Последовательность шагов для запроса и выдачи цифровых сертификатов.

 

1. Создается RA в соответствующем учреждении пользователя. Проводится экспресс курс с ним. Подписывается договор с RA о том, что он ознакомлен, согласен и обязывается соблюдать политики описанные в CP/CPS от MD-GRID CA. После этого, вновь созданной RA выдается цифровой сертификат.

 

2. Пользователь получает официальное письмо от руководителя своего учреждения в RA о том, кто он, где работает и подтверждение, что ему необходимо получить цифровой сертификат

 

3. Пользователь приходит лично в офис RA и с собой приносит оригиналы и копии документов содержащих фотографию (бюллетень) и официальное письмо в RA с информацией о том, кто он, где работает и что он желает получить цифровой сертификат;

 

4. Представитель RA использует команду (в Linux/xNIX терминале):

            openssl req -newkey rsa:2048 -keyout ~/userkey.pem -out ~/request.csr -subj "/DC=MD/DC=MD-Grid/O=XX/CN=YY1 YY2"

            где

            XX      - название организации (участника MD-GRID NGI, из заранее подготовленного и утвержденного списка)

            YY1 - Имя      (КАК В ПАСПОРТЕ, ex : Valentin )

            YY2 - Фамилия    (КАК В ПАСПОРТЕ, ex : Pocotilenco)

            В ходе выполнения команды система запросит у пользователя пароль, который будет защищать генерируемый закрытый ключ от незаконного использования.

            Пароль необходимо запомнить. Иначе, если его забыть, потом невозможно будет работать с сертификатом.

           

5. В результате выполнения команды файл ключа userkey.pem и фаил запроса request.csr помещается в домашнюю папку текущего пользователя;

5.1 RA с помощью SCP клиента  заходит под своим логином на машину, где хранятся сгенерированные файлы, и скачивает их для последующей передачи пользователю.

 

6. Полученные файлы передаются пользователю.

 

7. Запрашивается цифровой сертификат следующим образом:

            Пользователь высылает с корпоративного почтового ящика файл запроса (.csr) сертификата по электронной почте представителю RA, используя нижеприведенный текст:

 

======================================================================      

To the RA of the MD-Grid CA:

 

In the attachment you can find a user certificate request for < requestor's name and surname >.

My contacts are given below. Please do not hesitate to contact me if any further

Information is needed.

 

Name: < requestor's name and surname >

Institution: <organization name>

Address: <e-mail>

E-mail:

Phone: +373 22  (office)

       +373  (mobile)

======================================================================

 

8. RA, получив письмо с запросом, перенаправляет его СА, подписав его своим цифровым сертификатом.

 

9.После рассмотрения заявки, СА в течение трех рабочих дней, подписывает файл запроса ключом сертификационного центра.

 

10.СА высылает пользователю и RA полученный файл цифрового сертификата, электронным письмом следующего содержания:

=========================================================================

Find attached your x509v3 digital certificate signed by the MD-GRID CA.

 

Please return a digitally signed email at ca@renam.md,

stating that you accept your certificate and that you adhere to the

MD-GRID Certification Policy:

 

http://ca.grid.md/files/MD-Grid-CP-CPS.pdf

 

A template e-mail can be found at the end of this email.

 

Information on how to import your certificate in various mail clients

can be found at:

 

http://www.grid.auth.gr/pki/seegrid-ca/documents/certificateImport/

 

If the MD-GRID CA operators do not receive an acknowledgment email

within 7 days, the signed certificate will be revoked.

 

Yours Sincerely,

 

Valentin Pocotilenco

MD-GRID CA Operator

 

Appendix I: Email Template

 

----------------------------Cut here---------------------------------

To whom it may concern,

 

  With this email I state that

 

 1. I, <put your name here>, accept my x509v3 digital certificate with

    DN: /DC=MD/DC=MD-GRID/O=<put your institution's name here>/CN=<put requestor's name here>

    Serial Number: <certificate's serial number>

    signed by /DC=MD/DC=MD-GRID/O==RENAM/OU=Certification Authority/CN=MD-Grid-CA

 

 2. I adhere the MD-GRID CA policy and usage rules found at:

http://ca.grid.md/files/MD-Grid-CP-CPS.pdf

    (O.I.D.  1.3.6.1.4.1.31194.10.1.1.3)

 

 ----------------------------Cut here---------------------------------

======================================================================

 

11. Пользователь в ответ в течение 7 дней высылает письмо, используя почтовый клиент, подписанное слепком своего сертификата. Шаблон для письма следующий:

======================================================================

To whom it may concern,

 

  With this email I state that

 

 1. I, <put your name here>, accept my x509v3 digital certificate with

    DN: /DC=MD/DC=MD-GRID/O=<put your institution's name here>/CN=<put requestor's name here>

    Serial Number: <certificate's serial number>

    signed by /DC=MD/DC=MD-GRID/O==RENAM/OU=Certification Authority/CN=MD-Grid-CA

 

 2. I adhere the MD-GRID CA policy and usage rules found at:

http://ca.grid.md/files/MD-Grid-CP-CPS.pdf

    (O.I.D.  1.3.6.1.4.1.31194.10.1.1.3)

======================================================================

 

12. С момента отправки и получения RA и CA этого письма, сертификат сроком действия 1 год может использоваться в MD-GRID-инфраструктуре, для доступа к информационным системам, доверяющим выданным сертификатам, а так же для подписи электронных документов и писем.