|
|
|
|
Política
de Certificación de la Universidad de Murcia
|
1.
INTRODUCCIÓN
2.
IDENTIDAD DE LA CA
Universidad
de Murcia.
3.
ÁMBITO DE LA CA
El
árbol de certificación.
Uso
de las Agencias de Registro.
Entidades
finales
4.
SEGURIDAD Y PRIVACIDAD
Requisitos
de seguridad impuestos a las claves e identidades de la UM-CA.
Requisitos
de seguridad impuestos a las claves e identidades de las Agencias de Registro
a firmar por la UM-CA.
5.
POLÍTICA DE CERTIFICACIÓN
Política
de seguridad.
Intervalo
de validez de los Certificados Digitales.
Convención
de nombres.
Uso
de extensiones en certificados X509v3.
6.
MANEJO DE CERTIFICADOS
7.
MANEJO DE CRLs
8.
OBLICACIONES
Obligaciones
de la Universidad de Murcia.
Obligaciones
de las Agencias de Registro.
Obligaciones
de los suscriptores de Certificados de Identidad Personal.
Obligaciones
de los responsables de servidores que posean Certificados Digitales de
Servidor.
Obligaciones
de las Autoridades de Certificación firmadas por UM-CA.
9.
RESPONSABILIDADES
Responsabilidad
de la Universidad de Murcia.
Responsabilidad
de las Agencias de Registro.
Responsabilidad
del suscriptor de un Certificado de Identidad Personal.
Responsabilidad
de los responsables de servidores que posean Certificados Digitales de
Servidor.
Responsabilidad
de las Autoridades de Certificación firmadas por UM-CA.
10.
SOLICITUDES
Solicitudes
de Certificados de Identidad Personal.
Solicitudes
de Certificados Digitales de Servidor.
Solicitudes
de Certificados Digitales de CA.
11.
REVOCACIONES
Causas
de la Revocación.
Revocación
a petición del suscriptor de un Certificado de Identidad Personal.
Revocación
de un Certificado Digital de Servidor.
Revocación
de un Certificado Digital de CA.
Revocación
por error en la emisión.
Revocación
del certificado de UM-CA.
Revocación
del certificado de una Agencia de Registro.
12.
EXPIRACIÓN DE LOS CERTIFICADOS
ANEXO
I – DESIGNACIÓN FORMAL DEL RESPONSABLE TÉCNICO
ANEXO
II – ACUERDO LEGAL
ANEXO
III - ABREVIACIONES
1.
INTRODUCCIÓN
Este documento recoge los procedimientos
a que se ajusta la Autoridad de Certificación de la Universidad
de Murcia (en adelante, UM-CA) en la provisión de servicios de certificación
a su comunidad universitaria, dentro del marco de la red académica
y de investigación española (RedIris). UM-CA está
certificada por IRIS-PCA, la Autoridad de Certificación raíz
de RedIris, cumpliendo, por tanto, todas las normas y requisitos expuestos
en la política de certificación de IRIS-PCA. La política
de certificación de IRIS-PCA se encuentra disponible en:
http://www.rediris.es/cert/ca/condiciones.es.html.
2.
IDENTIDAD DE LA CA
Distinguished Name (DN): C=ES, ST=Murcia,
O=Universidad de Murcia, CN=CA de la Universidad de Murcia, UID=UM-CA
UM-CA será gestionada por:
Servicio de Informatica
Universidad de Murcia
Edificio D, Campus Univ. de Espinardo
30100 MURCIA
SPAIN
Personas de contacto:
Grupo de Seguridad y Criptografía
e-mail: ca@um.es
Tel: +34 968 36 71 28
Fax: +34 968 36 33 89
Duración: 13 de Febrero de 2001
Información sobre el proyecto
de certificación: http://www.um.es/si/ssl
Universidad
de Murcia.
La Universidad de Murcia es una Institución
destinada al servicio público de la educación superior. Sus
estatutos citan como sus fines prioritarios la creación, desarrollo
y crítica de la ciencia, la técnica y la cultura a través
del estudio y la investigación, así como la transmisión
de estos conocimientos por medio de la educación. Se puede encontrar
más información sobre ella en http://www.um.es/
3.
ÁMBITO DE LA CA
El ámbito de UM-CA viene determinado
por la política general de la Universidad de Murcia. UM-CA certificará
exclusivamente a los miembros de la Universidad de Murcia: personal docente
e investigador, personal de administración y servicios, y alumnos,
así como a los servidores instalados dentro en la Universidad de
Murcia y gestionados por personal propio de esta institución. Adicionalmente,
podrá firmar también certificados de otras Autoridades de
Certificación instaladas en organismos dependientes de la Universidad
de Murcia.
El
árbol de certificación.
