TCS SERVIS I NJEGOVA REALIZACIJA U OKVIRU AMRESa
- Slides: 23
TCS SERVIS I NJEGOVA REALIZACIJA U OKVIRU AMRESa Milica Kovinić AMRES Radionica posvećena temama iz oblasti sigurnosti Beograd 22. Februar 2011. connect • communicate • collaborate
TCS – TERENA Certificate Service TCS predstavlja servis za izdavanje sertifikata naučno-istraživačkim i obrazovnim institucijama posredstvom njihovih matičnih akademskih mreža na koje su povezane. TERENA ima ulogu CA NREN članica ima ulogu RA connect • communicate • collaborate
TCS – Prednosti korišćenja TCS sertifikati su izdati od strane Comodo CA Limited, globalno priznatog sertifikacionog tela. Izbegavanje pop-up poruke sa obaveštenjem o nesigurnosti sajta kome se pristupa. connect • communicate • collaborate
TCS – Tipovi sertifikata Serverski SSL sertifikati (Server Certificate) TERENA Single SSL Certificate TERENA Multi-Domain SSL Certificate TERENA Wildcard SSL Certificate Lični korisnički sertifikati (Personal Certificate) e – Istraživački serverski sertifikati (e-Science Server Certificate) Za autentifikaciju GRID hostova i servisa e-Istraživački lični sertifikati (e-Science Personal Certificate) Za autentifikaciju krajnjih korisnika prilikom pristupa GRID servisima Sertifikati za potpisivanje koda (Code-signing Certificate) Za autentifikaciju softvera koji se distribuira preko Interneta connect • communicate • collaborate
Serverski SSL sertifikati TERENA Single SSL Certificate –vezuje se za samo jedno registrovano DNS ime servera, koje se nalazi u sertifikatu kao vrednost CN (Common Name) atributa. TERENA Multi-Domain SSL Certificate – može da obezbedi više od jednog registrovanog DNS imena tako što se dodatna imena definišu kao vrednost SAN (Subject Alternative Name) polja. Sertifikat može da sadrži do 100 različitih DNS imena servisa koji se nalaze na jednoj fizičkoj mašini (serveru). TERENA Wildcard SSL Certificate – može da obezbedi neograničen broj poddomena koji se nalaze na različitim fizičkim mašinama (serverima). Sadrži u CN polju ime domena oblika *. neki_domen (npr. *. rcub. bg. ac. rs). Zbog bezbednosti, korišćenje Wildcard sertifikata je opravdano samo u sledećim slučajevima: farme web servera klasteri load balancers failover serveri connect • communicate • collaborate
Personalni sertifikati Autentifikaciju krajnih korisnika Zaštita elektronske pošte (autentifikacija, integritet, enkripcija) S/MIME (Secure/ Multipurpose Internet Mail Extensions) connect • communicate • collaborate
AMRES usluga izdavanja TCS sertifikata AMRES je u saradnji sa TERENAom uspostavio servis izdavanja serverski sertifikata koji pripadaju ac. rs domenu. TERENA ima ulogu CA. AMRES ima ulogu RA. TCS servis je potpuno besplatan za sve AMRES članice koje prođu kroz proces registracije. connect • communicate • collaborate
Kako se dobija TCS setifikat ? Da bi institucija dobila sertifikat, potrebno je da uradi sledeće korake: Registracija institucije Prijavljivanje za korišćenje TCS srevisa Kreiranje para ključeva i zahteva za sertifikatom Podnošenje zahteva connect • communicate • collaborate
Registracija institucije Registracija domena koji pripada toj instituciji na Portalu Registra domena ac. rs (https: //registar. ac. rs). Ovim je domen, koji je pod ac. rs (nov ili već aktivan), i administrativno ozvaničen. Registracija se radi samo jednom i automatski pruža mogućnost prijavljivanja za korišćenje TCS usluge. connect • communicate • collaborate
Prijavljivanje za korišćenje TCS serisa connect • communicate • collaborate
Institucije registrovane za TCS Institucija Broj izdatih sertifikata 1. Fakultet organizacionih nauka Univerziteta u Beogradu 2. Institut za srpski jezik SANU 1 3. Matematički fakultet Univerziteta u Beogradu 5 4. Matematički institut SANU 1 5. Medicinski fakultet Univerziteta u Nišu 6. Fakultet zaštite na radu Univerziteta u Nišu 7. Univerzitet u Prištini 1 8. Univerzitet u Beogradu - Hemijski fakultet 2 connect • communicate • collaborate
Institucije registrovane za TCS Institucija Broj izdatih sertifikata 9. Srpska akademija nauka i umetnosti 1 10. Institut za nuklearne nauke "Vinča“ 2 11. Državni univerzitet u Novom Pazaru 12. Univerzitet u Nišu 13. Farmaceutski fakultet Univerziteta u Beogradu 14. Biološki fakultet Univerziteta u Beogradu 15. Univerzitet u Beogradu - Rudarsko-geološki fakultet 3 16. Univerzitet u Beogradu 12 17. Univerzitet u Novom Sadu 6 connect • communicate • collaborate
