Rekey korisničkog certifikata

Izvor: CRO NGI
Skoči na: orijentacija, traži

U roku od 30 dana prije isteka važećeg certifikata korisnik će primiti obavijest o skorom isteku. Procedura za obnavljanje certifikata razlikuje se od inicijalne samo u identifikaciji (korak 9.), jer korisnik ne mora osobno posjetiti RA osobu.

BITNO! Procedura u nastavku mora biti obavljena PRIJE isteka važećeg certifikata. U suprotnom korisnik mora proći punu proceduru
       opisanu na adresi: [1], koja uključuje osobnu posjetu RA osobi.


1. Sučelje se nalazi na adresi: [2] (koristiti preglednik Firefox)

2. U izborniku odabrati My Certificates -> Request a Certificate

3. Na stranici odabrati link Browser Certificate Request

4. Odabrati Continue

5. Na sljedecem ekranu ponovo odabrati Continue (polje FQDN ostaje prazno)

6. Unijeti i zapamtiti (za korak 9.) pin od barem 5 znakova te potom odabrati Continue

7. Na sljedecem ekranu prihvatiti dogovor odabiranjem tipke Continue

8. Odabirom tipke Generate request zahtjev će biti generiran. Privatni ključ je spremljen u web pregledniku. Nakon izdavanja certifikata (korak 10.) korisnik mora dohvatiti certifikat koristeći isti preglednik. Na trenutnoj stranici korisnik će dobiti podatke o zahtjevu koji se koriste u sljedećem koraku.

9. Identifikacija zahtjeva ostvaruje se na način da korisnik pošalje starim certifikatom digitalno potpisan mail na SRCE CA ili da pokrene skriptu requestVerify.pl na UI čvoru. Na zahtjev za unos potrebno je unijeti podatke sa stranice u koraku 8. Predložak texta koji treba unijeti naveden je u nastavku. Nakon unosa potrebno je stisnuti ENTER pa CTRL-D. Potom treba unijeti lozinku kojom ste zaštitili privatni ključ.

       ADDITIONAL_ATTRIBUTE_ADDRESS     ...
       ADDITIONAL_ATTRIBUTE_EMAIL       ...
       ADDITIONAL_ATTRIBUTE_INSTITUTE   ...
       ADDITIONAL_ATTRIBUTE_REQUESTERCN ...
       ADDITIONAL_ATTRIBUTE_TELEPHONE   ...
       NOTBEFORE                        ...
       PIN                              ...
       RA                               ...
       ROLE                             ...
       SERIAL                           ...
       SUBJECT_ALT_NAME                 ...
       TYPE                             ...
BITNO! Identifikacija mora biti ostvarena najkasnije 7 dana nakon podnošenja zahtjeva. U suprotnom zahtjev se briše te je potrebno 
       podnijeti novi.

10. SRCE CA izdaje certifikat i obavještava korisnika putem maila da je certifikat objavljen na web stranici [3]. Po dobivanju maila korisnik može dohvatiti izdani certifikat putem web sučelja.

11. Po dobivanju certifikata korisnik mora poslati mail potpisan sa novim certifikatom na SRCE CA adresu navedenu u mailu sa obavijesti u certifikatu. Mail se može poslati na jedan od načina:

  • Korisnici koji imaju account na UI čvoru i prethodno su instalirali svoj korisnički certifikat na njemu [[4]], trebaju samo pokrenuti skriptu cverify.pl (lozinka koju treba upisati je ona koju ste postavili prilikom instalacije certifikata).
  • Korisnici koji nemaju otvoren account na UI čvoru mogu koristiti skriptu za slanje obavijesti s vlastitog računala. Skripte je moguće dohvatiti na sljedećoj adresi. Prije izvođenja cverify.pl potrebno je instalirati korisnički certifikat sa skriptom convertCert.sh.
  • Korisnici koji nemaju otvoren account na UI čvoru i nisu u mogućnosti koristiti skripte na vlastitom računalu trebaju poslati potpisani odgovor na prvi mail "SRCE CA Certificate Statement" naveden u obavijesti. Drugi mail se koristi isključivo kod izdavanja poslužiteljskih certifikata i nije ga potrebno slati.