El árbol de certificación
se compone de los siguientes elementos:
Autoridad de Certificación
raíz de RedIRIS (IRIS-PCA), que certifica la clave pública
de UM-CA.
Autoridad de Certificación
raíz de la Universidad de Murcia (UM-CA), que firmará los
certificados de los miembros de la comunidad universitaria, así
como los servidores ubicados en esta organización. Adicionalmente,
podrá firmar también certificados de otras Autoridades de
Certificación instaladas en organismos de la Universidad de Murcia.
Agencias de Registro, que serán
las encargadas de la autenticación e identificación de los
usuarios y de completar el protocolo definido en este documento para la
emisión y revocación de certificados
Certificados Digitales de Servidor.
Certificados Digitales de Identidad
Personal.
Certificados Digitales de CAs subordinadas.
Uso
de las Agencias de Registro.
Debido a que la Autoridad de Certificación
se encuentra, en muchos casos, alejada de los usuarios finales, se establecerán
Agencias de Registro que serán las encargadas de la autenticación
e identificación de los usuarios y de completar el protocolo definido
en este documento para la emisión y revocación de dichos
certificados. Una vez creado el certificado, el usuario podrá obtenerlo
tantas veces como sea oportuno a través del repositorio de certificados
asociado con la Autoridad de Certificación emisora de la credencial
digital.
Las Agencias de Registro se localizarán
en los puntos de atención al usuario de las distintas Escuelas,
Facultades, Servicios y otros centros dependientes de la Universidad de
Murcia. Los Agentes de Registro formarán parte del personal de la
Universidad de Murcia.
Los Agentes de Registro que forman
parte de la Agencia de Registro que controla las actividades de la UM-CA
formarán parte del personal del Servicio de Informática de
la Universidad de Murcia.
El intercambio de información
para verificar la identidad, y los protocolos de certificación que
se seguirán son descritos en este documento, y dependerán
del tipo de certificado a emitir. En este aspecto, se distinguen tres tipos
de certificados:
Certificados Digitales de Identidad
Personal (CDIP).
Certificados Digitales de Servidor
(CDS).
Certificados Digitales de CAs.
Todas las Agencias de Registro, así
como los agentes encargados de ellas, aceptan los términos operativos
indicados en los apartados 10 y 11.
Entidades
finales
Por entidades finales de esta infraestructura
de seguridad, entendemos los suscriptores de certificados (tanto de Certificados
de Identidad Personal, Certificados Digitales de Servidor y Certificados
Digitales de CAs), que deberán ajustarse a los procedimientos establecidos
para la petición de certificados indicados en el apartado 10 y a
los procedimientos indicados para la revocación de certificados
del apartado 11, así como cumplir los requisitos que se establezcan
en esta política.
4.
SEGURIDAD Y PRIVACIDAD
Requisitos
de seguridad impuestos a las claves e identidades de la UM-CA.
UM-CA operará en una estación
de trabajo dedicada.
El intercambio de información
entre esta estación de trabajo dedicada y el resto del mundo se
realizará a través del protocolo SSL con autenticación
unilateral de servidor y utilizando claves simétricas de longitud
y entropía no inferior a 128 bits, y con claves asimétricas
de longitud y entropía no inferior a 1024 bits si se trata de RSA
y 2048 bits en el caso de claves DSS. Esta estación de trabajo tendrá
deshabilitados todos los servicios de red que no sean imprescindibles para
el funcionamiento del servicio, manteniendo seguros aquellos que sean necesarios.
La clave privada de la UM-CA estará
en todo momento cifrada cuando se almacene en modo permanente.
Tanto el hardware como el software
de la estación que opera la UM-CA se mantendrá en todo momento
físicamente seguro.
El par de claves RSA de la UM-CA
será de al menos 1024 bits.
Requisitos
de seguridad impuestos a las claves e identidades de las Agencias de Registro
a firmar por la UM-CA.
El par de claves RSA de una Agencia
de Registro tendrá una longitud de al menos 1024 bits.
La clave privada de una Agencia de
Registro se almacenará en una tarjeta inteligente, protegida por
PIN.
Tanto el hardware como el software
de la estación que opera la Agencia de Registro se mantendrá
en todo momento físicamente seguro.
5.
POLÍTICA DE CERTIFICACIÓN
Política
de seguridad.
Sólo se emitirán Certificados
Digitales de Identidad Personal para aquellos beneficiarios que mantengan
vínculo contractual con la Universidad de Murcia. Esto es, personal
docente e investigador, personal de administración y servicios,
y alumnos.
Sólo se emitirán Certificados
Digitales de Identidad de Servidor a favor de aquellos equipos ubicados
en los locales de la Universidad de Murcia, que sean gestionados por personal
propio con esta institución.
