2. Scenariusze
Opisane tutaj scenariusze definiują sytuacje obsługiwane w ramach tego zadania. Pozwalają one zidentyfikować punkty styku systemów (LDAP, EuroPKI) zaangażowanych w dostarczanie wymaganych funkcjonalności oraz procedury postępowania w konkretnych przypadkach.
Procedury te są ważne szczególnie ze względu na konieczność angażowania wielu aktorów, w tym bezpośrednio użytkownika (rozumianego jako właściciela certyfikatu EuroPKI).
2.1. Scenariusz 1
Wydanie nowego certyfikatu.
Polskie Centrum Certyfikacji EuroPKI otrzymuje zlecenie certyfikacji od użytkownika z prośbą o Certyfikat oraz wymagane do certyfikacji dokumenty
(zgłoszenie zawiera m.in. Imię, Nazwisko, adres email, organizację oraz jednostkę organizacyjną dla której wydawany jest certyfikat),
Jeżeli dane w zgłoszeniu są poprawne i dokumenty zostaną zweryfikowane poprawnie, certyfikat zostaje wydany,
Dodanie certyfikatu do bazy EuroPKI,
Dodanie certyfikatu do bazy LDAP.
Zakłada się, że tylko adres email zawarty w certyfikacie jest elementem niepowtarzalnym, jednoznacznie identyfikującym użytkownika w bazie LDAP.
Wynika to z faktu braku kodowania unicode we Włoskim oprogramowaniu CA Backend i CA Frontend, co powoduje różnice pomiędzy DN w certyfikacie a tym występującym w drzewie LDAP o=Politechnika Wrocławska,c=PL. Obecnie prowadzone są prace nad modifikacją oprogramowania.
przeszukuj bazę LDAP w poszukiwaniu adresu email użytkownika, zawartego w Certyfikacie
jeżeli znajdziesz email w bazie LDAP, dodaj certyfikat i powiadom użytkownika o wydaniu Certyfikatu i dodaniu go do jego danych w bazie LDAP,
jeżeli nie znajdziesz emaila w bazie LDAP, powiadom użytkownika o wydaniu Certyfikatu i niepowodzeniu w umieszczeniu go w bazie LDAP.
Mogą być dwie przyczyny niepowodzenia:
1. nie ma użytkownika w bazie LDAP,
2.użytkownik nie chce publikować maila, dla którego przyznany jest Certyfikat i nie podał go w ankiecie LDAP.
W obydwu przypadkach użytkownik może przejść procedurę wypełniania ankiety w celu dodania/modyfikacji wpisu do bazy LDAP i dzieje się to na jego inicjatywę (scenariusz 2).
2.2. Scenariusz 2
Użytkownik chce dodać posiadany certyfikat dla niepublikowanego w bazie LDAP adresu email.
Użytkownik wypełnia ankietę LDAP odpowiednio aktualizując dane (w tym adres email) i dostarcza je do osoby odpowiedzialnej za aktualizację danych w bazie LDAP
Certyfikat dodawany jest do bazy LDAP przy najbliższej aktualizacji certyfikatów (scenariusz 3).
2.3. Scenariusz 3
Automatyczna aktualizacja certyfikatów
Zakłada się, że ze względu na politykę bezpieczeństwa (należy odpowiednio szybko aktualizować dane o certyfikatach) automatyczna aktualizacja informacji o certyfikatach wyzwalana będzie czasem (np. cron) i przeprowadzana raz dziennie, niezależnie czy i ile certyfikatów w tym czasie zostało wydanych, unieważnionych czy przeterminowało się.
Dla wszystkich certyfikatów (zawartych w nich adresów email) znajdujących się w bazie EuroPKI (wydane, unieważnione, ...) przeszukiwana jest baza LDAP i jeżeli znaleziony zostanie użytkownik z adresem email takim jak zawarty w certyfikacie:
Sprawdzony zostanie wpis w bazie LDAP dla tego użytkownika, i w zależności od tego, czy użytkownik posiada już certyfikaty
Użytkownik posiada certyfikaty
Certyfikaty są pobierane z bazy LDAP
Zostaje dokonane porównanie pobranych certyfikatow z certyfikatem bieżącym
Jeśli taki certyfikat jest już w bazie LDAP operacja jest przerywana
Jeśli nie certyfikat bieżący jest dodawany
Użytkownik nie posiada certyfikatów, certyfikat bieżący jest dodawany do wpisu użytkownika
2.4. Scenariusz 4
Poszukiwanie emaila i certyfikatu danego użytkownika.
Szukający przegląda przez interfejs www bazę LDAP i znajduje rekord użytkownika.
Użytkownik posiada kilka adresów email i kilka certyfikatów.
Szukający ma możliwość jednoznacznie wybrać adres email i odpowiadający mu certyfikat.
Szukający ma możliwość przeglądania wszystkich certyfikatów tego użytkownika oraz może rozróżnić certyfikaty ze względu na ich ważność (aktualność).