Roles de usuario en el servicio TCS


En el portal SCM de Sectigo no existe el concepto de divisiones tal y como había en el portal CertCentral de DigiCert.

RedIRIS dispone de una instancia de SCM que utilizarán todos los administradores del servicio TCS de RedIRIS, pero no podemos crear divisiones para las instituciones afiliadas para que sean éstas las que creen todas las organizaciones que necesiten dentro de dicha división.

RedIRIS debe crear una organización para cada institución afiliada. Pero si necesita otras organizaciones, debido a la necesidad de tener algo diferente en el campo O= de los certificados, esa nueva organización estará al mismo nivel que la organización original y no habrá ninguna división que las contenga. Podrá tener acceso a ambas organizaciones, ya que añadiremos a los mismos administradores para ambas organizaciones.

Teniendo esto en cuenta, la plataforma SCM dispone de 3 tipos de administradores:

NREN MRAO

Es el superusuario a nivel de RedIRIS como NREN que puede trabajar con todas las organizaciones, departamentos, dominios, certifiados, ...

Las responsabilidades del MRAO son:

  • Adición de nuevas organizaciones a SCM
  • Validación de nuevas organizaciones (iniciando el OV Anchor)
  • Creación del primero RAO para nuevas organizaciones
  • Ayuda a los RAOs sobre cómo utilizar el portal SCM
  • Soporte sobre preguntas, dirigidas a ellos, sobre la utilización de SCM
  • Responsable del contacto de soporte Premium, ya que los RAOs/DRAOs no pueden contactar con dicho soporte premium

RAO

Es el administrador de una organización y sus departamentos, dominios, certificados administraores RAO y DRAO que pertenecen a esa organización.

Las responsabilidades del RAO son:

  • Adición, delegación e inicio de la validación DCV de dominios
  • Adición y delegación de administradores RAO o DRAO
  • Ayuda a los DRAOs sobre la utilización del portal SCM
  • Informacióno a los DRAOs de los temas discutidos en la lista de coordinación TCS-USER
  • Formación y soporte sobre SCM a los usuarios de su organización
  • Creación de departamentos si fuese necesario
  • Creación de notificaciones en el portal
  • Configuración del apartado Discovery de SCM
  • Solicitud de certificados "SSL - Client Authentication "s/mime" - Code Signing Certificates"
  • Creación de informes
  • Contacto con el servicio de asistencia/validación de Sectigo: si surge un problema, el RAO/DRAO puede ponerse en contacto con el servicio de asistencia / validación de nivel 2 para recibir asistencia durante el horario comercial normal de lunes a viernes de 4:00 a 20:00.

    Si se produce un problema después del horario comercial normal, pueden comunicarse con los administradores de la NREN "MRAO"

DRAO

Es el administrador de un departamento, dominios, certificadoa, etcs, que pertenecen a esa organización.

Las responsabilidades del DRAO son:

  • Adición, delegación e inicio de la validación DCV de dominios
  • Adición y delegación de administradores DRAO
  • Solicitud de certificados "SSL - Client Authentication "s/mime" - Code Signing Certificates"
  • Contacto con el servicio de asistencia/validación de Sectigo: si surge un problema, el RAO/DRAO puede ponerse en contacto con el servicio de asistencia / validación de nivel 2 para recibir asistencia durante el horario comercial normal de lunes a viernes de 4:00 a 20:00.

    Si se produce un problema después del horario comercial normal, pueden comunicarse con los administradores de la NREN "MRAO"

OBSOLETO

Esta información queda obsoleta a partir del día 1/05/2020

Antiguos roles en TCS-g3 (DigiCert)

1. DigiCert

DigiCert es la empresa que proporciona las CAs que emiten los certificados del servicio.

Cuenta con un departamento de validación que se encargará de contactar con las personas adecuadas dentro de cada institución afiliada a RedIRIS para realizar las validaciones oportunas.

2. NREN (RedIRIS)

RedIRIS se ha adherido al nuevo contrato que ha firmado GÉANT y DigiCert para el nuevo servicio TCS y, por ello, es la responsable de la creación de instituciones afiliadas y sus administradores dentro del portal que DigiCert proporciona para la gestión del servicio.

3. Institución afiliada a la NREN (división)

RedIRIS es la encargada de crear una zona de trabajo para cada institución afiliada. Esta zona, llamada división por DigiCert, contiene la estructura de dominios, usuarios (administradores y solicitantes) y certificados de la institución afiliada.

En el proceso de creación de la división, RedIRIS debe añadir un único administrador cualificado que será responsable de su gestión. Posteriormente, éste podrá crear otros usuarios administradores.

3.1 Administrador de la institución

Como hemos comentado, el administrador será añadido por RedIRIS en el momento de dar de alta la división y recibirá un correo con las credenciales de acceso para gestionarla.