La Autoridad de Certificación
raíz de la Universidad de Murcia (UM-CA) será gestionada
por personal propio vinculado de forma permanente con esta institución.
La emisión de cualquier certificado
será la última consecuencia del protocolo de identificación
que se describe en el apartado 10.
La revocación de cualquier
certificado será de acuerdo a lo establecido en el apartado 11.
Intervalo
de validez de los Certificados Digitales.
El intervalo de validez de los Certificados
Digitales de Identidad Personal y de Identidad de Servidor será
como máximo el especificado en la relación contractual del
individuo que lo solicita o del responsable técnico directo del
servidor respectivamente. Lo más usual, será que los Certificados
Digitales tengan un período de validez de un año.
En el caso del alumnado, el plazo
de validez será de un año, excepto alumnos de programas de
intercambio (como Erasmus, Intercampus, etc.), cuyo tiempo de estancia
en la Universidad de Murcia sea menor de 1 año, en cuyo caso será
el tiempo de estancia en esta institución.
En el caso del personal docente e
investigador y del personal de administración y servicios, el plazo
de validez será de dos años, excepto para aquellos certificados
asociados a personas cuyo contrato laboral con la Universidad de Murcia
sea menor en tiempo, en cuyo caso será el tiempo que establezca
el contrato.
Las CAs subordinadas no podrán
tener un período de validez superior al de la CA firmante.
Convención
de nombres.
CA-UM se encargará de asegurar
la unicidad de los DN (Distinguished Names) de los Certificados Digitales
de Identidad Personal y de los Certificados Digitales de Servidor. La unicidad
del DN de los CDIP se asegura mediante consulta al Servicio de Directorio
de la Universidad de Murcia, que contiene los DNs de todos los miembros
de la comunidad universitaria.
El DN de los Certificados Digitales
de Identidad Personal consta de los siguientes campos, con los siguientes
valores:
C = ES
O = Universidad de Murcia
OU = <Facultad, escuela o servicio
al que pertenece>
CN = <Nombre completo de la persona>
E-mail = <e-mail de la persona>
UID = <DNI de la persona>
El DN de los Certificados Digitales
de Servidor consta obligatoriamente de los siguientes campos, con los siguientes
valores:
C = ES
O = Universidad de Murcia
OU = <Facultad, escuela o servicio
en el que se encuentra ubicado>
CN = <Nombre en el DNS de la máquina>
El DN de los Certificados de CAs consta
obligatoriamente de los siguientes campos:
C = ES
ST = <Provincia>
O = <Nombre de la organización>
CN = <Nombre Común>
Uso
de extensiones en certificados X509v3.
Se considera obligatorio el uso de
las siguientes extensiones no críticas:
nsRevocationURL. Determina
la URL absoluta o relativa donde está ubicada la Lista de Certificados
Revocados (CRL) emitidos por una CA determinada. Sólo aparece en
CDIP y CDS.
nsCARevocationURL. Determina
la URL absoluta o relativa donde está ubicada la Lista de Certificados
Revocados (CRL) emitidos por una CA determinada. Sólo aparece en
Certificados Digitales de CA.
nsCertType. Limita el uso
de un certificado al especificado en esta extensión (SSL client,
SSL server, S/MIME, Object Signing, SSL CA, S/MIME CA, Object Signing CA).
nsCAPolicyURL. Determina la
URL relativa o absoluta donde está ubicada la Política de
Certificación.
authorityKeyIdentifier. Identifica
la clave pública de la CA con la que se firmó el certificado.
SubjectKeyIdentifier. Identifica
la clave pública de la entidad certificada.
6.
MANEJO DE CERTIFICADOS
Todos los Certificados de Identidad
Personal firmados por UM-CA están disponibles a través del
protocolo LDAP en un servidor de directorio de la Universidad de Murcia.
Los agentes de usuario o navegadores pueden, a través de este protocolo,
recuperar el certificado de cualquier miembro de la comunidad universitaria.
Asimismo, UM-CA mantendrá
constancia en su base de datos de todos los certificados firmados o revocados
por ella.
7.
MANEJO DE CRLs
Las CRLs (Certificate Revocation
List) se firmarán periódicamente, al menos una vez al mes,
por UM-CA. UM-CA es responsable de establecer una extensión en su
certificado que indique la URL donde encontrar la Lista de Certificados
Revocados para que de esta manera sea fácilmente accesible por los
usuarios.
UM-CA se compromete a mantener actualizada
la CRL, incluyendo todos los certificados revocados desde la última
actualización.
8.
OBLICACIONES
Obligaciones
de la Universidad de Murcia.
La Universidad de Murcia se obliga,
en todo caso, a:
Ofrecer y mantener la infraestructura
necesaria para los servicios de certificación de la Universidad
de Murcia, incluyendo el establecimiento y operatividad del depósito
de certificados, así como los controles de seguridad física,
de procedimiento y de seguridad técnica descritos en las secciones
4 y 5 de este documento.
