Roles de usuario en el servicio TCS


En el nuevo servicio de certificados digitales (TCS) se definen los siguientes roles o perfiles de usuario:

  • DigiCert
    • Departamento de validación
  • NREN (RedIRIS), que ha suscrito un acuerdo con GÉANT para proporcionar a sus Usuarios (instituciones afiliadas) servicios de emisión de certificados digitales.
  • Institución afiliada a la NREN (división) y usuaria del servicio de certificados digitales ofrecido por RedIRIS

1. DigiCert

DigiCert es la empresa que proporciona las CAs que emiten los certificados del servicio.

Cuenta con un departamento de validación que se encargará de contactar con las personas adecuadas dentro de cada institución afiliada a RedIRIS para realizar las validaciones oportunas.

2. NREN (RedIRIS)

RedIRIS se ha adherido al nuevo contrato que ha firmado GÉANT y DigiCert para el nuevo servicio TCS y, por ello, es la responsable de la creación de instituciones afiliadas y sus administradores dentro del portal que DigiCert proporciona para la gestión del servicio.

3. Institución afiliada a la NREN (división)

RedIRIS es la encargada de crear una zona de trabajo para cada institución afiliada. Esta zona, llamada división por DigiCert, contiene la estructura de dominios, usuarios (administradores y solicitantes) y certificados de la institución afiliada.

En el proceso de creación de la división, RedIRIS debe añadir un único administrador cualificado que será responsable de su gestión. Posteriormente, éste podrá crear otros usuarios administradores.

3.1 Administrador de la institución

Como hemos comentado, el administrador será añadido por RedIRIS en el momento de dar de alta la división y recibirá un correo con las credenciales de acceso para gestionarla.

Este administrador será el encargado de registrar todos los datos necesarios de su institución (nombres, dominios asociados, ...). Todos estos datos deben ser validados por el departamento de validación de Digicert antes de que la institución pueda comenzar a solicitar certificados.

Una vez realizada la validación, el administrador podrá añadir cuentas para aquellas personas responsables de la solicitud de los certificados (dentro los dominios asignados y validados para esa institución). Estos solicitantes también recibirán un email con sus credenciales de acceso al portal y ellos mismos podrán gestionar todo lo relacionado con sus certificados.

El administrador de una división sólo podrá gestionar los datos relacionados con su división, así como los solicitantes sólo gestionar certificados para los dominios y organizaciones de su división.

Resumiendo y ampliando esta información, enumeramos las principales responsabilidades del administrador de una división:

Responsabilidades del administrador
  • Coordinación
    • Pertener a la lista de correo tcs-user, a la que será dado de alta de forma automática desde el momento en el que se registre en el portal CertCentral de DigiCert.
  • Registros y altas
    • Edición de la ficha de su institución (división)
      Logo, descripción, preferencias
    • Alta de organización
      • Nombre legal, Nombre comercial, Teléfono, …
      • Contacto de validación
    • Alta de los dominios de su institución
      Deben estar registrados, en los registros de dominio correspondiente, a nombre de la institución
    • Elección los perfiles de certificados que se permitirán en su división y que se podrán usar bajo cada dominio
    • Alta/baja de otros adminstradores
    • Alta/baja de los usuarios solicitantes encargados de la gestión de los certificados para su división
  • Validaciones
    • Gestionar las validaciones de
      • Organización/perfiles asociados
      • Dominios
    • Coordinar el proceso de validación de dominios con el departamento de validación de DigiCert.
    • Aprobar/denegar todas y cada una de las las solicitudes de certificado de los solicitantes de su división
  • Formación y asesoramiento
    • Tener conocimientos suficientes sobre certificados digitales para formar
      • A otros administradores
      • A usuarios solicitantes
  • Control
    • Asegurarse de que todos los involucrados leen a fondo los textos legales que se almacenan en el repositorio de TCS, especialmente las condiciones de uso y los términos contractuales requeridos de TCS.
    • Comprobar que se hace un correcto uso del servicio de acuerdo con los textos legales almacenados en el repositorio de TCS: https://www.terena.org/activities/tcs/repository-g3/

3.2 Solicitante

Un solicitante es aquella persona encargada de volcar las solicitudes de los usuarios finales de su institución, o sus propias solicitudes de certificado, en el portal de DigiCert.

Para obtener el rol de solicitante debe ser dada de alta en el portal de DigiCert por el administrador de su institución. Una vez dada de alta, recibirá un email con sus credenciales de acceso, con las que podrá acceder para solicitar, renovar o revocar certificados para los dominios y perfiles que su administrador le haya habilitado.

Será potestad de cada institución decidir quien puede tener el rol de solicitante de certificados.

Responsabilidades del solicitante
  • Gestión de solicitudes
    • Recepcionar las solicitudes de los usuarios finales
    • Comprobar que la solicitud es correcta según los controles impuestos por la institución
    • Volcar las solicitudes a CertCentral
    • Enviar el certificado, una vez emitido, al usuario final
    • Mantener sus claves privadas como información confidencial (en el caso de actuar como usuario final).
    • Revisar cada certificado antes de su uso.
  • Hacer un correcto uso del servicio
    • Hacer un correcto uso del servicio de acuerdo con los textos legales que se almacenan en el repositorio de TCS, especialmente las condiciones de uso y los términos contractuales requeridos de TCS. En particular, este último contiene un texto que tendrán que aceptar previamente a la activación de su cuenta.

3.3 Usuario final (titular del certificado)

El usuario final o titular del certificado, es la persona que va a hacer uso del certificado y que tiene en su posesión la clave privada asociada al mismo.

Para realizar una solicitud de certificado deberá ponerse en contacto con el personal de su institución que actúe como solicitante y seguir sus indicaciones para la generación de la solicitud y el envío de la misma al solicitante.

Responsabilidades del usuario final
  • Contacto inicial con un usuario solicitante
    • Para informar de que desea un certificado
  • Gestión de solicitudes
    • Generar una clave privada y una CSR
    • Almacenar la clave en lugar seguro
    • Enviar la CSR al usuario soliciante
    • Recibir el certificado una vez emitido o
    • Recibir explicación del motivo de la no emisión del certificado
  • Hacer un correcto uso del servicio
    • Hacer un correcto uso del servicio de acuerdo con los textos legales que se almacenan en el repositorio de TCS, especialmente las condiciones de uso y los términos contractuales requeridos de TCS. En particular, este último contiene un texto que tendrán que aceptar previamente a la activación de su cuenta.