Certifikační politika podřízené certifikační autority IssuingCA2 interní větev PKI EVS Typ dokumentace : CP Obsah / účel dokumentu Dotčená KP Správce Oficiální dokument Certifikační politika podřízené certifikační autority IssuingCA2 interní větev PKI EVS Služba V09 Mail Bc. Zdeněk Přeliáš Historie změn Datum Vydání status autor 19.11.2007 0.10 První návrh Ondřej Fousek 29.11.2007 0.30 Final Draft OFO 17.12.2007 0.40 Po připomínkách EVS OFO 23.1.2008 0.50 Po doplněných připomínkách EVS OFO 14.2.2008 1.00 Po projednání zapracování připomínek OFO 19.6.2008 1.00 Úprava dle standardů EVS a publikace do PDF na web Bc. Zdeněk Přeliáš 1 z 25
OBSAH Seznam použitých zkratek... 4 1. Úvod... 5 1.1 Přehled... 5 1.2 Název a jednoznačné určení dokumentu... 5 1.3 Participující subjekty... 5 1.4 Použití klíčového páru a certifikátu... 6 1.5 Správa politiky... 7 2. Odpovědnost za zveřejňování a úložiště informací a dokumentace... 8 3. Identifikace a autentizace... 9 3.1 Pojmenování... 9 3.2 Počáteční ověření identity... 9 3.3 Identifikace a autentizace při vydání následných certifikátů... 9 3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu... 10 4. Požadavky na životní cyklus certifikátu... 11 4.1 Žádost o vydání certifikátu... 11 4.2 Zpracování elektronické žádosti o certifikát... 11 4.3 Vydání certifikátu... 12 4.4 Převzetí vydaného certifikátu... 12 4.5 Použití klíčového páru a certifikátu... 12 4.6 Obnovení certifikátu... 13 4.7 Výměna klíčového páru při vydání následného certifikátu... 13 4.8 Změna údajů v certifikátu... 13 4.9 Zneplatnění a pozastavení platnosti certifikátu... 14 4.10 Služby související s ověřováním statutu certifikátu... 14 4.11 Ukončení poskytování služeb pro držitele certifikátu... 14 4.12 Úschova soukromých klíčů u důvěryhodné třetí strany a jejich obnova 14 5. Management, provozní a fyzická bezpečnost... 15 5.1 Fyzická bezpečnost... 15 5.2 Procesní bezpečnost... 15 5.3 Personální bezpečnost... 15 5.4 Auditní záznamy (logy)... 15 5.5 Uchovávání informací a dokumentace... 15 5.6 Výměna veřejného klíče v certifikátu CA... 15 5.7 Obnova po havárii nebo kompromitaci... 15 5.8 Ukončení činnosti CA nebo RA... 15 6. Technická bezpečnost... 16 6.1 Generování a instalace klíčů... 16 6.2 Ochrana soukromých klíčů a bezpečnost kryptografických modulů... 17 2 z 25
6.3 Další aspekty správy klíčů... 18 6.4 Aktivační data... 18 6.5 Počítačová bezpečnost... 18 6.6 Bezpečnost životního cyklu... 18 6.7 Síťová bezpečnost... 18 7. Profily certifikátu, seznamu zneplatněných certifikátů a OCSP... 19 7.1 Profil certifikátu... 19 7.2 Profil seznamu zneplatněných certifikátů... 20 7.3 Profil OCSP... 21 8. Hodnocení shody a jiná hodnocení... 22 9. Ostatní obchodní a právní záležitosti... 23 9.1 Poplatky... 23 9.2 Finanční odpovědnost... 23 9.3 Citlivost obchodních informací... 23 9.4 Ochrana osobních údajů... 23 9.5 Práva duševního vlastnictví... 23 9.6 Zastupování a záruky... 23 9.7 Zřeknutí se záruk... 23 9.8 Omezení odpovědnosti... 23 9.9 Odpovědnost za škodu, náhrada škody... 23 9.10 Doba platnosti, ukončení platnosti CP... 24 9.11 Komunikace mezi zúčastněnými subjekty... 24 9.12 Změny... 24 3 z 25