Este administrador será el encargado de registrar todos los datos necesarios de su institución (nombres, dominios asociados, ...). Todos estos datos deben ser validados por el departamento de validación de Digicert antes de que la institución pueda comenzar a solicitar certificados.

Una vez realizada la validación, el administrador podrá añadir cuentas para aquellas personas responsables de la solicitud de los certificados (dentro los dominios asignados y validados para esa institución). Estos solicitantes también recibirán un email con sus credenciales de acceso al portal y ellos mismos podrán gestionar todo lo relacionado con sus certificados.

El administrador de una división sólo podrá gestionar los datos relacionados con su división, así como los solicitantes sólo gestionar certificados para los dominios y organizaciones de su división.

Resumiendo y ampliando esta información, enumeramos las principales responsabilidades del administrador de una división:

Responsabilidades del administrador
  • Coordinación
    • Pertener a la lista de correo tcs-user, a la que será dado de alta de forma automática desde el momento en el que se registre en el portal CertCentral de DigiCert.
  • Registros y altas
    • Edición de la ficha de su institución (división)
      Logo, descripción, preferencias
    • Alta de organización
      • Nombre legal, Nombre comercial, Teléfono, …
      • Contacto de validación
    • Alta de los dominios de su institución
      Deben estar registrados, en los registros de dominio correspondiente, a nombre de la institución
    • Elección los perfiles de certificados que se permitirán en su división y que se podrán usar bajo cada dominio
    • Alta/baja de otros adminstradores
    • Alta/baja de los usuarios solicitantes encargados de la gestión de los certificados para su división
  • Validaciones
    • Gestionar las validaciones de
      • Organización/perfiles asociados
      • Dominios
    • Coordinar el proceso de validación de dominios con el departamento de validación de DigiCert.
    • Aprobar/denegar todas y cada una de las las solicitudes de certificado de los solicitantes de su división
  • Formación y asesoramiento
    • Tener conocimientos suficientes sobre certificados digitales para formar
      • A otros administradores
      • A usuarios solicitantes
  • Control
    • Asegurarse de que todos los involucrados leen a fondo los textos legales que se almacenan en el repositorio de TCS, especialmente las condiciones de uso y los términos contractuales requeridos de TCS.
    • Comprobar que se hace un correcto uso del servicio de acuerdo con los textos legales almacenados en el repositorio de TCS: https://www.terena.org/activities/tcs/repository-g3/

3.2 Solicitante

Un solicitante es aquella persona encargada de volcar las solicitudes de los usuarios finales de su institución, o sus propias solicitudes de certificado, en el portal de DigiCert.

Para obtener el rol de solicitante debe ser dada de alta en el portal de DigiCert por el administrador de su institución. Una vez dada de alta, recibirá un email con sus credenciales de acceso, con las que podrá acceder para solicitar, renovar o revocar certificados para los dominios y perfiles que su administrador le haya habilitado.

Será potestad de cada institución decidir quien puede tener el rol de solicitante de certificados.

Responsabilidades del solicitante
  • Gestión de solicitudes
    • Recepcionar las solicitudes de los usuarios finales
    • Comprobar que la solicitud es correcta según los controles impuestos por la institución
    • Volcar las solicitudes a CertCentral
    • Enviar el certificado, una vez emitido, al usuario final
    • Mantener sus claves privadas como información confidencial (en el caso de actuar como usuario final).
    • Revisar cada certificado antes de su uso.
  • Hacer un correcto uso del servicio
    • Hacer un correcto uso del servicio de acuerdo con los textos legales que se almacenan en el repositorio de TCS, especialmente las condiciones de uso y los términos contractuales requeridos de TCS. En particular, este último contiene un texto que tendrán que aceptar previamente a la activación de su cuenta.

3.3 Usuario final (titular del certificado)

El usuario final o titular del certificado, es la persona que va a hacer uso del certificado y que tiene en su posesión la clave privada asociada al mismo.

Para realizar una solicitud de certificado deberá ponerse en contacto con el personal de su institución que actúe como solicitante y seguir sus indicaciones para la generación de la solicitud y el envío de la misma al solicitante.

Responsabilidades del usuario final
  • Contacto inicial con un usuario solicitante
    • Para informar de que desea un certificado
  • Gestión de solicitudes
    • Generar una clave privada y una CSR
    • Almacenar la clave en lugar seguro
    • Enviar la CSR al usuario soliciante
    • Recibir el certificado una vez emitido o
    • Recibir explicación del motivo de la no emisión del certificado
  • Hacer un correcto uso del servicio
    • Hacer un correcto uso del servicio de acuerdo con los textos legales que se almacenan en el repositorio de TCS, especialmente las condiciones de uso y los términos contractuales requeridos de TCS. En particular, este último contiene un texto que tendrán que aceptar previamente a la activación de su cuenta.