Aprobar definitivamente o denegar
las solicitudes de certificados y, en el primer caso, emitir los certificados
de acuerdo con lo establecido en el apartado 10.
Poner copias de sus propios certificados
y de cualquier información de revocación a disposición
de quien desee verificar una firma digital con referencia a dichos certificados,
para lo cual se publicarán dichas informaciones en el directorio
de la Universidad de Murcia.
Revocar los certificados en el modo
establecido en el apartado 11.
Proteger los datos personales de
los solicitantes que le suministre la Agencia de Registro, de acuerdo a
la normativa vigente de protección de datos y la política
de la Universidad de Murcia al respecto.
Comunicar inmediatamente, digitalmente
y por escrito, a RedIRIS, el compromiso, pérdida, divulgación,
modificación, uso no autorizado, suspensión o reactivación
de la clave privada de UM-CA, para que estas acciones tengan efecto dentro
de la responsabilidad de la Autoridad de Certificación de RedIRIS.
Obligaciones
de las Agencias de Registro.
La Agencia de Registro debe:
Llevar a término la identificación
y autenticación de los solicitantes de certificados, de acuerdo
con los procedimientos de validación establecidos en el apartado
10.
Llevar a término la identificación
y autenticación para la revocación de certificados, de acuerdo
con los procedimientos de validación establecidos en el apartado
11.
Realizar la carga de las solicitudes
de certificados y revocación válidas en el sistema.
Proteger los datos personales de
los solicitantes, que no podrá ceder a terceros bajo ningún
concepto.
En caso de tener acceso a la información
relativa a las claves privadas de los solicitantes, no ceder a la Autoridad
de Certificación ni a terceros esta información, eliminándola
por completo una vez entregada a éstos, de acuerdo al apartado 10.
Atender las solicitudes, peticiones
y requisitos de los solicitantes referidas a los procedimientos propios
de la Agencia de Registro y de la entidad de emisión, que no deberá
comunicarse con el usuario final en ningún caso.
Proteger su clave privada.
Comunicar inmediatamente al Agente
de Registro de UM-CA, el compromiso, pérdida, divulgación,
modificación o uso no autorizado de la clave privada, para que el
certificado sea revocado y se tomen las medidas oportunas.
Obligaciones
de los suscriptores de Certificados de Identidad Personal.
Los solicitantes de Certificados
de Identidad Personal y, tras la aceptación de los certificados,
los suscriptores, deben:
Proteger sus claves privadas.
Comunicar inmediatamente a la Universidad
de Murcia, a través de sus Agencias de Registro, el compromiso,
pérdida, divulgación, modificación o uso no autorizado
de la clave privada, para que el certificado sea revocado.
Obligaciones
de los responsables de servidores que posean Certificados Digitales de
Servidor.
Los responsables directos de servidores
que posean un Certificado Digital de Servidor firmado por UM-CA deben:
Proteger la clave privada del servidor.
Comunicar inmediatamente al Agente
de Registro de UM-CA, el compromiso, pérdida, divulgación,
modificación o uso no autorizado de la clave privada del servidor,
para que el certificado sea revocado y se tomen las medidas oportunas.
Obligaciones
de las Autoridades de Certificación firmadas por UM-CA.
Toda Autoridad de Certificación
y sus correspondientes Agentes de Registro conocen la política de
certificación seguida por UM-CA y por la Autoridad de Certificación
de RedIRIS, estando obligados a:
Una Autoridad de Certificación
registrada por UM-CA en ningún caso emitirá certificados
con una duración superior a la vigencia del vínculo administrativo
existente entre el solicitante y la institución a la que pertenece.
Toda Autoridad de Certificación
registrada bajo UM-CA se compromete y obliga a notificar a ésta,
a través de un medio seguro, cualquier revocación, suspensión
o reactivación de sus claves para la emisión de certificados
públicos para que estas acciones tengan efecto dentro de la responsabilidad
de la Autoridad de Certificación de la Universidad de Murcia.
Toda Autoridad de Certificación
registrada bajo UM-CA se compromete y obliga a proteger sus claves secretas
utilizadas en la emisión de certificados públicos con el
mismo nivel de seguridad que declara la Autoridad de Certificación
de la Universidad de Murcia.
La política de certificación
seguida por toda Autoridad de Certificación registrada bajo UM-CA
será igual o más restrictiva a la descrita en este documento.
9.
RESPONSABILIDADES
Responsabilidad
de la Universidad de Murcia.
La Universidad de Murcia garantiza
el cumplimiento de sus obligaciones anteriormente expuestas y, específicamente,
que la clave privada de UM-CA no ha sido comprometida, a menos que se anuncie
lo contrario, en cuyo caso notificará a la Autoridad de Certificación
de RedIris digitalmente y por escrito de este hecho.