Seznam použitých zkratek AD Active Directory; adresářové služby Microsoft Windows AIA Authority Information Access; položka v certifikátu obsahující odkazy na certifikát podepisující certifikační autority CA certifikační autorita CDP CRL Distribution Point; položka v certifikátu obsahující odkazy na příslušný CRL CN Common Name; část názvu entity využívaná v adresářových službách CP Certifikační politika CPS Certifikační prováděcí směrnice CRL Certificate Revocation List; seznam zneplatněných certifikátů ČR Česká republika DC Domain Component; část názvu entity využívaná v adresářových službách DER Distinguished Encoding Rules; metoda kódování datového objektu DN Distinguished Name; standardizované jméno subjektu DRA Data Recovery Agent; osoba v této roli je schopna dešifrovat soubory předtím zašifrované jinou osobou pomocí EFS EFS Encrypting File System; šifrová ochrana souborů v prostředí systémů Microsoft Windows EVS EVRAZ VÍTKOVICE STEEL, a.s. HTTP Hyper-Text Transport Protocol; protokol pro přenos webových zpráv KRA Key Recovery Agent; osoba v této roli je schopna obnovit soukromé šifrovací klíče jiných osob, uložené v databázi certifikační autority LDAP Lightweight Directory Access Protocol; protokol pro přístup k adresářovým službám MOM Microsoft Operations Manager MS Microsoft OID objektový identifikátor; číselná struktura umožňující unikátně identifikovat dokumenty a jejich části, včetně položek v certifikátu OU Organization Unit; část názvu entity využívaná v adresářových službách PKCS Public Key Cryptography Standard PKI Public Key Infrastructure; infrastruktura veřejných klíčů RA registrační autorita RFC Request for Comment; technický standard Internetu RSA Rivest-Shamir-Adelmann; asymetrický kryptografický algoritmus SHA-1 Secure Hash Algorithm; hašovací algoritmus SSL Secure Socket Layer; označení pro druh zabezpečené (šifrované) komunikace X.509 jeden ze standardů pro adresářové služby 4 z 25
1. Úvod 1.1 Přehled Certifikační politika (dále CP) stanoví pravidla pro používání a aplikovatelnost certifikátů vydaných PKI EVS pro držitele certifikátu podle této politiky. S touto CP je logicky spojen dokument Certifikační prováděcí směrnice (dále CPS), který definuje pravidla a postupy uplatňované v rámci systému PKI EVS při vydávání a správě elektronických certifikátů. Tato CP je logicky svázána s CPS pro interní větev PKI EVS. 1.2 Název a jednoznačné určení dokumentu Název tohoto dokumentu: Certifikační politika podřízené certifikační autority IssuingCA2 interní větev PKI EVS Objektová identifikace a dostupnost tohoto dokumentu: OID = 1.3.0154.27801454.200.1.1.2.12 Verze a platnost: Verze 1.00, platná od 1.3.2008 do vydání následující verze. Tento dokument je dostupný na adrese http://web.vitkovicesteel.com/pki/. 1.3 Participující subjekty 1.3.1 Certifikační autority (dále CA ) Kořenová CA (též RootCA) je technologický systém v rámci systému PKI EVS. Tento systém vydává a spravuje certifikáty podřízených Certifikačních autorit v rámci této PKI. Za určitých podmínek přesně definovaných v příslušné CP je kořenová CA oprávněna odmítnout vydání certifikátu. Pouze kořenová CA je oprávněna odvolat nebo pozastavit platnost certifikátu podřízené Certifikační autority na základě žádosti o odvolání prověřené definovaným postupem. Kořenová CA je ve správě OÚ 200.1 Informatika EVS. Privátní klíč autority RootCA je bezpečně uložen v softwarovém klíčovém úložišti operačního systému. Autorita je standardně v off-line modu, spouštěna je pouze za účelem podpisu podřízené autority, nebo vydání CRL. Požadavky na dostupnost vzhledem k režimu provozu jsou minimální, není tedy funkčně zálohována, důležitá je záloha soukromých klíčů autority. Tato CA je virtuální stroj v prostředí VMWare, nakonfigurovaný bez síťové karty. Platforma této CA je MS Certificate Services na operačním systému MS Windows 2000 provozovaná v modu Standalone Root CA. Vzhledem k tomu že se jedná o root CA nejsou nutné další komponenty. 5 z 25
