Overjena digitalna potrdila za strežnike

Vsi uporabniki omrežja ARNES lahko pridobijo brezplačna overjena digitalna potrdila za svoje strežnike. Na pobudo evropskih raziskovalnih in izobraževalnih omrežij je združenje GÉANT z razpisom izbralo overitelja DigiCert, Inc., ki pod ugodnimi pogoji izdaja strežniška potrdila za uporabnike teh omrežij. Storitev imenujemo tudi TCS (Trusted Certificate Service).

Postopek pridobitve potrdila

Postopek pridobitve potrdila vsebuje štiri faze:

  1. priprava – organizacija podpiše sporazum in uradno imenuje predstavnika, Arnes preveri upravičenost organizacije do pridobitve strežniških potrdil;
  2. zahtevek – organizacija zaprosi za izdajo overjenega strežniškega potrdila;
  3. preverjanje – Arnes preveri ustreznost zahtevka in ga odobri ali zavrne;
  4. prevzem – organizacija potrdilo prevzame in ga namesti na svoj strežnik.

Zakaj potrebujete overjena digitalna potrdila za strežnike?

Širjenje storitev omrežja in povečevanje mobilnosti uporabnikov povečuje potrebo po varnem prenosu podatkov med strežniki in uporabniki. Tega dosežemo z uporabo šifriranja in digitalnega podpisovanja, protokola, ki se običajno uporabljata v te namene pa sta SSL (Secure Sockets Layer) in TLS (Transport Layer Security, RFC 4346). Na začetku takšne komunikacije se mora strežnik identificirati z overjenim digitalnim potrdilom (pogovorno: certifikatom). Takšno potrdilo lahko sicer skrbnik strežnika ustvari tudi sam (t. i. samopodpisano potrdilo), vendar se uporabnikom v takšnem primeru prikaže opozorilo brskalnika, da overitelj ni znan (glej spodnjo sliko). Spletni brskalniki namreč vsebujejo seznam znanih overiteljev, za katere lahko samodejno preverijo veljavnost potrdila.

1. Priprava (imenovanje predstavnikov)

Pripravo sproži organizacija, ki želi pridobiti overjeno strežniško potrdilo. To stori s podpisom TCS sporazuma. V njem se seznani s pogoji, ki so dogovorjeni med GÉANT-om in DigiCertom in imenuje eno ali več oseb, ki lahko v imenu ustanove zahtevajo izdajo strežniškega potrdila ali njegov preklic. Po prejemu obrazca Arnes preveri, ali je ustanova upravičena do storitev omrežja v skladu s kriteriji, ki jih določa medresorska komisija ministrstev. Imenovani pooblaščenci prejmejo obvestilo Arnesa o veljavnosti pooblastil (oz. o zavrnitvi) po elektronski pošti.

TCS sporazum (PDF dokument)

2. Zahtevek za izdajo strežniškega potrdila

Pooblaščenec pošlje CSR datoteko (Certificate Signing Request) za strežnik na elektronski naslov . Zahtevek mora poslati z naslova, ki je naveden na seznamu pooblaščencev za ustanovo. V sporočilu mora biti navedeno:

  • tip certifikata (SSL OV, SSL EV),
  • primarno ime za strežnik in vsa ostala imena,
  • platforma (apache, IIS, …),
  • veljavnost certifikata (1, 2 ali 3 leta).

*Podatki (npr. ime organizacije) morajo biti identični podatkom za domeno (whois podatki).

Podrobna tehnična navodila za podajo zahtevka se nahajajo na tej spletni strani. Izdajatelj certifikatov Digicert ne izdaja potrdil za ključe manjše od 2048 bitov. Zahteva mora biti zato ustvarjena s ključem, ki je dolg vsaj 2048 bitov.

Če želite certifikat za Arnesov virtualni strežnik (GVS), preberite navodila tukaj.

3. Preverjanje ustreznosti zahtevka

Po prejemu CSR datoteke Arnes preveri naslednje:

  1. ali je organizacija upravičena do storitev omrežja Arnes;
  2. ali je organizacija že imenovala pooblaščence in je zahtevek podal eden od njih;
  3. ali ima organizacija pravico do domene, na katero se zahtevek nanaša.

Pri prvem zahtevku Arnes vnese podatke o organizaciji in pooblaščeni osebi v portal za izdajo certifikatov, nakar se izvede validacija organizacije in domene. Validacija domene se opravi preko elektronske pošte na naslove:

, , , , in na naslov tehničnega kontakta domene.

Po uspešno končani validaciji bomo lahko izdali strežniški certifikat.

4. Prevzem in namestitev strežniškega potrdila

Pooblaščenec prejme strežniško potrdilo po elektronski pošti. Sporočilo vsebuje tako samo potrdilo za strežnik, kot tudi prehodni certifikat TERENA SSL CA.

Pomoč uporabnikom

01 479 88 00
(delavniki, 8:00–20:00)