Guía del perfil de certificados personales

Servicio de Certificados de RedIRIS (SCS)


Objetivo

Los certificados personales, también conocidos como certificados de cliente, tienen como propósito identificar a los usuarios y proteger las comunicaciones mediante correo electrónico. Estos certificados se pueden emitir con el fin de autenticar individuos como personal reconocido de instituciones afiliadas a RedIRIS.

Estos certificados tienen una duraciónde 1, 2 y 3 años.

Quién puede solicitar un certificado personal

Los certificados personales van dirigidos a toda aquella persona que forme parte de una institución afiliada a RedIRIS, incluidos alumnos.

Condiciones de uso
  • Las instituciones deben estar dadas de alta en el servicio de certificados de servidor (SCS) de RedIRIS, lo cual se hace mediante el documento de condiciones de uso del perfil de certificados de servidor.
  • Los usuario sólo podrán solicitar certificados cuyas direcciones de correo electrónico pertenezcan a aquellos dominios de internet que su institución haya solicitado en el documento de condiciones de uso citado anteriormente.
  • Los certificados personales, sólo contendrán las direcciones de correo electrónico que hayan sido enviadas (en el atributo mail) por el proveedor de identidad (IdP) de cada institución, en la aserción que éste emite acerca del usuario.
    Si el atributo mail contiene alguna dirección de correo que no pertenece a ninguno de los dominios previamente validados de su institución, estas direcciones serán ignoradas, y no se certificarán.
  • RedIRIS se reserva el derecho a revocar el certificado unilateralmente en el momento en el cual tenga una prueba confiable de que el usuario incumple lo declarado en la política del perfil de certificados personales
  • RedIRIS no tendrá en ningún momento la clave privada del certificado, por lo que si un usuario pierde esta clave privada, no se podrá descifrar ningún correo electrónico que haya recibido cifrado con la clave publica del certificado.
    Es decir, si alguien le ha enviado o envía un correo electrónico cifrado con la clave pública de su certificado, y usted pierde la clave privada de su certificado, usted no podrá descifrar dichos correos electrónicos.
  • El usuario por el hecho de solicitar un certificado declara la veracidad de los datos que el interfaz de solicitud de certificados (ISC) le muestra antes de realizar la solicitud. Estos datos son recuperados de la aserción que envía el IdP de la institución a la que pertenece el usuario.

Resumiendo,

  • No existe un Documento Condiciones de Uso concreto para este servicio
  • Se utilizará el CUSO enviado para SCS
    • Las instituciones actualmente dadas de alta en SCS no tendrán que enviar ningún papel nuevo
    • Los dominios habilitados para SCS serán los dominios permitidos para las direcciones de correo de los usuarios en SCP
    • Las direcciones de correo de una persona que no pertenezcan a los dominios habilitados para su institución serán ignoradas

Politica de atributos

Una vez que una institución forma parte del servicio de identidad de RedIRIS (SIR), debe cumplir con la politica de atributos aquí detallada con el objetivo de que sus miembros puedan acceder al ISC para solicitar certificados.

Atributos requeridos

  • mail: Direcciones de correo separadas por '|'
  • uid: Identificador de usuario
  • sHO: Este atributo debe identificar unívocamente a la institución del usuario, por lo que no se permiten valores genéricos como los generados por el proveedor de identidad AESIR.
  • ePA: Este atributo es utilizado para realizar el control de acceso a la solicitud de certificados personales. Los valores aceptados para este atributo son:
    • student: Estudiantes
    • faculty: PDI
    • staff: PAS
    • employee: staff & faculty
    • member: staff, faculty & student
    Este atributo es multi-valuado, por lo que se utiliza el mismo separador que para el atributo mail, la barra vertical '|'

Detalles técnicos

Jerarquía de las Autoridades de Certificación

La cadena de certificación para los certificados personales está formada por tres certificados, es decir, hay dos autoridades de certificación intermedias antes de llegar a la raíz. Tal y como se muestra en el siguiente diagrama

Jerarquia de CAs para TCS


Subject DN

El subject DN del certificado se compone de los siguientes RDNs con los valores mostrados:

  • Country (C): ES (valor fijo)
  • Organization (O): RedIRIS (valor fijo)
  • commonName (CN)*: Nombre Apellido1 Apellido2
  • unstructuredName (UN)**: http://yo.rediris.es/soy/UID@sHO

(*) El RDN commonName (CN) depende de los atributos que envíe el IdP de la institución a la que pertenece el usuario. El procedimiento para componer el CN es el siguiente:
composición del CN

  1. Si el atributo dispN está presente en la aserción enviada por el IdP es usado, en caso contrario...
  2. Si los atributos gn, sn1 y sn2 están presentes en la aserción enviada por el IdP serán usados en caso contrario...
  3. Si los atributos gn y sn están presentes en la aserción enviada por el IdP serán usados, en caso contrario...
  4. Si el atributo cn está presente en la aserción enviada por el IdP será usado, en caso contrario...
  5. Si el atributo uid está presente en la aserción enviada por el IdP será usado, en caso contrario...
  6. Se producirá un error y se denegará la solicitud de certificados al solicitnate por no poder ser identificado correctamente
Se aconseja comprobar la codificación SIR para aquellos atributos que aparecen en los esquemas recomendados por RedIRIS y cuyo uso se considera habitual en la comunidad.


(**)El RDN unstructuredName ha de ser un identificador traceable, único y persistente del propietario del certificado en el ámbito del IdP de la institución a la que pertenece.
El valor para dicho atributo será el identificador openID que el SIR proporciona para todo el personal de las instituciones adscritas al SIR y que cumplan con los requisitos técnicos

Extensiones x509 v3

El conjunto de extensiones que dispondrán estos certificados es el siguiente:

  • X509v3 Key Usage
    • Digital signature: permite realizar firma digital
    • Key Encipherment: permite utilizar este certificado para cifrar claves a modo de secretos compartidos
  • X509v3 Extended Key Usage
    • E-mail Protection: permite enviar correo electrónico firmado digitalmente así como enviar y recibir correo electrónico cifrado
    • TLS Web Client Authentication: permite utilizar el certificado para autenticar al propietario del mismo según el protocolo TLS
  • X509v3 Subject Alternative Name
    • Hasta diez direcciones de correo electrónico

Solicitud de alta en el servicio SCP

Este servicio va destinado a usuarios finales y por tanto se hace necesario que cada institución se comprometa a dar soporte a sus usuarios.

Para ello debe proporcionar una dirección de correo electrónico de consulta y una página web donde explique cómo funciona el servicio dentro de su institución

Teniendo esto en cuenta, el procedimiento para la solicitud de alta de la institución en SCP es el siguiente:

Una de las personas que ya figura como administrador para SCS debe enviar un correo electrónico a scs-ra[a]rediris.es solicitando el alta de la institución en el SCP. En dicho correo debe enviar la información relacionada con el servicio dentro de su institución

Una vez que RedIRIS verifique que tanto la dirección de correo como la página web existen habilitará el acceso de los usuarios de la institución al servicio.

Servicio FINALIZADO