La Universidad de Murcia se responsabiliza
frente a su comunidad universitaria de los errores producidos por fallo
de su sistema durante los procedimientos de carga de peticiones, generación,
renovación y revocación de certificados.
Cualquier anomalía o incidente
producidos entre el momento de la revocación, suspensión
o reactivación de la clave de UM-CA y el momento de la notificación
de tal extremo a la Autoridad de Certificación de RedIRIS es responsabilidad
única y exclusiva de la Universidad de Murcia.
Cualquier incidente o responsabilidad
nacidos del compromiso de la clave privada de UM-CA es responsabilidad
única y exclusiva de la Universidad de Murcia.
Responsabilidad
de las Agencias de Registro.
Es responsabilidad de las Agencias
de Registro la correcta identificación de los solicitantes, tanto
para la emisión de certificados como para la revocación o
suspensión.
Cualquier anomalía o incidente
producido entre el momento de la revocación, suspensión o
reactivación de la clave privada y el momento de la notificación
de tal extremo al Agente de Registro de UM-CA es responsabilidad única
y exclusiva de aquélla.
Cualquier incidente o responsabilidad
nacidos del compromiso de la clave privada de una Agencia de Registro es
responsabilidad única y exclusiva de dicha Agencia de Registro.
Responsabilidad
del suscriptor de un Certificado de Identidad Personal.
Cualquier anomalía o incidente
producidos entre el momento de la revocación, suspensión
o reactivación de la clave privada correspondiente a un Certificado
de Identidad Personal y el momento de la notificación de tal extremo
al Agente de Registro es responsabilidad única y exclusiva del suscriptor.
Cualquier incidente o responsabilidad
nacidos del compromiso de la clave privada asociada a un Certificado de
Identidad Personal es responsabilidad única y exclusiva del suscriptor.
Responsabilidad
de los responsables de servidores que posean Certificados Digitales de
Servidor.
Cualquier anomalía o incidente
producidos entre el momento de la revocación, suspensión
o reactivación de la clave privada correspondiente a un Certificado
Digital de Servidor, y el momento de la notificación de tal extremo
al Agente de Registro de UM-CA, es responsabilidad única y exclusiva
del responsable de aquél.
Cualquier incidente o responsabilidad
nacidos del compromiso de la clave privada asociada a un Certificado Digital
de Servidor es responsabilidad única y exclusiva del responsable
de dicho servidor.
Responsabilidad
de las Autoridades de Certificación firmadas por UM-CA.
Cualquier anomalía o incidente
producidos entre el momento de la revocación, suspensión
o reactivación de una clave emisora de certificados públicos
por parte de cualquier Autoridad de Certificación inscrita, y el
momento de la notificación de tal extremo a la Autoridad de Certificación
de la Universidad de Murcia, son responsabilidad única y exclusiva
de aquélla.
Cualquier incidente o responsabilidad
nacidos del compromiso de la clave privada de firma de una Autoridad de
Certificación inscrita ante UM-CA será responsabilidad única
y exclusiva de aquélla.
10.
SOLICITUDES
La generación de certificados
firmados por UM-CA se realizará, dependiendo del tipo de certificado,
de acuerdo a las siguientes cláusulas:
Solicitudes
de Certificados de Identidad Personal.
La identificación de las personas
se hará a través del Documento Nacional de Identidad, el
Pasaporte, el Carnet de Conducir o la Tarjeta de Residencia. El protocolo
de identificación se compondrá de los siguientes pasos:
El
solicitante de la credencial se personará ante el Agente de Registro
y le presentará cualesquiera de las credenciales antes mencionadas
para que el agente verifique la autenticidad y vigencia de las mismas.
Confirmada la autenticidad y validez
de las credenciales presentadas por el solicitante, el Agente de Registro
verificará la razonable coincidencia entre la fotografía
contenida en aquellas y la apariencia física del solicitante.
A continuación, el Agente
de Registro comprobará que el solicitante mantiene relación
contractual con la Universidad de Murcia. En el caso de un alumno, comprobará
que está matriculado en el curso académico actual. Si se
trata de un trabajador, comprobará que está contratado en
ese momento. Esta comprobación se puede realizar mediante consulta
a las bases de datos de la institución, o mediante presentación
de resguardo de matrícula (para el caso del alumnado) o contrato
laboral (para el caso del personal).
Después, se generarán
el par de claves pública/privada. La clave privada se almacenará
en la tarjeta inteligente del solicitante. En ningún caso, el Agente
de Registro almacenará o accederá a la clave privada del
solicitante.
