributo ePE que daba el acceso a operar la RA.

  • Aviso a RedIRIS

    El administrador de la RA debe enviar un mail a RedIRIS informando de que la persona que operaba la RA se da de baja.

    RedIRIS eliminará a dicha persona de la base de datos de operadores de RA y de las listas de correo asociadas

Más información

2.5 Modificación de datos de un operador

Si se desean modificar los datos de un operador de RA debe enviarse un CUSO de modificación de datos de operación

3. Operación de una RA

Mostramos, a continuación, las tareas (2 y 4) que debe realizar el operador de la RA en el flujograma de una solicitud de certificado:

  1. Solicitud del certificado

    Para ello el usuario debe usar el interface web disponible para su RA XX en https://pki.irisgrid.es/ratXX/

  2. Identificación del solicitante

    El usuario se identifica ante el operador de la RA en una reunión presencial en la que debe realizarse la validación de la identidad del solicitante, su pertenencia a la organización y a un grupo de investigación relacionado con la e-Ciencia, y que realmente es la persona que realizó la solicitud puesto que posee la clave privada asociada al certificado que está solicitando.

  3. Gestión de la solicitud en la RA

    El operador, mediante su interface de operación, aprueba la solicitud una vez que ha comprobado todos los datos necesarios del usuario. En caso de que haya algún problema en la comprobación de los mismos deberá denegar la solicitud.

    Por la mañana, los operadores de las RAs con solicitudes pendientes de gestionar reciben un mail con el listado de dichas solicitudes.

    Para gestionarlas el operador debe usar el interface disponible en la dirección: https://pki.irisgrid.es/ratXX/oper/

    El operador establece una reunión cara a cara con el solicitante en la que realiza las comprobaciones oportunas para la validación de la solicitud tal y como especifica en su política.

    Una vez realizada la reunión valida/deniega la solicitud.

  4. Exportación de las solicitudes aprobadas a la CA

    El operador envía todas las solicitudes aprobadas a la CA para que sean firmadas.

    Es recomendable enviar todas las solicitudes validadas en el mismo día al final de la jornada. De esta forma la CA recibirá un grupo de solicitudes de la misma RA cada día y facilita las tareas de operación de la CA.

  5. Gestión de las solicitudes en la CA

    Una vez que el operador de la CA recibe las solicitudes las firma y se avisa automáticamente a los usuarios.

  6. Descarga del certificado

    El usuario descarga el certificado en el mismo navegador donde realizó la solicitud. Una vez en el navegador podrá exportarlo a un fichero con formato PKCS#12 si fuese necesario para usarlo fuera del navegador.

Además de las tareas 2 y 4, es necesaria la asistencia a las reuniones de coordinación de operadores de RAs.

El operador de la RA puede operar con ella desde el sitio web de pkIRISGrid mediante el Interface de Operación de RA (IORA). Acuda a la página de su RA de la forma descrita al principio del manual, y proceda a identificarse.

3.1 Gestión de solicitudes

En este apartado se presentan las diferentes operaciones que puede realizar un operador de RA. Básicamente, un operador de RA debe aprobar o denegar solicitudes de certificados, solicitar a la CA que firme los certificados aprobados, y, en algunos casos, solicitar a la CA la revocación de certificados.

3.1.1 Aprobar/Denegar solicitudes

Para aprobar o denegar solicitudes o renovaciones de certificado, siga el enlace "Gestión de CSRs". Llegará a la siguiente pantalla:

Esta pantalla tiene dos secciones. En la primera el usuario define una búsqueda de solicitudes de los certificados, y en la segunda se presentan los resultados de la búsqueda. En tipo de búsqueda se puede elegir entre los siguientes tipos:

  • CSR Nueva o Certificado pendiente de renovación.
  • CSR Nueva.
  • CSR Aprobada.
  • CSR Enviada.
  • CSR Borrada.
  • Certificados Emitidos.
  • Certificados pendientes de revocación.
  • Certificados revocados.
  • Certificados pendientes de renovación.

Por defecto se realiza una búsqueda de la primera categoría de forma que salgan todas las CSR pendientes de aprobación o renovación. Aparecen con algunos detalles y un enlace en la sección "Resultados de Consulta".