IssuingCA2 podřízená CA vydávající zaměstnanecké certifikáty pro podpis elektronické pošty, šifrování elektronické pošty a EFS, certifikáty pro DRA a KRA. Certifikáty a CRL jsou publikovány do Active Directory, CRL je publikováno i na webový server. Soukromý klíč této autority je bezpečně uložen v softwarovém klíčovém úložišti operačního systému, je zajištěno bezpečné zálohování soukromých klíčů autority. Autorita je provozována v on-line modu. Platforma této CA je MS Certificate Services na operačním systému MS Windows Server 2003. Protože CA vydává uživatelské certifikáty, je nutná její další komunikace s dalším pracovištěm vykonávajícím funkce registrační autority. 1.3.2 Registrační autority (dále RA ) Činnosti RA vykonává odbor 200.11 Systémová podpora. 1.3.3 Držitelé vydaných certifikátů Koncovým držitelem certifikátu tohoto profilu je systém podřízené certifikační autority IssuingCA2 zastoupený správcem PKI. 1.3.4 Spoléhající se strany Spoléhajícími se stranami jsou u tohoto profilu certifikátu všichni zaměstnanci, jimž IssuingCA2 vydává certifikáty, a dále osoby mimo EVS, především příjemci a odesilatelé zabezpečených zpráv elektronické pošty. 1.3.5 Jiné participující subjekty Nejsou. 1.4 Použití klíčového páru a certifikátu 1.4.1 Přípustné použití klíčů a certifikátu Vydávané certifikáty a příslušné páry kryptografických klíčů lze použít k těmto účelům: pro podpis certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky. 1.4.2 Omezení použití certifikátu Vydaný certifikát lze použít pouze pro výše definované účely. Aplikace vyvíjené v rámci EVS nesmí povolit použití certifikátu pro jiné účely, než je stanoveno touto CP a rozšířeními certifikátu. Použití certifikátu pro jiné účely nebo aplikace je na vlastní riziko držitele certifikátu. 6 z 25
Vydávané certifikáty NELZE použít pro elektronický styk s orgány veřejné správy podle zákona č. 227/2000 Sb., o elektronickém podpisu, neboť PKI EVS není akreditována pro vydávání takových certifikátů. 1.5 Správa politiky 1.5.1 Organizace spravující certifikační politiku Tato certifikační politika je spravována organizací: EVS, OÚ 200.1 Informatika, odbor 200.11 Systémová podpora. Správa je prováděna podle pravidel stanovených v kapitole 9.12. 1.5.2 Kontaktní osoba organizace spravující certifikační politiku Všechny dotazy, komentáře a připomínky k tomuto dokumentu směrujte prosím na: EVRAZ VÍTKOVICE STEEL, a.s. OÚ 200.1 Informatika Správce PKI Štramberská č.p. 2871/47 PSČ 709 00 Ostrava-Hulváky email: spravcepki@cz.evraz.com 1.5.3 Schvalování certifikační politiky Certifikační politika je schvalována ředitelem OÚ 200.1 Informatika. Podrobný proces ani postup není stanoven. 7 z 25
2. Odpovědnost za zveřejňování a úložiště informací a dokumentace Tyto údaje jsou specifikovány v CPS. 8 z 25