Con la clave pública, se creará
la solicitud electrónica de certificado, que quedará en poder
del Agente de Registro, que será el encargado de hacerla llegar
a la Autoridad de Certificación. Es responsabilidad del Agente de
Registro comprobar que todos los datos de la solicitud electrónica
de certificado son correctos (CN, OU, E-mail, DNI).
Asimismo, también se creará
un documento de solicitud (en papel), en el que se recojan los siguientes
datos: fecha de la solicitud, datos del solicitante (nombre, OU, E-mail,
DNI, etc.) y datos de la clave pública
En este punto, el Agente de Registro
pedirá al solicitante que firme, en su presencia, original y copia
del documento de solicitud y, una vez hecho esto, el agente comprobará
la firma manuscrita del documento de solicitud con la que aparece en las
credenciales oficiales presentadas, después de lo cual procederá
también a la firma manual y sellado de la solicitud, considerada
a partir de este momento como aceptada.
Llegados a este punto, al solicitante
se le considera acreedor de un certificado digital de identidad como miembro
de la Universidad de Murcia.
El solicitante podrá obtener
su nuevo certificado tantas veces como crea oportuno a través del
servidor de certificados asociado con la Autoridad de Certificación
emisora de la credencial digital.
Solicitudes
de Certificados Digitales de Servidor.
La concesión de Certificados
Digitales de Servidor se hará a través del protocolo de identificación
que se describe a continuación:
El
solicitante de un certificado de Servidor será su responsable directo
y deberá disponer de una credencial de Identidad Personal emitida
por UM-CA.
El solicitante creará la solicitud
de certificado digital para el servidor, que consta de lo siguiente: solicitud
de certificado en formato PKCS#10, datos del servidor (tipo y nombre en
el DNS), fecha y datos de la ubicación geográfica (departamento,
dirección postal, localidad).
El solicitante enviará a la
Agencia de Registro de la CA, junto con una copia de su Certificado de
Identidad Personal, la solicitud de certificado firmada con su clave personal.
Este envío se puede realizar a través de un mensaje de correo
firmado o a través de un archivo firmado.
El Agente de Registro procederá
a verificar tanto la validez del Certificado de Identidad del solicitante
como la firma que acompaña a la solicitud digital.
Una vez verificada la identidad del
solicitante y la autenticidad de la solicitud digital, el Agente de Registro
analizará el contenido del documento de solicitud en aras a determinar
si procede o no la aceptación de dicha solicitud.
Llegados a este punto, y en el caso
de que la solicitud sea procedente, el servidor descrito en la solicitud
pasa a ser acreedor de un Certificado Digital de Servidor dentro de la
Universidad de Murcia.
La entrega del certificado digital se
hará mediante envío al administrador solicitante como mensaje
de correo electrónico.
Solicitudes
de Certificados Digitales de CA.
La concesión de un certificado
digital firmado por la Autoridad de Certificación UM-CA se hará
bajo el protocolo descrito a continuación:
Será
el responsable del grupo de interés (Departamento, Facultad, Centro
de Investigación, etc.), el que solicitará a la Agencia de
Registro de UM-CA la firma digital de una Autoridad de Certificación
adscrita a la Autoridad de Certificación de la Universidad de Murcia.
El solicitante, a su vez, deberá
designar al responsable técnico directo de la Autoridad de Certificación,
el cual deberá mantener una relación contractual permanente
con dicho organismo.
El solicitante deberá enviar
a la Agencia de Registro de UM-CA por correo certificado, junto con el
documento de designación formal del responsable técnico directo,
según el anexo I, y la Política de Certificación a
seguir por la CA solicitante, el documento de solicitud de certificado
y el acuerdo legal, en el que se especifiquen las obligaciones y responsabilidades
de acuerdo a esta política, de acuerdo al anexo II.
Deberá enviar, así
mismo, una copia digital de los documentos físicos mencionados anteriormente.
Éstos deberán ir firmados digitalmente por la clave secreta
asociada a la clave pública que se indica en la solicitud.
Llegados a este punto, el Agente
de Registro procederá a verificar tanto la firma que aparece en
la solicitud digital, como la coincidencia de su contenido con el documento
físico de solicitud.
El Agente de Registro analizará
el contenido del documento de solicitud, en aras a determinar si procede
o no la aceptación de dicha solicitud.
Llegados a este punto y en el caso
de que la solicitud sea procedente, el grupo de interés solicitante
será acreedor de una Autoridad de Certificación adscrita
a la UM-CA.
La entrega del certificado se realizará
mediante correo electrónico al responsable técnico directo.
11.
REVOCACIONES
Causas
de la Revocación.
Un certificado podrá ser revocado
si:
Ha existido pérdida, robo,
modificación, divulgación no autorizada, u otro compromiso
de la clave privada del sujeto del certificado.
