Od července 2015 zprostředkovává CESNET, z. s. p. o., službu Certifikáty TCS Trusted Certificate Service pro organizace začleněné do české sítě národního výzkumu CESNET2. Organizacím, které nejsou do sítě CESNET2 připojeny, není možné umožnit tuto službu využívat. Služba je poskytována firmou DigiCert. Následující návod popisuje připojení organizace k portálu certifikátů TCS.

Statutární zástupce organizace jmenuje své zástupce pro službu – správce služby Certifikáty TCS. Vhodnými kandidáty pro tuto funkci jsou správci služby Identity Provider dané organizace.

Jmenovací formulář si vygenerujete na stránce https://tcs.cesnet.cz/neworganization/form. Název organizace nesmí v žádné podobě přesáhnout 64 znaků (v české verzi to znamená, že každý znak s diakritikou se počíta za dva znaky). Následně ho vytištěný a podepsaný statutárním zástupcem organizace doručte na adresu:

TCS RA
CESNET
Zikova 4
160 00 Praha 6

Jakmile Registrační autorita CESNET TCS obdrží jmenovací listinu, bude administrativní kontakty informovat o dalším postupu.

Služba TCS využívá identity z české akademické federace identit eduID.cz. Detailněji je vazba služby na eduID.cz popsána na samostatné stránce. Níže alespoň ve zkratce:

Serverové certifikáty

Jmenované administrativní kontakty pro vykonávání své role potřebují platný účet v eduID.cz. Pokud připojovaná organizace není členem eduID.cz, je možné používat službu eduID.cz zvanou Hostel IdP. Účty v Hostel IdP musí být ověřené.

Osobní certifikáty

Pro využívání služby osobních certifikátů TCS musí být organizace členem eduID.cz a musí mít funkční službu Poskytovatele identity (IdP). V tomto případě není použití služby Hostel IdP možné.

Služba je poskytována následujícím Poskytovatelem služeb (SP):

V rámci spuštění nové služby je potřeba sjednotit používané identifikace atributů mezi jednotlivými IdP.

givenName

Obsahuje křestní jméno uživatele podle dokladu totožnosti.

Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.42.

sn

Obsahuje příjmení uživatele podle dokladu totožnosti.

Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.4.

mail

Tento vícehodnotový atribut obsahuje ověřené adresy elektronické pošty uživatele.

Emailové adresy poskytnuté službě TCS musí být ověřeny! Organizace ručí za jejich správnost a za to, že patří danému uživateli.

Jestliže vaše organizace umožňuje uživatelům, aby si v systému IdP sami nastavovali emailové adresy, musíte zajistit, aby pro služby TCS byly uvolněny pouze adresy ověřené.

Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.2.840.113549.1.9.1. Pokud vaše IdP používá pouze ověřené emaily, posílejte v atritubu urn:oid:1.2.840.113549.1.9.1 tytéž hodnoty, které v eduID.cz posíláte v urn:oid:0.9.2342.19200300.100.1.3.

eduPersonPrincipalName

Obsahuje jednoznačný identifikátor uživatele. Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.3.6.1.4.1.5923.1.1.1.6.

Přístup k osobním certifikátům TCS vyžaduje kromě obecných SAML atributů pro TCS ještě následující atributy:

commonNameASCII

Obsahuje plné jméno uživatele podle dokladu totožnosti převedené do sedmibitového kódování ASCII (zbavené diakritiky). Jeho hodnota bude uvedena v atributu commonName (CN) předmětu Osobního eScience TCS certifikátu.

Na úrovni SAML zprávy musí být tento atribut identifikován jako http://eduid.cz/attributes/commonName#ASCII.

Pokud nemáte ve vašem LDAPu k takto upraveným jménům přístup, je potřeba konverzi řešit na úrovni Shibboleth IdP.

Pro konverzi lze použít atribut typu Script, kde je možné pomocí JavaScriptu přistupovat k hodnotám atributů.

Následující návod předpokládá celé křestní jméno a příjmení včetně diakritiky v atributu cn. Definice atributu commonNameASCII v šabloně IDP_HOME/conf/attribute-resolver.xml vypadá takto:

<!-- commonNameASCII -->
<resolver:AttributeDefinition id="commonNameASCII" xsi:type="ad:Script">
    <resolver:Dependency ref="cn" />  
    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="http://eduid.cz/attributes/commonName#ASCII" friendlyName="commonNameASCII" />
    <ad:Script>
    <![CDATA[
    load("nashorn:mozilla_compat.js");
 
    importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider);
    importPackage(Packages.java.lang);
    importPackage(Packages.java.text);
 
    if (cn.getValues().size() > 0) {
        originalValue = cn.getValues().get(0);
        asciiValue = Normalizer.normalize(originalValue, Normalizer.Form.NFD).replaceAll("\\p{InCombiningDiacriticalMarks}+", "");
        commonNameASCII.getValues().add(asciiValue);
    }
    ]]>
    </ad:Script>
</resolver:AttributeDefinition>

unstructuredName

Každému uživateli musí IdP přidělit unikátní identifikátor. Tento identifikátor musí zůstat pro daného uživatele konstantní a nesmí být nikdy, ani v budoucnosti, přiřazen jinému uživateli.

Některá IdP mají v repertoáru atribut s těmito vlastnostmi, jiná jej musí pro účely TCS vytvořit. Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:1.2.840.113549.1.9.2.

Tento identifikátor se u osobních certifikátů objeví přímo v poli CN. Je tedy rozumné, aby měl přiměřenou délku. S výhodou lze využít např. číslo zaměstnance.

eduPersonEntitlement

Tímto atributem řídí organizace přístupová práva ke službě. Portál certifikátů TCS rozeznává tyto hodnoty:

Hodnota	Oprávnění
urn:mace:terena.org:tcs:escience-user	Žádat o Osobní eScience certifikát TCS

Na úrovni SAML zprávy musí být tento atribut identifikovan jako urn:oid:1.3.6.1.4.1.5923.1.1.1.7. Osobní certifikáty TCS mohou být poskytnuty pouze uživatelům splňujícím tyto podmínky:

1. Organizace ověřila totožnost uživatele na základě předložení platného občanského průkazu, platného cestovního pasu nebo ekvivalentního dokladu. <
2. Od ověření totožnosti do okamžiku podání žádosti o certifikát byl účet uživatele v IdP organizace prokazatelně přiřazen danému uživateli. <
3. Všechny informace vyžadované službou TCS jsou ověřené a správné. <

Organizace ručí za splnění výše uvedených podmínek. Nastavením příslušné hodnoty atributu eduPersonEntitlement organizace vyjadřuje, že výše uvedené podmínky jsou pro daného uživatele splněny.

telephone

Obsahuje telefonní číslo uživatele. Telefonní číslo je důležité zejména pro rychlé kontaktování správců organizací v případě potíží. Tento attribut je nepovinný.

Na úrovni SAML zprávy musí být tento atribut identifikován jako urn:oid:2.5.4.20.

Pro diagnostiku atributů, které Vaše IdP posílá portálu TCS, můžete použít stránku: https://tcs.cesnet.cz/attributes/

Otázka: Naše organizace byla připojena ke starému poskytovateli certifikátů. Můžeme někde najít seznamy vydaných certifikátů od původního poskytovatele?

Odpověď: Seznam serverových certifikátů naleznete na stránce https://tcs.cesnet.cz/lst. Starý portál osobních certifikátů je stále funkční, pouze nelze žádat o certifikáty.