--------------------------------------------------------------------- Acta de Reunión: II Reunión de Administradores de RAs de pkIRISGrid Oviedo, 20/11/2007 --------------------------------------------------------------------- 1. Actualidad de pkIRISGrid CA ------------------------------ Se mostraron los número de pkIRISGrid en relación a: · Nº de RAs: 29 RAs 13 localizaciones geográficas distintas · Certificados: 1200 emitidos 537 de usuario 667 de servicio/servidor · CLRs 87 emitidas 35 millones de descargas desde la web 2. Mejoras en el servicio ------------------------- 2.1. Mejoras en los procedimientos Se presentó una actualización del Documento de Condiciones de Uso, la cual se revisó y se acordó en cambiar el orden de los formulario de los datos. Se presento un nuevo documento con el fin de modificar tanto los dominios gestionados por una RA, como los operadores de dicha RA. Se acordó modificar la firma requerida del PER en todas las páginas de este documento por la firma del Administrador de la RA. Se mencionó la existencia de un manual visual para el operadores de RA, el cual estaba en borrador, y que será publicado en breve. Toda esta documentación se ha publicado en la página http://www.irisgrid.es/pki/doc/ 2.2. Mejora en el software Se presentó el aviso de expiración de certificados, que se envía a los titulares de los certificados. Este mensaje se envía a modo de primer aviso 30 días antes de la expiración del certificado y a modo de segundo y último aviso 7 días antes de la expiración del certificado. Se solicitó añadir el enlace a la página desde la cual se puede renovar el certificado, así como un texto que explicase que significa la expiración del certificado y como proceder a renovarlo. Se presentó el aviso de solicitudes pendientes para operadores de RA. Se recibirá un aviso diario que contendrá todas las solicitudes pendientes de verificar que haya en cada RA. Por parte de los administradores y operadores, se pidió que en el informa de certificados pendientes se incluyera el nombre del solicitante junto al DN del certificado solicitado. Se esbozó el nuevo método de verificación de generación de la solicitud. Que consiste en que al generar un solicitante una nueva CSR, éste recibe una pantalla con los datos de la solicitud y los suyos, los cuales deberá imprimirlo y presentarse con ellos ante un operador de RA para que valide su solicitud. Este hecho implica la desaparición del PIN del certificado que tantos problemas ha dado. Se nos solicitó que el mensaje que indica que el resultado de generar la CSR (una página web con la información de dicha CSR) debe ser impreso para que el operador de la RA lo verifique, se haga más visible. Este procedimiento nuevo será añadido tanto a la guía visual del operador de RA como a la futura guía visual para el solicitante de certificados de pkIRISGrid. Se notificó la compatibilidad con dos navegadores web más para solicitar certificados; en concreto con Opera y Safari, a través de la modalidad Mozilla. Se comentó la solución al bug del "." en los CNs de los usuarios de EGEE/LCG, pero quedó pendiente por confirmar y enviar más información a las listas de distribución. Se han creado dos listas de correo para coordinación, siendo sus direcciones: pkirisgrid-ca@irisgrid.es pkirisgrid-ra@irisgrid.es 3. Guía de Buenas prácticas de Operación de una RA -------------------------------------------------- Se presentó por parte de pkIRISGrid CA tanto una plantilla como un ejemplo de "Guía de Buenas prácticas de Operación de una RA" Se tomó en buena consideración la guía, y se acordó evolucionar el documento "Plantilla para la creación de la política de una RA" a modo de colaboración entre todas las RAs y la CA, usando como medio de comunicación la lista de correo con dirección pkIRISGrid-RA@IRISGRID.ES siendo los operadores y administradores de pkIRISGrid los encargados de iniciar las discusiones. Los documentos sobre los que se va a empezar a trabajar se encuentran en el enlace http://www.irisgrid.es/pki/doc/ * Plantilla para la creación de la política de una RA * Ejemplo de política para una RA ficticia