Alguna de las partes (UM-CA, el Agente
de Registro, o el suscriptor) ha incumplido alguna de las obligaciones
de la política.
Por caso fortuito, cuando la información
de otra persona se ve materialmente amenazada o comprometida.
Si la Universidad de Murcia conoce
o tiene motivos para creer razonablemente que uno de los hechos representados
en el certificado es falso o ha cambiado.
Si la Universidad de Murcia conoce
que alguno de los requisitos de emisión del certificado no fue cumplido.
Si el sistema de certificación
se vio comprometido de modo tal que afecta a la fiabilidad del certificado.
Revocación
a petición del suscriptor de un Certificado de Identidad Personal.
La Universidad de Murcia deberá
revocar un certificado a petición del suscriptor una vez que haya
comprobado que la persona que realiza la solicitud de revocación
es en efecto el suscriptor, sin que sea preciso justificar la petición
en modo alguno. La identificación de las personas se hará
a través del Documento Nacional de Identidad, el Pasaporte, el Carnet
de Conducir o la Tarjeta de Residencia. El protocolo de identificación
se compondrá de los siguientes pasos:
El
solicitante de la credencial se personará ante el Agente de Registro
y le presentará cualesquiera de las credenciales antes mencionadas
para que el agente verifique la autenticidad y vigencia de las mismas.
Confirmada la autenticidad y validez
de las credenciales presentadas por el solicitante, el Agente de Registro
verificará la razonable coincidencia entre la fotografía
contenida en aquellas y la apariencia física del solicitante.
A continuación, el Agente
de Registro comprobará que el solicitante posee un certificado firmado
por UM-CA, mediante consulta al repositorio de certificados u otro procedimiento
similar.
El Agente de Registro enviará
la solicitud de revocación a UM-CA, para que la ejecute.
Revocación
de un Certificado Digital de Servidor.
La revocación de Certificados
Digitales de Servidor se hará a través del protocolo de identificación
que se describe a continuación:
El
solicitante de la revocación de una credencial de Servidor será
su responsable directo y deberá disponer de una credencial de Identidad
Personal emitida por UM-CA.
El solicitante creará la solicitud
de revocación de certificado digital de servidor, que consta de
lo siguiente: datos del servidor (tipo y nombre en el DNS), fecha y datos
de la ubicación geográfica (departamento, dirección
postal, localidad).
El solicitante enviará a la
Agencia de Registro de la CA, junto con una copia de su Credencial de Identidad
Personal, la solicitud de revocación firmada con su clave personal.
Este envío se puede realizar a través de un mensaje de correo
firmado o a través de un archivo firmado.
El Agente de Registro procederá
a verificar tanto la validez del Certificado de Identidad del solicitante
como la firma que acompaña a la solicitud digital.
Una vez verificada la identidad del
solicitante y la autenticidad de la solicitud digital, el Agente de Registro
revocará el certificado.
Después de revocar el certificado,
el Agente de Registro de UM-CA informará al responsable del servidor
(a través de correo electrónico firmado u otro medio autenticado)
de esta operación.
Revocación
de un Certificado Digital de CA.
La revocación de un Certificado
Digital de CA firmado por la Autoridad de Certificación raíz
de la Universidad de Murcia, se hará bajo el protocolo descrito
a continuación:
El
responsable del grupo de interés (Departamento, Facultad, Centro
de Investigación, etc.) o, en su defecto, el responsable técnico
directo de la Autoridad de Certificación a revocar, solicitará
a la Agencia de Registro de UM-CA la revocación del certificado.
Esta solicitud de revocación
constará de los datos que identifican al certificado (como nº
de serie o nombre común de la CA) y será enviada a la Agencia
de Registro de UM-CA a través de un canal seguro, previa identificación
y autenticación del remitente.
La Agencia de Registro de UM-CA comprobará
que la solicitud proviene de la persona adecuada y, en caso afirmativo,
revocará el Certificado Digital de CA.
Revocación
por error en la emisión.
UM-CA revocará un certificado
si descubre y confirma que no fue emitido de acuerdo con los procedimientos
establecidos en este documento. El Agente de Registro que intervino en
el procedimiento de emisión podrá igualmente solicitar la
revocación en este caso.
Revocación
del certificado de UM-CA.
En el caso necesario de revocar el
certificado de la Autoridad de Certificación de la Universidad de
Murcia, se procederá de la siguiente manera:
El
responsable técnico de UM-CA notificará, con la mayor brevedad
posible, digitalmente y por escrito, y a través de un canal seguro
y autenticado, a la Autoridad de Certificación de RedIRIS de la
necesidad de revocar el certificado.
Una vez recibida la notificación,
y tras su comprobación, la Autoridad de Certificación de
RedIRIS procederá a la revocación del certificado.