3. Identifikace a autentizace 3.1 Pojmenování Tyto údaje jsou specifikovány v CPS 3.2 Počáteční ověření identity 3.2.1 Ověřování souladu soukromého a veřejného klíče Primární metodou pro kryptografické algoritmy umožňující digitální podpis, je podpis žádosti o certifikát pomocí tohoto soukromého klíče (v žádosti ve formátu PKCS#10). 3.2.2 Ověřování identity právnické osoby nebo organizační složky státu Pro tuto CP není aplikováno. 3.2.3 Ověřování identity fyzické osoby Při registraci žadatele správce PKI se vyžaduje: 1. Fyzická přítomnost žadatele při registraci; 2. Platný zaměstnanecký průkaz a existence záznamu v interních adresářových službách. 3.2.4 Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě Certifikát vydaný podle této CP neobsahuje žádné neověřované informace. 3.2.5 Ověřování specifických práv Při předložení žádosti o vydání certifikátu podle této CP posoudí ředitel OÚ 200.1 Informatika oprávnění správce PKI žádat o certifikát dle příslušné CP. 3.2.6 Kritéria pro interoperabilitu Není specifikováno. 3.3 Identifikace a autentizace při vydání následných certifikátů Žádost o následný certifikát je podepsána nově vygenerovaným soukromým klíčem certifikační autority IssuingCA2. 9 z 25
3.3.1 Identifikace a autentizace při rutinním vydání následného certifikátu V tomto případě je identifikace a autentizace prováděna stejným způsobem, jako při počáteční registraci podle kapitoly 3.2. 3.3.2 Identifikace a autentizace při výměně klíčů po zneplatnění certifikátu Identifikace a autentizace pro potřeby výměny klíčů po zneplatnění certifikátu je prováděna stejným způsobem, jako při počáteční registraci podle kapitoly 3.2. 3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu Tyto požadavky jsou specifikovány v CPS. 10 z 25
4. Požadavky na životní cyklus certifikátu 4.1 Žádost o vydání certifikátu 4.1.1 Subjekty oprávněné podat žádost o vydání certifikátu O vydání certifikátu podle této CP je oprávněn požádat správce PKI. Žádost podléhá schválení ředitele OÚ 200.1 Informatika.. 4.1.2 Registrační proces a odpovědnosti poskytovatele a žadatele Správce PKI si stáhne Registrační formulář PKI z adresy: http://web.vitkovicesteel.com/pki/. V žádosti uvede své jméno, oddělení a pozici v organizační struktuře společnosti. Dále vyznačí požadovaný typ certifikátu. Žádost předloží ke schválení řediteli OÚ 200.1 Informatika. Odpovědnosti správce PKI správné vyplnění žádosti, zajištění potvrzení žádosti vedoucím pracovníkem ředitel OÚ 200.1 Informatika korektní posouzení žádosti 4.2 Zpracování elektronické žádosti o certifikát V případě schválení žádosti správce PKI instaluje a spustí službu Certificate Services na podřízené CA. Během konfigurace služby je vygenerován klíčový pár a vytvořena žádost o certifikát ve formátu PKCS#10. Správce PKI uloží žádost o certifikát lokálně na CA do souboru. Soubor poté nakopíruje na transportní médium a přenese jej k RootCA. 4.2.1 Identifikace a autentizace V tomto kroku není implementováno, správce PKI spravuje všechny CA v PKI EVS. 4.2.2 Přijetí nebo zamítnutí žádosti o certifikát Správce PKI spustí virtuální stroj autority a její certifikační služby. Připojí k systému médium se žádostí o certifikát a provede její import. V management konzoli RootCA žádost o certifikát schválí Pokud jsou parametry žádosti v pořádku, certifikační autorita žádost akceptuje. Pokud některý z parametrů není v pořádku, certifikační autorita žádost odmítne. 11 z 25