de pkIRISGrid Se llegó al acuerdo de que cada RA debe redactar su propia "Guía de Buenas prácticas de Operación de una RA" pudiendo se la redacción colaborativa entre distintas RAs. 4. Problemas encontrados ------------------------ Se anunció la próxima creación de un ente administrativo para los certificados de servicio/servidor. La finalidad de este ente administrativo es que si cambia el responsable técnico de un certificado de servicio/servidor, no sea necesario revocar el certificado. Se comentaron problemas con la IE7 y Windows Vista a la hora de generar solicitudes de certificados. No se pudo dar mucho detalle, ya que desde pkIRISGrid CA no se han podido realizar todas las pruebas deseadas. Pero se quedó que en que se informaría por la lista de los problemas cuando éstos estuviesen los suficientemente documentados. Se insistió a las RAs en la comprobación de los datos de las solicitudes, ya que se han recibido solicitudes con datos erróneos (errores de los solicitantes a rellenar los formularios) las cuales se han emitido, teniéndose que revocar posteriormente los certificados. En concreto se pidió que se prestara especial atención en · CN comprobar que aparezca nombre y apellido para los usuarios y el FQDN para los servidores · EMAIL verificar las direcciones de correo · FQDNs no se certifican direcciones IP; no se emiten certificados con wildcard 5. Futuro _________ 5.1. A corto plazo Se pretende crear nuevas listas de distribución, una para operadores de la RA y otra para los usuarios. Se pretende realizar una auto-auditoría de pkIRISGrid CA, lo que implica la posibilidad de realizar una auditoría a una RA. A raíz de esto se informó de la próxima publicación por parte de pkIRISGrid CA de un documento a modo de checklist para auditoría de RA que liste los puntos revisar en un proceso de auditoría de RA. Se pretende ofrecer a los operadores de la RA bajo la zona protegida de administración unos datos de estadísticas sobre cada RA. 5.2. A medio plazo Se pretende implementar una opción para para que los solicitantes puedan especificar la duración de los certificados (en días), siempre con un máximo de 12 meses. Se pretende implementar el soporte para SubjectAltName en concreto de múltiples SubjectAltName, ya que en la actualizad sólo se soporta uno. 5.3. A largo plazo Se pretende poner a disposición de los solicitantes la importación de múltiples CSRs, así como el soporte para múltiples certificados. 6. Ruegos, Preguntas y Sugerencias ---------------------------------- Rafael Marco (IFCA) preguntó si por parte de pkIRISGrid CA se tenía previsto cambiar a una CA-ONLINE. La respuesta de pkIRISGrid CA fue que no a corto plazo ni a medio plazo, pero que si las necesidades de la comunidad eran tales que se requiriese una CA-ONLINE habría que plantearse implementar el perfil de CA-ONLINE de EUGridPMA. Javier Pérez-Griffo (CETA-CIEMAT / CIEMAT) hizo referencia a los certificados SLCS (Short-lived Certificate Services Profile) ya que estaban interesados en realizar pruebas con middleware de AAI (Authorization and Authetication Infraestructure) Shibboleth. Desde pkIRISGrid CA se le animo a ponerse en contacto con ellos para ver como podían coordinarse y tratar de montar un piloto. Juan José Pardo (UAM) preguntó por la posibilidad de financiación para los administradores y/o operadores de RAs para asistir a las Reuniones de Administradores de RA. Desde pkIRISGrid CA no le pudimos contestar en el momento pero se indicó que se respondería por la lista de administradores de RA para que todos estuviesen al tanto. Se solicitó que en el formulario de solicitud de certificado, se duplicase el campo en el cual se introduce la contraseña de usuario para que así se hiciese una comprobación de la contraseña introducida. Ya que esto además de permitir que se introduzcan contraseñas no deseadas, da la sensación de que esa contraseña debe conocerse con anterioridad, es decir, que no es una contraseña nueva que se está solicitando. Redacción de este acta de reunión: ---------------------------------- · Daniel García (daniel.garcia@rediris.es | pkrisigrid-ca@irisgrid.es)