Kreiranje para ključeva i zahteva za sertifikatom Generišu se privatni i javni ključ, kao i zahtev za potpisivanje sertifikata (CSR) Postupak se razlikuje u zavisnosti od serverske platforme koja se koristi (Apache/mod_ssl, Microsoft IIS server. . . ) AMRES je usvojio minimalnu dužinu para asimetričnih ključeva, koji se generišu pri kreiranju zahteva za sertifikatom, od 2048 bita. Uputstva za različite serverske platforme nalaze se na adresi: http: //www. instantssl. com/ssl-certificate-support/csr_generation/sslcertificate-index. html connect • communicate • collaborate
Kreiranje zahteva za sertifikatom Apache/mod_ssl Kreiranje zahteva korišćenjem Open. SSL alata (Apache/mod_ssl server) na Linuxu Sertifikat može da sadrži jedno ili više FQDN imena (maksimalno 100). Sertifikat sa više FQDN imena se koristi u slučaju da se na jednom serveru (jednoj IP adresi) nalazi više servisa sa različitim simboličkim adresama. U zavisnosti od toga da li sertifikat sadrži jedno ili više FQDN imena, koriste se dva predefinisana Open. SSL konfiguraciona fajla: SCSreq. cnf Multi. SCSreq. cnf connect • communicate • collaborate
Kreiranje zahteva za sertifikatom Apache/mod_ssl SCSreq. cnf Multi. SCSreq. cnf connect • communicate • collaborate
Kreiranje zahteva za sertifikatom Apache/mod_ssl umask komanda definiše read privilegije za sve što će biti kreirano posle zadate komande. Na ovaj način se štiti privatni ključ servera, koji je tajni i ne sme da bude javno dostupan. Pri pozivanju openssl-a zadaje se putanja do jednog od konfiguracionih fajlova. myserver. key i server. csr predstavljaju nazive fajlova u koje će biti smešteni privatni ključ servera i zahtev za sertifikatom, redom. connect • communicate • collaborate
Kreiranje zahteva za sertifikatom Apache/mod_ssl Pokretanjem openssl naredbe, tražiće se unos dodatnih informacija, pre samog generisanja zahteva. Tražene podatke je potrebno tačno popuniti u skladu sa podacima koji su podneti u procesu registracije. connect • communicate • collaborate
Problemi pri generisanju zahteva Korišćenje latiničnih slova – š, đ, č, ć, ž Potrebno je podesiti terminal da prepoznaje UTF-8 karaktere: connect • communicate • collaborate
Kreiranje zahteva za sertifikatom Apache/mod_ssl Kreirani zahtev za sertifikatom može da se proveri sledećom komandom: connect • communicate • collaborate
Podnošenje zahteva Zahtev za sertifikatom podnosi ovlašćena osoba institucije određena u toku registracije institucije. Na tcs@amres. ac. rs potrebno je poslati sledeće: Sadržaj fajla. csr Pun naziv institucije pod kojim je registrovana na Portalu, ulica i broj, grad, poštanski broj Jedno ili više FQDN imena servera Period važenja sertifikata (1, 2 ili 3 godine) Serverski softver korišćen za generisanje zahteva Podatke o ovlašćenoj osobi koji su navedeni prilikom registracije e-mail adresu na koju će biti poslat sertifikat connect • communicate • collaborate
Instalacija sertifikata Sertifikat servera i lanac CA sertifikata stižu na mejl poručioca u jednom zip fajlu. Lanac sertifikata sadrži sertifikate TERENA, prelaznog (intermediate) i korenog (root) sertifikacionog tela. Sertifikat servera i lanac sertifikata je potrebno instalirati na samom serveru. Add. Trust External CA Root Issuer: . . . CN=Add. Trust External CA Root Subject: . . . CN=Add. Trust External CA Root UTN-USERFirst-Hardware Issuer: . . . CN=Add. Trust External CA Root Subject: . . . CN=UTN-USERFirst-Hardware TERENA SSL CA Issuer: . . . CN=UTN-USERFirst-Hardware Subject: . . . CN=TERENA SSL CA connect • communicate • collaborate
Instalacija sertifikata Web server – Apache/mod_ssl Dobijeni. zip fajl je prvo potrebno raspakovati: Pošto je fajl raspakovan dobijaju se dva fajla sa. crt i. ca-bundle ekstenzijama (sertifikat servera i lanac sertifikata). Za Linux distribucije nastale od Redhat-a uobičajeno je da se sertifikati i ključevi čuvaju na sledećim lokacijama, redom: U ssl. conf konfiguracionom falju potrebno je uneti odgovarajuće putanje do sertifikata servera, lanca sertifikata i ključa servera: Na kraju je potrebno restartovati web server: connect • communicate • collaborate
? connect • communicate • collaborate
Vrste znanja
Zemljovid slovenske dežele in pokrajin
Slovenske dežele v okviru sosednjih držav
Dalam permainan bola voli servis dapat diartikan dengan
Kviz priče iz davnine
Kako je potjeh tražio istinu karakterizacija likova
Vjek hvaljen budi o moj gospodine tekst
Helenisticke monarhije
Gautam shroff tcs
Alberta food safety
Tcs food
E-waste management policy-tcs
Inspects retail and foodservice operations
Tcs confidential
Asr system
At what minimum temperature should hot tcs food be held? *
Tcs in food safety
Rajesh gopinathan tcs
Big 6 illnesses
Tcs kristu jayanti
What is a tcs food
Digital omr sheet
Tcs ion industry honour certification
Saturn