4.2.3 Doba zpracování žádosti o certifikát Doba zpracování žádostí závisí na zatížení správce PKI, žádost bude zpracována nejpozději další pracovní den po podání. 4.3 Vydání certifikátu 4.3.1 Úkony CA v průběhu vydávání certifikátu Certifikační autorita RootCA zkopíruje údaje z elektronické žádosti o certifikát včetně veřejného klíče do struktury certifikátu a tuto strukturu podepíše svým soukromým podepisovacím klíčem. Vytvořený certifikát uloží do své databáze.. 4.3.2 Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě Toto oznámení není v PKI EVS implementováno. 4.4 Převzetí vydaného certifikátu 4.4.1 Úkony spojené s převzetím certifikátu Správce PKI provede export vydaného certifikátu do souboru a na externí médium. Je povinen ihned po vydání certifikátu zkontrolovat jeho obsah vůči obsahu žádosti. Pokud zjistí rozpory, musí bez prodlení zajistit zneplatnění certifikátu a provést další vhodná opatření k odstranění vzniklého problému. Pokud je certifikát v pořádku, přenese soubor s vydaným certifikátem zpět na server podřízené CA. Tam provede import certifikátu s pomocí management konzole a nastartuje službu CA. 4.4.2 Zveřejňování vydaných certifikátů poskytovatelem IssuingCA2 zveřejňuje své certifikáty do Active Directory a na webový server. 4.4.3 Oznámení o vydání certifikátu jiným subjektům EVS neoznamuje vydání certifikátu jiným subjektům. 4.5 Použití klíčového páru a certifikátu 4.5.1 Použití soukromého klíče Soukromý klíč příslušný k certifikátu vydanému podle této CP může být využit POUZE k podpisu certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky. 12 z 25
4.5.2 Použití certifikátu spoléhající se stranou Certifikát vydaný podle této CP může být spoléhající se stranou využit POUZE k ověření autentičnosti certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky. 4.6 Obnovení certifikátu PKI EVS neumožňuje obnovení certifikátu bez výměny klíčového páru. 4.7 Výměna klíčového páru při vydání následného certifikátu 4.7.1 Podmínky pro vydání následného certifikátu certifikát podřízené CA musí být platný (tj. nesmí být zneplatněn, pozastaven ani vypršelý). 4.7.2 Subjekty oprávněné k vydání následného certifikátu O vydání následného certifikátu může požádat správce PKI. 4.7.3 Zpracování požadavku na vydání následného certifikátu Postup při vydání následného certifikátu podřízené CA je stejný jako postup při prvotním vydání jejího certifikátu (viz začátek této kapitoly). 4.7.4 Oznámení o vydání následného certifikátu Viz článek 4.3.2. 4.7.5 Úkony spojené s převzetím následného certifikátu V tomto případě je postup stejný jako v článku 4.4.1. 4.7.6 Zveřejňování vydaných následných certifikátů EVS zveřejňuje vydané certifikáty pouze pro interní potřebu, viz článek 4.4.2. 4.8 Změna údajů v certifikátu Změnu údajů v certifikátu lze provést pouze zneplatněním aktuálního certifikátu a novým provedením Registračního procesu. 13 z 25
4.9 Zneplatnění a pozastavení platnosti certifikátu Subjekty, podmínky a postupy jsou stanoveny v CPS. 4.10 Služby související s ověřováním statutu certifikátu Tyto služby nejsou v rámci PKI EVS implementovány. Podřízená CA je schopna on-line ověřit stav svého certifikátu ve své databázi. 4.11 Ukončení poskytování služeb pro držitele certifikátu Tyto podmínky a postupy jsou stanoveny v CPS. 4.12 Úschova soukromých klíčů u důvěryhodné třetí strany a jejich obnova Funkcionalita úschovy soukromých klíčů u důvěryhodné třetí strany ( key escrow ) není v PKI EVS implementována. 4.12.1 Politika a postupy při úschově a obnovování soukromých klíčů Tato funkcionalita není v rámci PKI EVS implementována. 4.12.2 Politika a postupy při zapouzdřování a obnovování šifrovacího klíče pro relaci Tato funkcionalita není v rámci PKI EVS implementována. 14 z 25
