PKI портал на Софийски Университет "Св. Климент Охридски"

PKI портал > PKI Документация > Описание на процедурата по заявяване на издаване на персонален X.509 сертификат

Описание на процедурата по заявяване на издаването на персонален X.509 сертификат

 

За да може да ви бъде издаден потребителски X.509 сертификат, вие трябва:

  • да имате пощенска кутия в домейна uni-sofia.bg или в някои от под-домейните му (като fmi.uni-sofia.bg, chem.uni-sofia.bg, lcpe.uni-sofia.bg и др) и да имате достъп до нея;

  • да сте в трудови правоотношения със Софийския Университет към момента на заявяване на сертификата и началната му дата на валидност.

Тези две изисквания са задължителни и не подлежат на промяна!

 

Ако:

(1) удовлетворявате горните изисквания;

(2) нямате издаден и валиден към момента сертификат (който ви е издаван преди това за отдалечен достъп до susi4.uni-sofia.bg и прокси-сървъра на Университета за достъп до библиотеки и списания);

може да заявите издаването на нов сертификат в зависимост от вашето ниво на умения за работа с X.509 сертификати:

 

  • ниво "стандартен потребител" (най-честия случай):

    Изпращането на заявка за издаване на персонален X.509 сертификат става задължително от този e-mail адрес, за който заявявате сертификата и който адрес е в домейна uni-sofia.bg или в негов под-домейн, например fmi.uni-sofia.bg, chem.uni-sofia.bg, phys.uni-sofia.bg, lcpe.uni-sofia.bg, admin.uni-sofia.bg и др. Заявката се изпраща като писмо със свободен текст на адрес:

    като в писмото задължително посочвате следните данни за титуляра на сертификата:

    • трите имена на кирилица и латиница (тези на кирилица, както са по лична карта/паспорт);
    • факултет/звено/департамент;
    • длъжност;
    • ЕГН;
    • потребителско име в СУСИ;
    • телефон за връзка (опционално изискване).

    Тези данни са необходими за определяне на статуса на трудовите или извънтрудовите правоотношения със Софийския Университет.

    Ако имате повече от един адрес за електронна, който отговаря на горните условия за издаване на сертификат, може да заявите издаването на сертификат за всеки един от тези адреси.

    След като сертификатът бъде издаден, на адреса за електронна поща, от който сте изпратили заявката, ще получите уведомилтелно писмо с необходимите връзки към файла с издадения сертификат и документацията по използването му.

    Забележка: Ако изпратите заявката за издаване на сертификат от адрес за електронна поща, за който вие не сте титуляр или който не отговаря на изискванията по-горе, то няма да получите отговор на нея.

     

  • ниво "напреднал потребител":

    Напреднал потребител е този, който знае какво е PEM, DER, PKCS7, PKCS#12, може да използва OpenSSL, сам да си генерира CSR заявка и накрая, след като получи издадения сертификат, да сглоби сам PKCS#12 контейнер. Ако не попадате в тази категория, заявете сертификат по обичайния начин показан по-горе.

    За да генерирате заявката за сертификат, трябва да разполагате с работеща инсталация на OpenSSL (версия >=1.1.1). Първата стъпка в този процес е генериране на подписващ (криптиращ) ключов, на база на който ще бъде по-късно създаден блока със заявката за издаване на сертитификат. Процеса на генериране на ключа зависи от това какъв алгоритъм ще се използва за подписване - RSA или ECDSA алгоритъм. Изберете един от двата алгоритъма и след като сте направили този избор, генерирайте ключа:

    • [препоръчително] генериране на 384-битов ECDSA подписващ ключ

      $ openssl ecparam -genkey -name secp384r1 | openssl ec -aes-256-cbc -out my.key

      След като въведете двукратно парола за защита на ключа (не я забравяйте!), той ще бъде запазен във файла my.key. Запазете този файл на сигурно място. Той е необходим по-късно за генериране на CSR завката и изграждането на PKCS#12 контейнера.

    • [опционално]генериране на 3072-битов RSA подписващ ключ

      $ openssl genrsa -aes256 -out my.key 3072

      След като въведете двукратно парола за защита на ключа (не я забравяйте!), той ще бъде запазен във файла my.key. Запазете този файл на сигурно място. Той е необходим по-късно за генериране на CSR завката и изграждането на PKCS#12 контейнера.

    След като ключа е успешно записан във файла my.csr, генерирането на заявката за издаване на сертификат (CSR) става по следния начин:

    $ openssl req -new -sha384 -key my.key -out my.csr -subj "/CN=Given_name Family_name" -addext "subjectAltName = email:myaddress@uni-sofia.bg, email:my_address@domain1.uni-sofia.bg,otherName:1.3.6.1.4.1.311.20.2.3;UTF8:susi_login_name"

    В горния команден ред, заменете "Given_name" с вашето име (на латиница), а вместо "Family_name" въведете вашето фамилно име (на латиница). След 'email:" въведете адресите за електронна поща, които след това издадения сертификат да удостоверява (в примера са дадени два адреса, може да използвате само един, или да добавите още). Заменете "susi_login_name" с името на вашия СУСИ акаунт.

    При успешно генериране на заявката, тя ще се запази във файла my.csr. Изпратете my.csr като прикачен файл в писмо адресирано до:

    като в писмото задължително посочвате следните данни за титуляра:

    • трите имена на кирилица и латиница (тези на кирилица, както са по лична карта/паспорт);
    • факултет/звено/департамент;
    • длъжност;
    • ЕГН,
    • по възможност телефон за връзка.

    Тези данни са необходими за определяне на статуса на трудовите ви правоотношения със Софийския Университет.

    След като сертификатът бъде издаден, на същия пощенски адрес, от който сте изпратили заявката, ще получите уведомилтелно писмо с необходимите връзки към файла с издадения сертификат и документацията по използването му.

    Забележка: Ако изпратите заявката за издаване на сертификат от e-mail адрес, който не е ваш или който не отговаря на изискванията по-горе, няма да бъде отговорено на вашата заявка.

    След като получите копие от издадения сертификат, трябва да създадете сами PKCS#12 файловете. По-долу е посочено как, като за всички инструкции се предполага, че издадения сертификат се намира във файла my.crt.

    • Изтеглете следните файлове и ги запазете локално:

      https://pki.uni-sofia.bg/crt/SU_ECC_Root_CA.crt

      https://pki.uni-sofia.bg/crt/SU_ECC_Identity_Management_CA.crt

      След това копирайте съдържанието от тези файлове в един файл (т.е. новия файл трябва да съдържа това, което има в двата изтеглени файла). Под Linux това може да стане така:

      $ cat SU_ECC_Root_CA.crt SU_ECC_Identity_Management_CA.crt > ca-bundle.crt

      Под Windows това може да стане в Command Prompt изпълнявайки:

      copy /b SU_ECC_Root_CA.crt SU_ECC_Identity_Management_CA.crt ca-bundle.crt
    • Генериране на PKCS#12 контейнер (legacy)

      $ opnessl pkcs12 -export -legacy -inkey my.key -in my.crt -chain -CAfile ca-bundle.crt -name "my_cert" -out my.legacy.p12

      Генериране на PKCS#12 контейнер (съвремено ниво на криптиране на ключа)

      $ opnessl pkcs12 -export -inkey my.key -in my.crt -chain -CAfile ca-bundle.crt -name "my_cert" -out my.p12

     

 


Последна актуализация: 20 април 2025

Автор на първоначалната версия на документа: Веселин Колев

2020 УЦИКТ, Софийски Университет