Tanúsítvány igénylés

Intézetünknél a saját CA-nkon kívül 2008 óta a TERENA-n keresztül web szerver tanúsítványok igényelhetők, melyeket olyan tanúsító hatóság ír alá, amelynek root tanúsítványát "gyári" módon tartalmazzák a napjainkban elterjedten használt web böngészők (pl. Mozilla Firefox, Opera, MS Internet Explorer, stb.). Így ha a felhasználó egy ilyen tanúsítvánnyal ellátott, HTTPS protokollt használó oldalra látogat, nem kap a böngészőtől a tanúsítvány bizonytalan eredetére, és ezzel kapcsolatos biztonsági kockázatokra vonatkozó figyelmeztetést. Kezdetben ez a tanúsító hatóság a GlobalSign volt, majd 2009-ben a COMODO-val kötött szerződést a TERENA. Ezeket a tanúsítványokat azok az NIIF tagintézmények igényelhetik, akik az NIIF Intézettel erre vonatkozó külön együttműködési megállapodást kötöttek és amelyek vállalják a tanúsítványonkénti éves díj megfizetését.

A TCS (Terena Certificate Service) szolgáltatás jelenleg csak intézményeknek áll rendelkezésére, egy külön szerződés megkötése után. Az intézménynek legalább két adminisztrátort (proxyt) kell kineveznie, akik az intézmény domainjeihez tartozó tanúsítványigényléseket kezelik és elbírálják. Bárki küldhet be tanúsítványt, akár az intézményi körön kívülről is. A kérelem beérkezéséről a proxyk értesítést kapnak, az adminisztrációs felületen – autentikálást követően – menedzselhetik az igénylést: aláírhatják vagy akár el is utasíthatják azt. Minden esetben a proxy, illetve rajta keresztül az intézmény felel azért, hogy a tanúsítványok rendeltetésszerűen kerüljenek használatra, így alaposan meg kell vizsgálniuk, jogos volt-e a kérelem.

A közelmúltban került bevezetésre egy új tanúsítványkategória, illetve jelenleg is tart a hozzá tartozó eljárásrend kidolgozása a Comodonál. Így a felhasználóink számára három fajta tanúsítványt tudunk kínálni: Domain Validation (DV), Organization Validation (OV) és e-Science tanúsítványokat. Az első csak a domain megbízhatóságán alapszik, és a tanúsítvány nem tartalmazza a domainhez tartozó intézmény megnevezését; az OV egy összetettebb eljárásrend keretében magát a domainhez tartozó szervezetet is hitelesíti; az e-Science pedig egy az EUGridPMA által jóváhagyott tanúsítvány típus elsősorban GRID-es célokra. Egyelőre csak szervertanúsítványok igényelhetőek. A DV tanúsítványoknál beiktatott a Comodo egy plusz ellenőrzési pontot is a folyamatba a domaint illetően: a proxynak ki kell választania egy úgynevezett DCV (Domain Control Validation) email címet. Ez a kérelemben szereplő domain végződésből áll a következő lehetséges előtagokkal: admin@ - administrator@ - hostmaster@ - postmaster@ - webmaster@ Az ezekből kiválasztott email címre küld a Comodo egy ellenőrző linket egy jelszóval, amit a levélben szereplő weboldalon kell megadni. A tapasztalatok szerint ezt követően már 1-2 órán belül megkapja az igénylő az aláírt tanúsítványt.

Amennyiben egy NIIF tagintézmény felhasználói szeretnék igénybe venni a szolgáltatást, de még nem kötötték meg az TCS együttműködési megállapodást az NIIF Intézettel, az arra kijelölt intézményi képviselőnek a következő módon kell eljárnia:

  1. Az igénylőnek első lépésben a Webform szolgáltatásunk segítségével ki kell töltenie az NIIF tagintézményi szerződés TCS tanúsítványok kiadására vonatkozó szerződés-kiegészítés nyomtatványát.

  2. A szerződéskötéskor műszaki és adminisztratív kapcsolattartókat (Proxy) kell megjelölni. Legalább két, de legfeljebb négy ilyen személy adható meg. Az ő feladatuk a szervezeten belül kezdeményezett tanúsítvány-kérés jogosságának ellenőrzése, valamint a kérés továbbítása az NIIF Intézet felé. Egy nagy, több telephellyel rendelkező egyetem esetén például célszerű telephelyenként egy-egy Proxy személyt megadni.

  3. A szerződésben fel kell sorolni azokat a domain neveket, amelyeket az igénylő használ. Itt törekedni kell a minél szélesebb körű felsorolásra, valamint arra, hogy a megjelölt domain nevek bizonyíthatóan az adott intézmény tulajdonában legyenek. Ezt az NIIF Intézet szerződéskötéskor az Internet Szolgáltatók Tanácsa által üzemeltetett http://www.domain.hu oldalon ellenőrzi, és téves domain név megadás esetén pontosítást kér.

  4. A szerződés értelmében a tanúsítványok nem teljesen ingyenesek, azokért a szerződésben megjelölt árazásnak megfelelően minden év november 1-jén hozzájárulási díjat kell fizetni: Egy kiadott, éves tanúsítványért bruttó 10 eFt hozzájárulási díjat kell fizetni. Ha egy intézmény 20-nál több tanúsítványt igényel, a 20. után már nem kell többet fizetni, vagyis a szolgáltatás hozzájárulási költsége igénylő intézményenként legfeljebb bruttó 200 eFt/év. E küszöbérték fölött igényelt minden egyes tanúsítvány ingyenes.

    Az NIIF Intézet folyó év november 1-je és az előző év november 1-je között kiadott tanúsítványok után számláz az igénylőnek, egyszerre egy összegben. Több évre kiadott tanúsítványok után szintén az érvényesség minden évében fizetni kell. (Például a 3 évre kiadott tanúsítvány után az érvényesség minden évében 10 eFt-ot számlázunk ki, összesen a 3 év alatt 30 eFt-ot.) A 200 eFt-os flat rate éves díjakra vonatkozik. A kiadott, de a felhasználó által valamilyen okból visszavont tanúsítványok után is fizetni kell. Ha a visszavonás az NIIF Intézet hibájából következett be, akkor természetesen nem. A kiadott tanúsítványokat az igénylésre szolgáló felületen tartjuk nyilván.

  5. Ha mindent kitöltött, a Beküldés gomb megnyomása után a rendszerünk a megadott email címre elküldi a dokumentumot pdf formátumban, ezt kérjük nyomtassa ki. A szerződés-kiegészítést az igénybevevő cégszerűen írja alá, a szerződő fél ugyanaz, mint az NIIF tagintézményi szerződés esetén.

További információk a Megbízható Tanúsítványszolgáltatásról az NIIF Intézet TERENA szerver tanúsítvány szolgáltatásának oldalán találhatóak.