5. Management, provozní a fyzická bezpečnost 5.1 Fyzická bezpečnost Zajištění fyzické bezpečnosti se týká společných prvků PKI EVS a proto je specifikováno v CPS. 5.2 Procesní bezpečnost Zajištění procesní bezpečnosti je specifikováno v CPS. 5.3 Personální bezpečnost Zajištění personální bezpečnosti je specifikováno v CPS. 5.4 Auditní záznamy (logy) Nastavení a zpracování auditních záznamů je specifikováno v CPS a implementační dokumentaci IssuingCA2. 5.5 Uchovávání informací a dokumentace Uchovávání (archivace) informací a dokumentace je specifikovány v CPS. 5.6 Výměna veřejného klíče v certifikátu CA Je stanoveno v kapitole 4.7. 5.7 Obnova po havárii nebo kompromitaci Postupy pro obnovu při havárii jsou specifikovány v CPS. 5.8 Ukončení činnosti CA nebo RA Postupy při ukončení činnosti CA jsou stanoveny v CPS. 15 z 25
6. Technická bezpečnost 6.1 Generování a instalace klíčů 6.1.1 Generování klíčů Klíčový pár pro asymetrický kryptografický algoritmus je generován systémovou komponentou operačního sytému serveru CA Microsoft Strong Cryptographic Provider. Součástí této komponenty je i generátor náhodných čísel. Vygenerovaný soukromý klíč je uložen v chráněném úložišti klíčů operačního systému serveru jako Neexportovatelný. Správce PKI je odpovědný za proces generování páru klíčů a žádosti o certifikát na serveru CA. Je též odpovědný za bezpečné uložení soukromého klíče (v rámci celé zálohy CA). Heslo umožňující přístup k použití soukromého klíče nesmí být uchováváno nezabezpečeně ani sdělováno cizí osobě. 6.1.2 Předání soukromého klíče žadateli V této CP není relevantní. 6.1.3 Předání veřejného klíče certifikační autoritě Po vygenerování klíčového páru vytvoří příslušná komponenta žádost o vydání certifikátu ve formátu PKCS#10 obsahující údaje podle příslušného vzoru certifikátu. 6.1.4 Poskytování veřejných klíčů certifikační autoritou spoléhajícím se stranám Prostředky PKI EVS je zajištěno publikování certifikátu IssuingCA2 v Active Directory a na webu PKI EVS. 6.1.5 Délky klíčů Délka klíčů generovaných a používaných podle této CP je 2048 bitů. 6.1.6 Generování parametrů veřejných klíčů Je popsáno v dokumentaci operačního systému serveru CA viz článek 6.1.1. 6.1.7 Omezení pro použití veřejných klíčů Viz kapitola 1.4. 16 z 25
6.2 Ochrana soukromých klíčů a bezpečnost kryptografických modulů 6.2.1 Standardy a podmínky používání kryptografických modulů Kryptografické moduly nejsou v rámci PKI EVS implementovány. 6.2.2 Sdílení tajemství formou rozdělení klíčů na části Není v rámci PKI EVS implementováno. 6.2.3 Úschova klíčů u důvěryhodné třetí strany Není v rámci PKI EVS implementováno. 6.2.4 Zálohování soukromých klíčů Soukromé klíče vytvořené podle této CP jsou zálohovány v rámci databáze CA. Postup je specifikován v implementační dokumentaci IssuingCA2. 6.2.5 Uchovávání soukromých klíčů Podobně jako předchozí odstavec. 6.2.6 Přenos soukromých klíčů z/do kryptografického modulu Viz článek 6.2.1. 6.2.7 Uložení soukromých klíčů v kryptografickém modulu Viz článek 6.2.1. 6.2.8 Postup při aktivaci soukromých klíčů CA Tento postup je specifikován v CPS. 6.2.9 Postup při deaktivaci soukromých klíčů CA Viz článek 6.2.8. 6.2.10 Postup při zničení soukromých klíčů CA Podpisové klíče podřízené CA nejsou ničeny, jsou trvale udržovány v chráněném úložišti klíčů jejího operačního systému. 17 z 25