A partir de este momento, se consideran
inválidos todos los certificados firmados por UM-CA, procediendo
a la generación de un nuevo certificado para UM-CA firmado por la
Autoridad de Certificación de RedIRIS. Seguidamente, la Universidad
de Murcia generará todos los certificados para los miembros de su
comunidad universitaria, firmados con la nueva clave privada de UM-CA:
certificados de identidad personal, certificados digitales de servidor
y certificados digitales de CAs subordinadas.
Revocación
del certificado de una Agencia de Registro.
La revocación del certificado
de una Agencia de Registro firmado por la Autoridad de Certificación
raíz de la Universidad de Murcia, se hará bajo el protocolo
descrito a continuación:
El
Agente de Registro notificará, con la mayor brevedad posible, al
Agente de Registro de UM-CA la necesidad de revocación de su certificado,
presentándose físicamente ante él e identificándose
con el Documento Nacional de Identidad, el Pasaporte, el Carnet de Conducir
o la Tarjeta de Residencia.
Comprobada la identidad del solicitante,
el Agente de Registro de UM-CA procederá a revocar el certificado
de la Agencia de Registro inmediatamente.
A partir de este momento, se consideran
inválidas todas las solicitudes de certificados llegadas a la Autoridad
de Certificación de la Universidad de Murcia, previa identificación
por la Agencia de Registro revocada, desde el momento en que se comprometió
o alteró la clave privada, procediendo a la revocación de
los Certificados de Identidad Personal firmados desde ese instante y procedentes
de dicha Agencia de Registro.
12.
EXPIRACIÓN DE LOS CERTIFICADOS
La Universidad de Murcia tratará
razonablemente de notificar a sus usuarios, por correo electrónico,
la próxima expiración de sus certificados. Tal aviso tiene
como finalidad única comunicar al suscriptor la necesidad de renovar
su certificado.
ANEXO
I – DESIGNACIÓN FORMAL DEL RESPONSABLE TÉCNICO
D.______________________________________________
en calidad de ____________________________________
a los efectos de este acuerdo en
nombre y representación de
______________________________________,
C.I.F: ___
con domicilio en _________, provincia
de _____________
CP___________ Calle o plaza ______________________
Expone que _______________________
desea solicitar un
certificado par la creación
de una Autoridad de Certificación
firmada por la Autoridad de Certificación
de la Universidad de
Murcia, en los términos en
los que este esta descrito en "La
Política de Certificación
la Universidad de Murcia" y para lo
cual designa como técnico
responsable directo de este piloto
de certificación a:
Apellidos: _____________________________________
Nombre: ______________________________________
N.I.F: _________ Expedido el __/__/____
válido hasta: __/__/_____
Cargo:
Centro:
Dirección postal:
Teléfono:
FAX:
Dirección de correo electrónico:
________, a ___ de _________ , de
____
Firma y sello.
ANEXO
II – ACUERDO LEGAL
Reunidos por una parte:
D.______________________________________________
en calidad de ____________________________________
a los efectos de este acuerdo en
nombre y representación de
______________________________________,
C.I.F: ___
con domicilio en _________, provincia
de _____________
CP___________ Calle o plaza ______________________
Y por otra parte:
D.______________________________________________
en calidad de Agente de Registro
de la Autoridad de Certificación
de la Universidad de Murcia,
ACUERDAN que la Autoridad de Certificación
de la Universidad
de Murcia firmará a la Autoridad
de Certificación de
_________________________________
siempre que se cumplan
los requisitos, normas y obligaciones
especificadas en la Política de
Certificación de la Universidad
de Murcia.
En _______ a __ de ________ de ___
|
El Agente de Registro
|
El solicitante
|
|
|
| Fdo: |
Fdo: |
ANEXO
III - ABREVIACIONES
C –Country
CA –Certification
Authority (Autoridad de Certificación)
CDIP –Certificado
Digital deIdentidad Personal
CDS –Certificado
Digital de Servidor
CN –Common
Name
CRL –Certificate
Revocation List (Lista de Revocación de Certificados)
DN -Distinguished
Name (Nombre Distinguido)
DNS –Domain Name Service
DSS -Digital
Signature Standard
IRIS-PCA –Autoridad
de Certificación Raiz de RedIRIS
LDAP –Light
Directory Access Protocol.
O –Organization
OU –Organizational
Unit
PCA –Policy
Certification Authority
PIN –Personal
Identification Number
PKCS#10 –Public-Key
Cryptography Standard 10 (Certification Request Syntax Standard)
RA –Registration
Authority (Agencia de Registro)
RSA –Algoritmo
criptográfico creado por Rivest, Shamir and Adleman
SSL –Secure
Socket Layer
ST –State
or province
UID –User
Identifier
UM-CA –Autoridad
de Certificación raíz de la Universidad de Murcia
|