ниво "стандартен потребител" (най-честия случай):
Изпращането на заявка за издаване на персонален X.509 сертификат става задължително от този e-mail адрес, за който заявявате сертификата и който адрес е в домейна uni-sofia.bg или в негов под-домейн, например fmi.uni-sofia.bg, chem.uni-sofia.bg, phys.uni-sofia.bg, lcpe.uni-sofia.bg, admin.uni-sofia.bg и др. Заявката се изпраща като писмо със свободен текст на адрес:
като в писмото задължително посочвате следните данни за титуляра на сертификата:
- трите имена на кирилица и латиница (тези на кирилица, както са по лична карта/паспорт);
- факултет/звено/департамент;
- длъжност;
- ЕГН;
- потребителско име в СУСИ;
- телефон за връзка (опционално изискване).
Тези данни са необходими за определяне на статуса на трудовите или извънтрудовите правоотношения със Софийския Университет.
Ако имате повече от един адрес за електронна, който отговаря на горните условия за издаване на сертификат, може да заявите издаването на сертификат за всеки един от тези адреси.
След като сертификатът бъде издаден, на адреса за електронна поща, от който сте изпратили заявката, ще получите уведомилтелно писмо с необходимите връзки към файла с издадения сертификат и документацията по използването му.
Забележка: Ако изпратите заявката за издаване на сертификат от адрес за електронна поща, за който вие не сте титуляр или който не отговаря на изискванията по-горе, то няма да получите отговор на нея.
ниво "напреднал потребител":
Напреднал потребител е този, който знае какво е PEM, DER, PKCS7, PKCS#12, може да използва OpenSSL, сам да си генерира CSR заявка и накрая, след като получи издадения сертификат, да сглоби сам PKCS#12 контейнер. Ако не попадате в тази категория, заявете сертификат по обичайния начин показан по-горе.
За да генерирате заявката за сертификат, трябва да разполагате с работеща инсталация на OpenSSL (версия >=1.1.1). Първата стъпка в този процес е генериране на подписващ (криптиращ) ключов, на база на който ще бъде по-късно създаден блока със заявката за издаване на сертитификат. Процеса на генериране на ключа зависи от това какъв алгоритъм ще се използва за подписване - RSA или ECDSA алгоритъм. Изберете един от двата алгоритъма и след като сте направили този избор, генерирайте ключа:
-
[препоръчително] генериране на 384-битов ECDSA подписващ ключ
$ openssl ecparam -genkey -name secp384r1 | openssl ec -aes-256-cbc -out my.key
След като въведете двукратно парола за защита на ключа (не я забравяйте!), той ще бъде запазен във файла my.key
. Запазете този файл на сигурно място. Той е необходим по-късно за генериране на CSR завката и изграждането на PKCS#12 контейнера.
-
[опционално]генериране на 3072-битов RSA подписващ ключ
$ openssl genrsa -aes256 -out my.key 3072
След като въведете двукратно парола за защита на ключа (не я забравяйте!), той ще бъде запазен във файла my.key
. Запазете този файл на сигурно място. Той е необходим по-късно за генериране на CSR завката и изграждането на PKCS#12 контейнера.
След като ключа е успешно записан във файла my.csr
, генерирането на заявката за издаване на сертификат (CSR) става по следния начин:
$ openssl req -new -sha384 -key my.key -out my.csr -subj "/CN=Given_name Family_name" -addext "subjectAltName = email:myaddress@uni-sofia.bg, email:my_address@domain1.uni-sofia.bg,otherName:1.3.6.1.4.1.311.20.2.3;UTF8:susi_login_name"
В горния команден ред, заменете "Given_name" с вашето име (на латиница), а вместо "Family_name" въведете вашето фамилно име (на латиница). След 'email:" въведете адресите за електронна поща, които след това издадения сертификат да удостоверява (в примера са дадени два адреса, може да използвате само един, или да добавите още). Заменете "susi_login_name" с името на вашия СУСИ акаунт.
При успешно генериране на заявката, тя ще се запази във файла my.csr
. Изпратете my.csr
като прикачен файл в писмо адресирано до:
като в писмото задължително посочвате следните данни за титуляра:
- трите имена на кирилица и латиница (тези на кирилица, както са по лична карта/паспорт);
- факултет/звено/департамент;
- длъжност;
- ЕГН,
- по възможност телефон за връзка.
Тези данни са необходими за определяне на статуса на трудовите ви правоотношения със Софийския Университет.
След като сертификатът бъде издаден, на същия пощенски адрес, от който сте изпратили заявката, ще получите уведомилтелно писмо с необходимите връзки към файла с издадения сертификат и документацията по използването му.
Забележка: Ако изпратите заявката за издаване на сертификат от e-mail адрес, който не е ваш или който не отговаря на изискванията по-горе, няма да бъде отговорено на вашата заявка.
След като получите копие от издадения сертификат, трябва да създадете сами PKCS#12 файловете. По-долу е посочено как, като за всички инструкции се предполага, че издадения сертификат се намира във файла my.crt
.
-
Изтеглете следните файлове и ги запазете локално:
https://pki.uni-sofia.bg/crt/SU_ECC_Root_CA.crt
https://pki.uni-sofia.bg/crt/SU_ECC_Identity_Management_CA.crt
След това копирайте съдържанието от тези файлове в един файл (т.е. новия файл трябва да съдържа това, което има в двата изтеглени файла). Под Linux това може да стане така:
$ cat SU_ECC_Root_CA.crt SU_ECC_Identity_Management_CA.crt > ca-bundle.crt
Под Windows това може да стане в Command Prompt изпълнявайки:
copy /b SU_ECC_Root_CA.crt SU_ECC_Identity_Management_CA.crt ca-bundle.crt
-
Генериране на PKCS#12 контейнер (legacy)
$ opnessl pkcs12 -export -legacy -inkey my.key -in my.crt -chain -CAfile ca-bundle.crt -name "my_cert" -out my.legacy.p12
Генериране на PKCS#12 контейнер (съвремено ниво на криптиране на ключа)
$ opnessl pkcs12 -export -inkey my.key -in my.crt -chain -CAfile ca-bundle.crt -name "my_cert" -out my.p12