6.3 Další aspekty správy klíčů 6.3.1 Uchovávání veřejných klíčů Všechny vydané certifikáty jsou uchovány v databázi CA a v Active Directory. 6.3.2 Maximální doba platnosti certifikátu a klíčů Certifikáty vydané podle této CP mají platnost 6 let ode dne vydání. 6.4 Aktivační data 6.4.1 Generování a instalace aktivačních dat Je využita standardní funkčnost Microsoft Certificate Services a Strong Cryptographic Provider. 6.4.2 Ochrana aktivačních dat Přístupu k soukromému klíči je chráněn prostředky chráněného úložiště klíčů operačního systému. 6.5 Počítačová bezpečnost Požadavky a implementace jsou definovány v CPS. 6.6 Bezpečnost životního cyklu Není relevantní, v PKI EVS neprobíhá vývoj. 6.7 Síťová bezpečnost Bezpečnost sítí je definována v CPS. 18 z 25
7. Profily certifikátu, seznamu zneplatněných certifikátů a OCSP 7.1 Profil certifikátu 7.1.1 Číslo verze Jedná se o certifikát X.509 verze 3, což je reprezentováno hodnotou 2 parametru Certificate Version. 7.1.2 Rozšiřující položky v certifikátu Certifikát obsahuje tyto položky rozšíření (Certificate Extension): AIA definuje http a ldap cestu k certifikátu RootCA CDP definuje http a ldap cestu k CRL seznamu vydávanému RootCA KeyUsage definuje základní možnosti použití veřejného klíče digitální podpis, neodmítnutelnost, podpis certifikátů a CRL CA Version definuje verzi certifikátu CA Basic Constraints základní omezení stromu podpisů v PKI Certificate Template Name definuje vzor certifikátu Microsoft SubjectKeyID unikátní identifikátor veřejného klíče žadatele/držitele AuthorityKeyID unikátní identifikátor veřejného klíče certifikační autority Položka AIA CDP KeyUsage Hodnota URL=http://web.vitkovicesteel.com/pki/cathan_Steelnet.cz%20 RootCA.crt URL=ldap:///CN=Steelnet.cz%20RootCA,CN=AIA,CN=Public% 20Key%20Services,CN=Services,CN=Configuration,DC=steelnet, DC=cz?cACertificate?base?objectclass=certificationAuthority URL=http://web.vitkovicesteel.com/pki/Steelnet.cz%20 RootCA.crl URL=ldap:///CN=Steelnet.cz%20RootCA,CN=cathan,CN=CDP, CN=Public%20Key%20Services,CN=Services,CN=Configuration, DC=steelnet,DC=cz?certificateRevocationList?base?objectclass= crldistributionpoint Digital Signature; Non-Repudiation; Certificate Signing; Off-line CRL Signing; CRL Signing (c6) CA Version V0.0 Basic Constraints Subject Type=CA; Path Length Constraint=None SubjectKeyID Zapisuje RootCA AuthorityKeyID Zapisuje RootCA Rozšiřující položka Basic Constraints je označena jako Kritická. 19 z 25
7.1.3 Objektové identifikátory (dále OID ) algoritmů Identifikátor objektu pro kombinaci algoritmů RSA a SHA-1 použitou pro elektronický podpis je: sha-1withrsaencryption = 1.2.840.113549.1.1.5. 7.1.4 Způsoby zápisu jmen a názvů Certifikát obsahuje tato jména a názvy: Subject Distinguished Name (DN) standardizované úplné jméno subjektu Položka Hodnota DN CN=IssuingCA2 7.1.5 Omezení jmen a názvů Není implementováno. 7.1.6 OID certifikační politiky Tento údaj je součástí skupiny parametrů CertificatePolicies. Je shodný s odstavcem 1.2 Položka Hodnota Policy Identifier 1.3.0154.27801454.200.1.1.2.12 7.1.7 Rozšiřující položka Policy Constraints Není implementováno. 7.1.8 Syntaxe a sémantika rozšiřující položky kvalifikátorů politiky Policy Qualifier Info Kvalifikátor politiky odkazuje na existenci CPS a na umístění dokumentu politiky. Položka Hodnota Policy Qualifier Id CPS Qualifier http://web.vitkovicesteel.com/pki/cp_issuingca2.pdf 7.1.9 Způsob zpracování kritických rozšíření Služba Microsoft Certficate Services nebere kritická rozšíření v úvahu. 7.2 Profil seznamu zneplatněných certifikátů 7.2.1 Číslo verze Jedná se o CRL verze 2, což je reprezentováno hodnotou 1 parametru CRL Version. 20 z 25
