Aunque el portal CertCentral dispone de opciones para la solicitud de certificados personales, desde GÉANT se nos ha recomenado no utilizarlas y, en su lugar, hacer uso del acceso federado ya que CertCentral es un SP de eduGAIN (SAML 2.0). De esta manera, además, se evita la creación de cuentas de usuarios solicitantes en CertCentral para todas las personas que necesiten certificados personales.
Certificados personales usando SAML portal
Todos los solicitantes deben estar dados previamente de alta en la base de datos corporativas de la institución de donde se nutra el IdP. Ese alta suele realizarse en secretaría cuando la persona llega por primera vez al centro de trabajo.
Para el acceso federado se requiere que un administrador de su institución, que tenga rol de administrador SAML, mapee el sHO (schacHomeOrganization) que envía su IdP, desde la opción del menú "SAML" Organization Mapping de CertCentral, y además, su IdP envíe los atributos recomendados.
Acceso: https://www.digicert.com/sso
Contacte con los responsables del servicio SIR si desea que su institución pueda hacer uso de estos perfiles.
Certificados personales sin usar SAML portal (NO ACONSEJADO)
En un caso excepcional, y de forma temporal, en el caso de no poder hacer uso del acceso federado, se ha implementado un protocolo, que hay que seguir para no incumplir lo especificado en las políticas del servicio, para la solicitud de certificados personales desde CertCentral sin la utilización del acceso federado.
Debe seguirse el documento:
- TCS Model Process Non‐SAML Personal Issuance
Notas
- Para hacer uso de esta opción es necesario que un administrador de TCS en la institución habilite, de forma temporal, el perfil Grid Premium en CertCentral. Se debe deshabilitar una vez se haya solicitado el certificado.
-
Dependiendo del perfil seleccionado, el atributo CN debe componerse, con el valor del campo displayName o de los campos displayName + eduPersonPrincipalName.
Por ejemplo, para los valores de los atributos displayName= Nombre Apellido1 Apellido2 y eduPersonPrincipalName= user@scope.es, los CNs posibles serían:
Perfil Atributos utilizados CN Premium displayName Nombre Apellido1 Apellido2 Grid Premium displayName + eduPersonPrincipalName Nombre Apellido1 Apellido2 user@scope.es Robot Grid Premium displayName + eduPersonPrincipalName Nombre Apellido1 Apellido2 user@scope.es El resto de valores del DN se extraen de los definidos en el portal CertCentral.
- Los valores del displayName no deben contener caracteres nacionales como la ñ y las tildes.