Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:tcs-admin.html [2019/04/29 08:52] jop@cesnet.cz [Povinné atributy pro osobní certifikáty TCS] |
cs:tcs-admin.html [2020/10/30 20:43] baee97d5d97113913170ad080119406e06532118@einfra.cesnet.cz [Jmenování administrativního kontaktu] |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Připojení ke službě Certifikáty TCS ====== | ====== Připojení ke službě Certifikáty TCS ====== | ||
- | Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty TCS [[http://www.geant.org/Services/Trust_identity_and_security/Pages/TCS.aspx|Trusted Certificate Service]] pro organizace začleněné do české sítě národního výzkumu CESNET2. Organizacím, které nejsou do sítě CESNET2 připojeny, není možné umožnit tuto službu využívat. Služba je poskytována firmou [[https://www.digicert.com/|DigiCert]]. Následující návod popisuje připojení organizace k portálu certifikátů TCS. | + | Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty TCS [[http://www.geant.org/Services/Trust_identity_and_security/Pages/TCS.aspx|Trusted Certificate Service]] pro organizace začleněné do české sítě národního výzkumu CESNET2. Organizacím, které nejsou do sítě CESNET2 připojeny, není možné umožnit tuto službu využívat. Služba je poskytována firmou [[https://www.sectigo.com/|Sectigo]]. Následující návod popisuje připojení organizace k portálu certifikátů TCS. |
===== Administrativní úkony ===== | ===== Administrativní úkony ===== | ||
Řádek 7: | Řádek 7: | ||
==== Jmenování administrativního kontaktu ==== | ==== Jmenování administrativního kontaktu ==== | ||
- | Statutární zástupce organizace jmenuje své zástupce pro službu -- správce služby Certifikáty TCS. Vhodnými kandidáty pro tuto funkci jsou správci služby Identity Provider dané organizace. | + | Statutární zástupce organizace jmenuje své zástupce pro službu -- správce služby Certifikáty TCS. Vhodnými kandidáty pro tuto funkci jsou správci IdP eduId.cz dané organizace (pokud je organizace k federaci identit eduId.cz připojena), nebo správci DNS či e-mailových služeb. |
- | Jmenovací formulář si vygenerujete na stránce [[https://tcs.cesnet.cz/neworganization/form|https://tcs.cesnet.cz/neworganization/form]]. **Název organizace nesmí v žádné podobě přesáhnout 64 znaků** (v české verzi to znamená, že každý znak s diakritikou se počíta za dva znaky). Následně ho vytištěný a podepsaný statutárním zástupcem organizace doručte na adresu: | + | Jmenovací formulář si vygenerujete na stránce [[https://tcs.cesnet.cz/neworganization/|https://tcs.cesnet.cz/neworganization/]]. **Název organizace nesmí v žádné podobě přesáhnout 64 znaků** (v české verzi to znamená, že každý znak s diakritikou se počítá za dva znaky). Následně jej vytištěný a podepsaný statutárním zástupcem organizace doručte na adresu: |
TCS RA \\ | TCS RA \\ | ||
Řádek 22: | Řádek 22: | ||
**Serverové certifikáty** \\ | **Serverové certifikáty** \\ | ||
- | Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v //eduID.cz//. Pokud připojovaná organizace není členem //eduID.cz//, je možné používat službu eduID.cz zvanou //[[https://hostel.eduid.cz/|Hostel IdP]]//. Účty v //Hostel IdP// musí být [[https://hostel.eduid.cz/cs/overeni_identity.html|ověřené]]. | + | Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v //eduID.cz//. Pokud připojovaná organizace není členem //eduID.cz//, je možné používat službu //[[https://www.mojeid.cz/|mojeID]]//. Účty v mojeID musí být ověřené. |
**Osobní certifikáty** \\ | **Osobní certifikáty** \\ | ||
- | Pro využívání služby **osobních** certifikátů TCS musí být organizace členem //eduID.cz// a musí mít funkční službu //Poskytovatele identity// (IdP). V tomto případě není použití služby Hostel IdP možné. | + | Pro využívání služby **osobních** certifikátů TCS musí být organizace členem //eduID.cz// a musí mít funkční službu //Poskytovatele identity// (IdP). V tomto případě není použití externích identit možné. |
===== Technické předpoklady ===== | ===== Technické předpoklady ===== | ||
Řádek 61: | Řádek 61: | ||
!! | !! | ||
- | ?? eduPersonPrincipalName | + | ?? eduPersonUniqueID |
- | :: Obsahuje jednoznačný identifikátor uživatele. | + | :: Obsahuje jednoznačný identifikátor uživatele v rámci federace. |
- | Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.6''. | + | Na úrovni SAML zprávy musí být tento atribut identifikován jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.13''. |
!! | !! | ||
Řádek 120: | Řádek 120: | ||
Na úrovni SAML zprávy musí být tento atribut identifikovan jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.7''. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky: | Na úrovni SAML zprávy musí být tento atribut identifikovan jako ''urn:oid:1.3.6.1.4.1.5923.1.1.1.7''. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky: | ||
- | - Organizace ověřila totožnost uživatele na základě předložení platného občanského průkazu, platného cestovního pasu nebo ekvivalentního dokladu. < | + | - Organizace ověřila totožnost uživatele na základě předložení platného občanského průkazu, platného cestovního pasu nebo ekvivalentního dokladu. |
- | - Od ověření totožnosti do okamžiku podání žádosti o certifikát byl účet uživatele v IdP organizace prokazatelně přiřazen danému uživateli. < | + | - Od ověření totožnosti do okamžiku podání žádosti o certifikát byl účet uživatele v IdP organizace prokazatelně přiřazen danému uživateli. |
- | - Všechny informace vyžadované službou TCS jsou ověřené a správné. < | + | - Všechny informace vyžadované službou TCS jsou ověřené a správné. |
Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu [[#eduPersonEntitlement|eduPersonEntitlement]] organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny. | Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu [[#eduPersonEntitlement|eduPersonEntitlement]] organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny. | ||
Řádek 140: | Řádek 140: | ||
Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: | Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: | ||
https://tcs.cesnet.cz/attributes/ | https://tcs.cesnet.cz/attributes/ | ||
- | |||
- | ==== Časté otázky ==== | ||
- | |||
- | **Otázka**: Naše organizace byla připojena ke starému poskytovateli certifikátů. Můžeme někde najít seznamy vydaných certifikátů od původního poskytovatele? | ||
- | |||
- | **Odpověď**: Seznam serverových certifikátů naleznete na stránce [[https://tcs.cesnet.cz/lst|https://tcs.cesnet.cz/lst]]. Starý portál osobních certifikátů je stále funkční, pouze nelze žádat o certifikáty. | ||