<div dir="ltr"><div>Hi John,</div><div><br></div><div>Thank you for your attention.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 13, 2020 at 7:47 AM Dehart, John <<a href="mailto:jdd@wustl.edu">jdd@wustl.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Zhiyi,<br>
<br>
Something that would be helpful for me to understand the NDNCert protocol and <br>
how it will operate is if we could have a detailed walkthrough of an example of<br>
how it would work on the NDN Testbed.<br>
<br>
 I envision it would be something like this but I am probably missing parts or have some<br>
things wrong:<br>
<br>
1. Create root self-signed cert on UCLA node.<br>
2. Run Root NDN Testbed CA on UCLA node using root self signed cert<br>
3. On each NDN Testbed node:<br>
     a. Create node prefix based ndnsec key pair<br></blockquote><div><br></div><div>This step will automatically be done by NDNCERT.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
     b. Request cert from Root NDN Testbed CA at UCLA<br>
     c. Run node prefix based CA for this nodes namespace<br>
4. Users wanting a cert within an NDN Testbed node's namespace request it from that node’ CA<br></blockquote><div><br></div><div>There is no problem here.</div><div>Something to add:</div><div>In your example, the UCLA node is the root node (root node CA can be hosted by any testbed node). then I think UCLA will own two CA instances. One is the root CA, i.e., /ndn/CA and the other is UCLA's CA, i.e., /ndn/edu/ucla/CA</div><div></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Given that kind of scenario, what would be the protocol messages, challenges, email exchanges, etc<br>
that would be required.<br></blockquote><div><br></div><div>My suggestion is to use PIN code for site CAs to get certificates from the root CA, which means root CA only accepts PIN code challenge.</div><div>Regarding normal CA, I think using email and PIN code challenges is sufficient.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
This may not fit into todays conf call but it would be something to have before we are ready to <br>
deploy on the NDN Testbed.<br></blockquote><div><br></div><div>You are absolutely right.</div><div>I think the ndn-dev call need to cover following topics:</div><div>1. CA names</div><div>2. repo deployment</div><div>3. mapping from an email address to an NDN name</div><div>4. what challenges to use for different types of CAs (root CA, site CA)</div><div><br></div><div>Best,</div><div>Zhiyi</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
John<br>
<br>
</blockquote></div></div>