Versions Compared

Old Version 2

changes.mady.by.user Joost van Dijk

Saved on

compared with

New Version 3

changes.mady.by.user Joost van Dijk

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Met persoonscertificaten worden certificaten bedoeld die gebruikt worden om publieke sleutels te binden aan personen (dit in tegenstelling tot servercertificaten, die publieke sleutels binden aan machinesservers).

Om een persoonscertificaat aan te kunnen vragen kan gebruik worden gemaakt van de portal https://cert-manager.com/customer/surfnet/idp/clientgeant.

De persoon waar het certificaat voor bedoeld is wordt bepaald door persoonskenmerken, die uit SAML attributen worden verkregen na authenticatie via SURFconext.

De volgende attributen worden daarvoor gebruikt:

friendly name

SAML attribute name

voorbeeld

verplicht?

mail

urn:oid:0.9.2342.19200300.100.1.3

johndoe@example.eduja

eduPersonPrincipalName

urn:oid:1.3.6.1.4.1.5923.1.1.1.6

jd@example.edualleen voor grid/robot certificates

eduPersonEntitlement

urn:oid:1.3.6.1.4.1.5923.1.1.1.7

urn:mace:terena.org:tcs:personal-user

ja (voor autorisatie)

schacHomeOrganization

urn:oid:1.3.6.1.4.1.25178.1.2.9

example.eduja
cn

urn:oid:2.5.4.3

John Doealternatief voor CN
sn

urn:oid:2.5.4.4

Doealternatief voor CN
givenName

urn:

...

  • TODO... 

Certificaatprofielen

oid:2.5.4.42

Johnalternatief voor CN
displayName

urn:oid:2.16.840.1.113730.3.1.241

Johnny Doeja, voor CN

Bij het ontbreken van een displayName wordt het CN veld geconstrueerd uit gvenName+sn of cn.

Certificaatprofielen

Er bestaan drie verschillende typen (profielen) persoonscertificaten:

  • GÉANT Personal Certificate - voor bij voorbeeld het ondertekenen en versleutelen van email, of voor inloggen op servers (TLS client authenticatie).GÉANT Personal Certificate
  • GÉANT IGTF-MICS Personal - voor grid toepassingen.
  • GÉANT IGTF-MICS-Robot Personal - voor grid robot toepassingen

Voor meer informatie over het gebruik van grid certificaten, zie: https://certificate.nikhef.nl/tcsg4/

Sleutelmateriaal

Sleutelmateriaal voor certificaten bestaat uit twee delen: een publiek deel en een privaat deel. Het publieke deel wordt opgenomen als onderdeel van het certificaat bij uitgifte door de CA. Het private deel moet zorgvuldig worden opgeslagen door de persoon waarvoor het certificaat bedoeld is. Het private deel wordt immers gebruikt door de persoon om zich te authenticeren, of om versleutelde berichten te ontcijferen.

Voorheen werd sleutelmateriaal aangemaakt door de browser via een speciaal daarvoor bedoeld HTML element (<keygen>), zodat het private deel veilig op in de client (browser) kon worden opgeslagen en het publieke deel naar de CA kon worden gestuurd. Moderne browsers ondersteunen dit echter niet langer, waardoor Sectigo de mogelijkheid biedt het sleutelmateriaal op de server te genereren. Zowel het private deel als het publieke deel (ingebed in het certificaat) kunnen vervolgens in een zogeheten PKCS#12 bestand worden gedownload. het private deel wordt in dat geval beschermd door een wachtwoord dat door de gebruiker zelf gekozen kan worden. Ook kan de gebruiker kiezen tussen RSA en ECC sleutels.

Gebruikers die niet willen dat het sleutelmateriaal op de server wordt gegenereerd, hebben twee alternatieven:

  1. genereer het sleutelmateriaal zelf met daarvoor geschikte tools (bij voorbeeld openssl) en upload alleen het publieke deel in de vorm van een PKCS#10 Certificate Signing Request richting server.
  2. gebruik een alternatieve portal, die gebruik maakt van de JavaScript WebCrypto API.

Werkwijze

...

  1. Gebruik van deze portal is momenteel op basis van opt-in. Neem contact op met scs-ra@surfnet.nl