7.2.2 Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v seznamu zneplatněných certifikátů Položka Hodnota CRL Number Identifikátor CRL, automaticky vkládá příslušná CA CRL Reason Code Důvod vložení příslušného certifikátu (jeho sériového čísla) do CRL AuthorityKeyID Identifikátor veřejného klíče příslušné CA, která vydala CRL Žádná rozšiřující položka není označena jako Kritická. 7.3 Profil OCSP V PKI EVS není OCSP implementován. 21 z 25
8. Hodnocení shody a jiná hodnocení Tyto požadavky a postupy jsou stanoveny v CPS. 22 z 25
9. Ostatní obchodní a právní záležitosti 9.1 Poplatky Není relevantní. 9.2 Finanční odpovědnost Není relevantní. 9.3 Citlivost obchodních informací Toto je stanoveno v CPS. 9.4 Ochrana osobních údajů Toto je stanoveno v CPS. 9.5 Práva duševního vlastnictví Není relevantní. 9.6 Zastupování a záruky Je stanoveno v CPS. 9.7 Zřeknutí se záruk Není relevantní. 9.8 Omezení odpovědnosti Je stanoveno v CPS. 9.9 Odpovědnost za škodu, náhrada škody Není relevantní. 23 z 25
9.10 Doba platnosti, ukončení platnosti CP 9.10.1 Doba platnosti CP Jednotlivé verze CP jsou odlišeny číslem verze, přičemž platná je aktuální verze umístěná na adrese http://web.vitkovicesteel.com/pki/ (viz článek 1.2). U každé verze je stanoveno datum, od něhož je platná. Důležité změny budou zveřejněny s 15ti denním předstihem před zveřejněním nové platné verze CP. 9.10.2 Ukončení platnosti CP Platnost verze CP je ukončena v okamžiku počátku platnosti nové verze, případně ukončením činnosti PKI EVS. 9.10.3 Důsledky ukončení a přetrvání závazků Obsah závazků všech stran je dán aktuální platnou verzí CP. 9.11 Komunikace mezi zúčastněnými subjekty Není specifikováno. 9.12 Změny 9.12.1 Postup při změnách CP EVS je oprávněna v budoucnosti doplnit tuto CP o ustanovení, jejichž nutnost bude teprve zjištěna. Takové změny budou zveřejněny na adrese http://web.vitkovicesteel.com/pki/. Změny mohou být vydány jak ve formě doplněné CP, tak ve formě samostatných úprav a doplňků. Případné změny nebudou mít zpětnou platnost. Změny nemající materiální povahu vstoupí v platnost okamžikem řádného zveřejnění podle tohoto odstavce. Změny mající materiální povahu vstoupí v platnost 15 dní po svém řádném zveřejnění, neoznámí-li EVS před ukončením 15ti denní lhůty jejich stažení. V případě, že by zpožděným provedením navržené změny mohlo dojít k poškození PKI EVS, EVS nebo její části, vstoupí změna v platnost okamžikem řádného uveřejnění. Pokud žadatel o certifikát nestáhne svou žádost nebo držitel certifikátu neodvolá svůj certifikát před koncem výše zmíněné 15tidenní lhůty, má se za to, že s doplňky souhlasí. Významné změny CP a příslušné CPS musí schválit ředitel OÚ 200.1 Informatika. 9.12.2 Postup při oznamování změn Položky nezveřejňované prostřednictvím CPS: 24 z 25
Platné organizační normy EVS; Dohody přidružené k CPS. Způsoby zveřejnění CP a CPS: Na adrese http://web.vitkovicesteel.com/pki/. 9.12.3 Okolnosti, při kterých musí být změněn OID Není specifikováno. 25 z 25