AEGIS RA Procedura za dobijanje digitalnih sertifikata
From MediaWiki
Line 43: | Line 43: | ||
subject: User certificate request for <ime i prezime> | subject: User certificate request for <ime i prezime> | ||
- | + | ||
To AEGIS CA: | To AEGIS CA: | ||
- | + | ||
I am sending a user certificate request for | I am sending a user certificate request for | ||
<ime i prezime> to be signed by the AEGIS CA. | <ime i prezime> to be signed by the AEGIS CA. | ||
- | + | ||
My contacts are given below: | My contacts are given below: | ||
- | + | ||
<ime i prezime> | <ime i prezime> | ||
Address: <naziv institucije>, <adresa institucije>, Serbia | Address: <naziv institucije>, <adresa institucije>, Serbia |
Revision as of 15:17, 8 April 2009
Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje AEGIS CA. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za generisanje sertifikata neophodan je instaliran gLite-UI. Ukoliko se radi o korisničkom sertifikatu neophodno je da korisnik ima mail adresu na serveru institucije. Za host sertifikate neophodno je da računar za koji se traži sertifikat ima podešen DNS i FQDN na domenu institucije.
Za izdavanje korisničkih sertifikata korisnik mora da dokaže svoj identitet u prostorijama AEGIS CA (RCUB) ili da za njega garantuje ovlašćeni RA (Registration Authority). Za host sertifikate garantuje administrator host-a svojim user sertifikatom koji je prethodno pribavio.
Procedura za dobijanje sertifikata podrazumeva instaliran i konfigurisan gLite-UI. Konfiguracioni fajlovi za generisanje sertifikata nalaze se u
/etc/grid-security/globus-host-ssl.conf - za host sertifikate i /etc/grid-security/globus-user-ssl.conf - za user sertifikate
U ovim fajlovima potrebno je podesiti sledeću promenljivu:
organizationalUnitName_default = Naziv Institucije
Naziv institucije uzima se iz tabele na web stranici AEGIS CA. Ukoliko institucija nije navedena u tabeli, potrebno je kontaktirati AEGIS-CA.
Zahtev za user sertifikat se generiše na gLite-UI naredbom:
grid-cert-request
Naredbu treba pokrenuti kao korisnik za koga se sertifikat traži. Ukoliko je u /etc/passwd uneto ime i prezime korisnika grid-cert-request će pitati samo za passphrase. Ukoliko želite da generišete zahtev za sertifikat za neku drugu instituciju (različitu od navedene u /etc/grid-security/globus-user-ssl.conf) možete koristiti interaktivni mod:
grid-cert-request -int
Grid-cert-request generiše tri fajla u folderu /home/<user>/.globus/
usercert.pem usercert_request.pem userkey.pem
Fajl userkey.pem je privatni ključ. Njega nikome ne treba davati. Fajl usercert.pem je prazan fajl u koji treba upisati sertifikat koji potpiše CA. Fajl usercert_request.pem je fajl koji predstavlja javni ključ potpisan privatnim ključem. Njega dodatno potpisuje CA i od njega se pravi usercert.pem. Usercert_request.pem treba poslati CA ili RA.
Ukoliko se sertifikat traži prvi put usercert_request.pem se salje CA ili RA uz sledeće podatke: ime i prezime email adresa naziv institucije adresa institucije broj telefona
Ove podatke CA ili RA proveravaju i na osnovu njih se izdaje sertifikat.
Ukoliko se zahteva obnova sertifikata onda se mail šalje direktno CA nekoliko dana pre isteka starog sertifikata. Ovaj mail neophodno je digitalno potpisati. Tekst maila treba da glasi:
subject: User certificate request for <ime i prezime> To AEGIS CA: I am sending a user certificate request for <ime i prezime> to be signed by the AEGIS CA. My contacts are given below: <ime i prezime> Address: <naziv institucije>, <adresa institucije>, Serbia E-mail: <email> Phone: <broj telefona>
Za generisanje host sertifikata koristi se naredba: