| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verzeObě strany příští revize |
| cs:tsa-overview [2019/03/13 10:14] – chvojka@cesnet.cz | cs:tsa-overview [2019/12/02 14:38] – jan.chvojka@cesnet.cz |
|---|
| Razítka vydává autorita časových razítek neboli TSA (Time-Stamp Authority). Sdružení CESNET provozuje dva servery (primární a sekundární) se službou časových razítek. Jejich správa je zajištěna v rámci CESNET PKI. | Razítka vydává autorita časových razítek neboli TSA (Time-Stamp Authority). Sdružení CESNET provozuje dva servery (primární a sekundární) se službou časových razítek. Jejich správa je zajištěna v rámci CESNET PKI. |
| |
| Službu lze použít pro časové značky se starým formátem atributů (ESSCertID, viz [[https://tools.ietf.org/html/rfc3161|rfc3161]]) i novým formátem atributů (ESSCertIDv2, viz [[https://tools.ietf.org/html/rfc5816|rfc5816]]). Starý formát podporuje pouze SHA1 hash, ale je zatím nejvíce rozšířen. Nový formát je podporován v OpenSSL až od verze 1.1.1. | Službu lze použít pro časové značky se starým formátem atributů (ESSCertID, viz [[https://tools.ietf.org/html/rfc3161|rfc3161]]) i novým formátem atributů (ESSCertIDv2, viz [[https://tools.ietf.org/html/rfc5816|rfc5816]]). Starý formát podporuje pouze SHA1 hash, ale je zatím nejvíce rozšířen. Nový formát je podporován v OpenSSL až od verze 1.1.1. Pokud to jen trochu lze, **doporučujeme využít nového formátu ESSCertIDv2**. |
| |
| Nové servery časových razítek budou od dubna 2019 dostupné na adresách: | Servery časových razítek jsou dostupné na adresách: |
| |
| * http://tsa.cesnet.cz:3161/tsa/ - Starý formát atributů ESSCertID, nezabezpečené připojení. | * http://tsa.cesnet.cz:3161/tsa/ - Starý formát atributů ESSCertID, nezabezpečené připojení. |
| * https://tsa.cesnet.cz:3162/tsa/ - Starý formát atributů ESSCertID, zabezpečené připojení (HTTPS). | * https://tsa.cesnet.cz:3162/tsa/ - Starý formát atributů ESSCertID, zabezpečené připojení (HTTPS). |
| * http://tsa.cesnet.cz:5816/tsa/ - Nový formát atributů ESSCertIDv2, nezabezpečené připojení. | * http://tsa.cesnet.cz:5816/tsa/ - Nový formát atributů ESSCertIDv2, nezabezpečené připojení. |
| * https://tsa.cesnet.cz:5817/tsa/ - Nový formát atributů ESSCertIDv2, zabezpečené připojení (HTTPS). \\ | * https://tsa.cesnet.cz:5817/tsa/ - Nový formát atributů ESSCertIDv2, zabezpečené připojení (HTTPS). |
| |
| * http://tsa2.cesnet.cz:3161/tsa/ - Starý formát atributů legacy ESSCertID, nezabezpečené připojení. | |
| * https://tsa2.cesnet.cz:3162/tsa/ - Starý formát atributů ESSCertID, zabezpečené připojení (HTTPS). | |
| * http://tsa2.cesnet.cz:5816/tsa/ - Nový formát atributů ESSCertIDv2, nezabezpečené připojení. | |
| * https://tsa2.cesnet.cz:5817/tsa/ - Nový formát atributů ESSCertIDv2, zabezpečené připojení (HTTPS). | |
| |
| Původní TSA služby budou na konci března 2019 nahrazeny novými. Zatím pořád ještě běží na adresách | |
| |
| * http://tsa.cesnet.cz:3161/tsa | |
| * http://tsa2.cesnet.cz:3161/tsa | |
| |
| ==== Postup získání a ověření časového razítka ==== | ==== Postup získání a ověření časového razítka ==== |
| |
| <code> | <code> |
| cat data.tsq | curl -s -S -H 'Content-Type: application/timestamp-query' --data-binary @- http://tsa.cesnet.cz:3161/tsa -o data.tsr | cat data.tsq | curl -s -S -H 'Content-Type: application/timestamp-query' --data-binary @- http://tsa1.cesnet.cz:3161/tsa -o data.tsr |
| </code> | </code> |
| |