Aunque siempre puede consultar las solicitudes pendientes de esta manera, los administradores de la RA recibirán todos los días un email con un listado de solicitudes pendientes de tratar (aprobar, denegar), similar a éste:

Buenos días. 
A continuación le mostramos los DNs de las solitudes pendientes de gestionar en 
su RA:

Fecha solicitud  Subject DN 
 ---------------  ---------------------------------------------------- 
   13/08/2013     dc=es,dc=irisgrid,o=rediris,cn=Prueba1

Un saludo 
---------------------------------------------------------------------- 
pkIRISGrid CA Team                               Tel: +34 95 505 66 23 
Red.ES/RedIRIS                                   Fax: +34 95 505 66 27 
Edificio CICA. Avenida Reina Mercedes, s/n       http://www.rediris.es 
41012 Sevilla. Spain 

De esta forma, no hay que entrar en la página de administrador de la RA todos los días para comprobar si tiene nuevas solicitudes pendientes.

En la captura de pantalla se puede apreciar que aparece un certificado solicitado

Siguiendo el enlace de las CSR pendiente, llegamos a la siguiente pantalla:

Se pueden consultar aquí más detalles del certificado. En los casos de aprobación, estarán presentes también una caja de texto y un botón para comprobar el pin del certificado, y dos botones para aprobar o denegar la solicitud. En los casos de renovación, no estarán el botón y el cuadro de texto del pin.

Antes de continuar, el operador de la RA debe verificar la identidad del solicitante, y si tiene autorización para obtener el certificado, de acuerdo con la política de la RA y la política de pkIRISGrid.

Debe verificarse que el Código de verificación impreso en el documento de validación de la CSR que le entregará el usuario solicitante coincide con el que se muestra en la web.

La caja y el botón para comprobar el PIN son para ayudar a la decisión del operador de la RA. Se puede tanto aprobar una solicitud como denegarla sin introducir el pin del certificado. Antes de aprobar o denegar la solicitud, se le preguntará si está seguro con un diálogo como el siguiente:

Tras esto, aparece la siguiente pantalla de verificación:

3.2 Exportación de solicitudes a la CA

Cuando una CSR se aprueba, no se envía directamente a la CA. En lugar de eso, se envia un conjunto de CRS's aprobadas en un mismo paquete. De esta forma, cuando se realizan muchas solicitudes cercanas en el tiempo (por ejemplo de varias máquinas en un grid, o de varios usuarios que se incorporan a un centro al mismo tiempo) se le envía a la CA una sola solicitud que contiene todas las solicitudes de certificado, agilizando así los trámites.

En este apartado se muestra como se emiten a la CA todas las solicitudes de certificado aprobadas por la RA hasta el momento -que no hayan sido enviadas antes. Para ello, desde la página de administrador de la RA, elegimos la segunda operación disponible en la sección de operaciones de la RA; "Exportar CSRs aprobadas a la Autoridad de Certificación". Seguidamente, pasamos a una pantalla en la que vemos las CSR aprobadas que se van a enviar a la CA:

En este ejemplo sólo aparece una, pero como ya se ha comentado, aquí deben aparecer todas las solicitudes de certificado aprobadas desde que se envió el último paquete a la CA.

Pulse "Enviar a la CA" para enviar el paquete de CSRs para su firma. Obtendrá la siguiente pantalla de confirmación:

3.3 Revocación de un certificado

La revocación de un certificado por parte del operador de RA se realiza por parte del operador de la RA de forma similar a como lo hace el usuario. La única diferencia es que si se está previamente identificado como operador no hace falta introducir el pin del certificado. De esta forma un operador puede revocar un certificado a petición de un usuario, si no recuerda el pin.

3.4 Cambio de responsable de certificado de servidor

Cuando el responsable de un certificado de servidor deja de ser responsable del mismo no siempre es necesaria la revocación del certificado.

Es posible realizar el cambio de datos de responsable desde la opción correspondiente de IORA. Para ello deberá introducir los siguientes datos:.

