Presentaci

1
SCS
2
De qué va todo esto
3
Qué es SCS

• Un servicio para proporcionar certificados
• Para servidores
• Reconocidos por los clientes comúnmente usados
• CA acreditada por WebTrust
• Para las instituciones académicas y de
  investigación europeas
• A un coste razonable
• Aprovechando economías de escala
• Con el objetivo de
• Establecer un canal encriptado fácil de usar
• Simplificar el reconocimiento de firmas digitales
  por los clientes
• Promover el uso de canales seguros

4
Qué NO es SCS

• Un servicio de firma digital acorde con las leyes
  españolas y las directivas europeas
• Un servicio dirigido exclusivamente a servidores
  corporativos o centrales
• Se trata de extenderlo lo más posible dentro de
  las instituciones
• Una PKI completa sobre la que tengamos control
• Conjunto de perfiles predeterminados
• Nuevos perfiles necesitan el consenso del
  consorcio
• Un mecanismo sustitutivo de sistemas de gestión
  de identidad

5
La base formal

• Un acuerdo entre TERENA y ocho NRENs europeas
• ACONET, CARNet, CESNET, RedIRIS, RENATER/CRU,
  SURFNet, SWITCH, UNI-C
• Otras se unirán en breve
• Un contrato entre TERENA y un proveedor
  homologado por WebTrust
• Después de un concurso se eligió a GlobalSign
• Un esquema de precios muy ventajoso
• Nos permite ofrecerlo de manera gratuita a las
  instituciones afiliadas, sin límite práctico en
  el número de certificados emitidos
• Una política de validación adaptada a cada NREN
• En nuestro caso utilizamos el registro de
  instituciones afiliadas
• Y el enlace de confianza con los PERs

6
El proceso de emisión

• Dónde pueden usarse los certificados SCS
• En cualquier servidor dentro de los dominios de
  las instituciones afiliadas a RedIRIS
• Para cualquier propósito que requiera el
  establecimiento de un canal seguro con confianza
  automática del cliente
• Quién puede pedir certificados SCS
• El responsable del servidor
• Identificado como tal por el PER
• Qué se comprueba para emitir el certificado
• La disponibilidad de la documentación y los datos
• La asociación entre la institución y el dominio
• La aceptación de las normas de uso y el refrendo
  del PER
• Cómo es
• Normas de uso

7
Algunos detalles

• Tres perfiles definidos
• SureServerEDU TLS (perfil estándar)
• La configuración de OpenSSL está orientada a él
• SureServerEDU TLS email server (e-mail en el
  SubjectDN)
• Servidores que necesiten enviar correos firmados
  con S/MIME
• SureSeverEDU (sin extensiones)
• Usado en el proceso de validación. No recomendado
• Extensiones soportadas
• keyUsage (critical), subjectKeyIdentifier,
  certificatePolicies,
• CRLDistributionPoints, authorityInformationAccess,
  
• extendedKeyUsage, authorityKeyIdentifier
• El soporte para subjectAlternateName está en
  pruebas
• Disponible en breve
• Incluiremos configuraciones de OpenSSL para ello
• Proporcionaremos ejemplos de instalación
• Toda colaboración será bienvenida

8
(Aplausos)