Obsah

Připojení ke službě Certifikáty TCS
- Administrativní úkony
  - Jmenování administrativního kontaktu
- Technické předpoklady

Připojení ke službě Certifikáty TCS

Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty TCS Trusted Certificate Service pro organizace začleněné do české sítě národního výzkumu CESNET2. Organizacím, které nejsou do sítě CESNET2 připojeny, není možné umožnit tuto službu využívat. Služba je poskytována firmou Sectigo. Následující návod popisuje připojení organizace k portálu certifikátů TCS.

Administrativní úkony

Jmenování administrativního kontaktu

Statutární zástupce organizace jmenuje své zástupce pro službu – správce služby Certifikáty TCS. Vhodnými kandidáty pro tuto funkci jsou správci IdP eduId.cz dané organizace (pokud je organizace k federaci identit eduId.cz připojena), nebo správci DNS či e-mailových služeb.

Jmenovací formulář si vygenerujete na stránce https://tcs.cesnet.cz/neworganization/. Název organizace nesmí přesáhnout 64 znaků (každý znak s diakritikou se počítá za dva znaky). Následně jej vytištěný a podepsaný statutárním zástupcem organizace doručte na adresu:

TCS RA
CESNET
Generála Píky 430/26
160 00 Praha 6

nebo do datové schránky CESNETu gn35eaq. V takovém případě lze dokument podepsat i digitálně pomocí státem uznávaného, tzv. kvalifikovaného certifikátu (dle nařízení eIDAS)). Akceptovat lze i mix podpisů (např. statutární zástupce elektronicky, správci ručně).

Pokud dokument posíláte poštou, odešlete jeho sken také elektronicky na tcs-ra@cesnet.cz. Jakmile Registrační autorita CESNET TCS obdrží jmenovací listinu, bude administrativní kontakty informovat o dalším postupu.

Služba TCS využívá identity z české akademické federace identit eduID.cz. Detailněji je vazba služby na eduID.cz popsána na samostatné stránce. Níže alespoň ve zkratce:

Serverové certifikáty

Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v eduID.cz. Pokud připojovaná organizace není členem eduID.cz, je možné používat službu mojeID. Účty v mojeID musí být ověřené.

Osobní certifikáty

Pro využívání služby osobních certifikátů TCS musí být organizace členem eduID.cz a musí mít funkční službu Poskytovatele identity (IdP). V tomto případě není použití externích identit možné.

Technické předpoklady

Služba je poskytována následujícím Poskytovatelem služeb (SP):

Služba	SP EntityID
Serverové a osobní certifikáty TCS	https://tcs.cesnet.cz/simplesaml/

Povinné atributy pro všechny typy certifikátů TCS

V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP.

givenName

Obsahuje křestní jméno uživatele podle dokladu totožnosti.

Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.42.

sn

Obsahuje příjmení uživatele podle dokladu totožnosti.

Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.4.

authMail

Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele.

Emailové adresy poskytnuté službě TCS musí být ověřeny! Organizace ručí za jejich správnost a za to, že patří danému uživateli.

Jestliže vaše organizace umožňuje uživatelům, aby si v systému IdP sami nastavovali emailové adresy, musíte zajistit, aby pro služby TCS byly uvolněny pouze adresy ověřené.

Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.2.840.113549.1.9.1. Pokud pokud má být některá z adres preferovaná, a tedy uváděná jako první v osobních certifikátech a používaná jako výchozí pro notifikace, pak ji uvádějte v jednohodnotovém pro federaci rovněž povinném atributu mail identifikovaném jako urn:oid:0.9.2342.19200300.100.1.3. Pokud organizace nedovoluje uživatelům používat více e-mailových adres, pak tu jedinou lze uvádět v atributu mail a atribut authMail neuvolňovat.

eduPersonUniqueID: Obsahuje jednoznačný identifikátor uživatele v rámci federace. Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.3.6.1.4.1.5923.1.1.1.13.

Povinné atributy pro osobní certifikáty TCS

Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy:

commonNameASCII

Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu commonName (CN) předmětu Osobního eScience TCS certifikátu.

Na úrovni SAML zprávy musí být tento atribut identifikován jako http://eduid.cz/attributes/commonName#ASCII.

Pokud nemáte ve vašem LDAPu k takto upraveným jménům přístup, je potřeba konverzi řešit na úrovni Shibboleth IdP.

Pro konverzi lze použít atribut typu Script, kde je možné pomocí JavaScriptu přistupovat k hodnotám atributů.

Následující návod předpokládá celé křestní jméno a příjmení včetně diakritiky v atributu cn. Definice atributu commonNameASCII v šabloně IDP_HOME/conf/attribute-resolver.xml vypadá takto:

<!-- commonNameASCII -->
<AttributeDefinition xsi:type="ScriptedAttribute" id="commonNameASCII">
    <InputAttributeDefinition ref="cn"/>
    <AttributeEncoder xsi:type="SAML2String" name="http://eduid.cz/attributes/commonName#ASCII" friendlyName="commonNameASCII"/>
    <Script>
    <![CDATA[
        load("nashorn:mozilla_compat.js");                                                                      
 
        importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider);
        importPackage(Packages.java.lang);
        importPackage(Packages.java.text);
 
        if(cn.getValues().size() > 0) {
            originalValue = cn.getValues().get(0);
            asciiValue = Normalizer.normalize(originalValue, Normalizer.Form.NFD).replaceAll("\\p{InCombiningDiacriticalMarks}+", "");
            commonNameASCII.getValues().add(asciiValue);
       }
    ]]>
    </Script>
</AttributeDefinition>

unstructuredName

Každému uživateli musí IdP přidělit unikátní identifikátor. Tento identifikátor musí zůstat pro daného uživatele konstantní a nesmí být nikdy, ani v budoucnosti, přiřazen jinému uživateli.

Některá IdP mají v repertoáru atribut s těmito vlastnostmi, jiná jej musí pro účely TCS vytvořit. Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.2.840.113549.1.9.2.

Tento identifikátor se u osobních certifikátů objeví přímo v poli CN. Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance.

eduPersonEntitlement

Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS rozeznává tyto hodnoty:

Hodnota	Oprávnění
urn:mace:terena.org:tcs:personal-user	Žádat o běžný osobní certifikát TCS
urn:mace:terena.org:tcs:escience-user	Žádat o osobní eScience certifikát TCS (momentálně nedostupný)

Na úrovni SAML zprávy musí být tento atribut identifikovan jako urn:oid:1.3.6.1.4.1.5923.1.1.1.7. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky:

Organizace ověřila totožnost uživatele na základě předložení platného občanského průkazu, platného cestovního pasu nebo ekvivalentního dokladu.
Od ověření totožnosti do okamžiku podání žádosti o certifikát byl účet uživatele v IdP organizace prokazatelně přiřazen danému uživateli.
Všechny informace vyžadované službou TCS jsou ověřené a správné.

Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu eduPersonEntitlement organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny.

Nepovinné atributy pro certifikáty TCS

telephone

Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný.

Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.20.

Diagnostika atributů

Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: https://tcs.cesnet.cz/attributes/

CESNET PKI

Postranní lišta