  • Identificador IRISGrid
  • Identificador del certificado (a99b99c99)

3.5 Estadísticas

pkIRISGrid proporciona un servicio de estadísticas que permite a cada operador de RA conocer los siguientes indicadores:

Solicitudes Usuario Servidor Total
Nuevas - - -
Renovaciones - - -
Rechazadas - - -
Certificados emitidos - - -
Expiraciones
Revocaciones - - -
Expirados - - -
Más de un año desde su firma
(expirados pero no marcados como expirados)
- - -
Certificados válidos
Renovaciones pendientes
(Caducan en menos de un mes)
- - -
Certificados válidos - - -

4. Auditoría de una RA

El proceso de auditoría de una RA consta de tres partes, auditoría de procedimientos, de datos y del personal de operación de la RA.

4.1 Auditoría de procedimientos

Su objetivo es la compronación de que la RA tiene correctamente definidos todos los procedimientos necesarios para llevar a cabo las labores de operación de la RA.

Dichos procedimientos se especifican en la política de la RA y la comprobación se realiza antes de dar de alta la RA en el sistema.

4.2 Auditoría de datos

El objetivo de esta auditoría es verificar que se realizan las comprobaciones oportunas a la hora de la validación de la identidad del solicitante, su pertenencia a la organización y a un grupo de investigación relacionado con la e-Ciencia, y que realmente es la persona que realizó la solicitud puesto que posee la clave privada asociada al certificado que está solicitando.

Para ello la RA proporcionará las pruebas necesarias de estas comprobaciones para un grupo de certificados seleccionados. Cada año se auditarán, en principio, dos certificados por RA, uno de usuario y otro de servidor que hayan sido emitidos en el año en cuestión.

4.2.1 Documentación requerida

  • Autenticación del solicitante (reunión presencial con operador)

    • Prueba de la reunión cara a cara en la primera solicitud, tras una revocación, expiración o después de cada N renovaciones.

      Se requerirá fotocopia del documento acreditativo de la identidad donde aparezca la fotografía del solicitante. Pueden taparse los datos sensibles como el número del documento, fecha de nacimiento, localidad, ...

      El documento presentado debe venir firmado tanto por el operador como por el solicitante.

  • Verificación del solicitante (pertenencia a la institución)

  • Prueba de que el solicitante es la persona que realizó la solicitud del certificado (está en posesión de la clave privada)

    • Solicitudes nuevas: desde mayo de 2012 todas las nuevas solicitudes de certificado generan un documento PDF que será necesario imprimir por el solicitante y terminar de cumplimentar en presencia del operador de la RA. La RA debe almacenar copia de dicho documento ya que se solicitará en la auditoría de datos anual.
    • Renovaciones: es necesario guardar una copia de la captura de pantalla impresa que el solicitante muestra al operador. Esta captura de pantalla contiene la CSR e información sobre la solicitud.

4.2.2 Envío de la documentación

  • Envío por un mail por cada certificado a auditar a pkirisgrid-ca@rediris.es
  • Documentos escaneados en PDF
    • Cada mail debe contener la información de un sólo certificado
    • El subject debe comenzar por la cadena "pkig-audit-" y a continuación el código del certificado (aXbYcZ) de forma que el subject quede como: pkig-audit-aXbYcZ
    • Los ficheros PDF que contenga el mensaje deben nombrarse comenzando con la cadena "aXbYcZ-" para facilitar las tareas de gestión

4.3 Auditoría del personal de operación de la RA

El objetivo de esta auditoría es el mantenimiento de los lazos de confianza existentes entre la CA y la RA. Para ello es necesario mantener reuniones cara a cara entre los operadores de la CA con los de la RA. Se han establecidos varios mecanismos para permitir estas reuniones:

  • Reunión presencial periódica en las Jornadas Técnicas coincidiento con la reunión anual de operadores de RAs
    Se mantendrá un control de asistencia a las reuniones de operación de RAs
  • Reunión dedicada a auditoría de RAs coincidiento con los Grupos de Trabajo de RedIRIS.
    • No aparecerá en el programa de los Grupos
    • Se procederá a auditar a las RAs con las que previamente se haya quedado
    • Los responsables de la CA estarán disponibles en una sala para atender las consultas de los operadores que así lo deseen una vez que se hayan finalizado las auditorías
  • Visita de los operadores de la CA a una RA coincidiendo con algún evento
  • Otras formas de auditoría
    • ¿Videoconferencia?
    • ¿Auditoría telefónica?
Finalización de pkIRISGrid CA