AEGIS RA Procedura za dobijanje digitalnih sertifikata

From MediaWiki

(Difference between revisions)
Jump to: navigation, search
Line 43: Line 43:
  subject: User certificate request for <ime i prezime>
  subject: User certificate request for <ime i prezime>
-
 
+
  To AEGIS CA:
  To AEGIS CA:
-
 
+
  I am sending a user certificate request for
  I am sending a user certificate request for
  <ime i prezime> to be signed by the AEGIS CA.
  <ime i prezime> to be signed by the AEGIS CA.
-
 
+
  My contacts are given below:
  My contacts are given below:
-
 
+
  <ime i prezime>
  <ime i prezime>
  Address: <naziv institucije>, <adresa institucije>, Serbia
  Address: <naziv institucije>, <adresa institucije>, Serbia

Revision as of 15:17, 8 April 2009

Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje AEGIS CA. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za generisanje sertifikata neophodan je instaliran gLite-UI. Ukoliko se radi o korisničkom sertifikatu neophodno je da korisnik ima mail adresu na serveru institucije. Za host sertifikate neophodno je da računar za koji se traži sertifikat ima podešen DNS i FQDN na domenu institucije.

Za izdavanje korisničkih sertifikata korisnik mora da dokaže svoj identitet u prostorijama AEGIS CA (RCUB) ili da za njega garantuje ovlašćeni RA (Registration Authority). Za host sertifikate garantuje administrator host-a svojim user sertifikatom koji je prethodno pribavio.

Procedura za dobijanje sertifikata podrazumeva instaliran i konfigurisan gLite-UI. Konfiguracioni fajlovi za generisanje sertifikata nalaze se u

/etc/grid-security/globus-host-ssl.conf - za host sertifikate
i
/etc/grid-security/globus-user-ssl.conf - za user sertifikate

U ovim fajlovima potrebno je podesiti sledeću promenljivu:

organizationalUnitName_default       		= Naziv Institucije

Naziv institucije uzima se iz tabele na web stranici AEGIS CA. Ukoliko institucija nije navedena u tabeli, potrebno je kontaktirati AEGIS-CA.

Zahtev za user sertifikat se generiše na gLite-UI naredbom:

grid-cert-request

Naredbu treba pokrenuti kao korisnik za koga se sertifikat traži. Ukoliko je u /etc/passwd uneto ime i prezime korisnika grid-cert-request će pitati samo za passphrase. Ukoliko želite da generišete zahtev za sertifikat za neku drugu instituciju (različitu od navedene u /etc/grid-security/globus-user-ssl.conf) možete koristiti interaktivni mod:

grid-cert-request -int

Grid-cert-request generiše tri fajla u folderu /home/<user>/.globus/

usercert.pem
usercert_request.pem
userkey.pem

Fajl userkey.pem je privatni ključ. Njega nikome ne treba davati. Fajl usercert.pem je prazan fajl u koji treba upisati sertifikat koji potpiše CA. Fajl usercert_request.pem je fajl koji predstavlja javni ključ potpisan privatnim ključem. Njega dodatno potpisuje CA i od njega se pravi usercert.pem. Usercert_request.pem treba poslati CA ili RA.

Ukoliko se sertifikat traži prvi put usercert_request.pem se salje CA ili RA uz sledeće podatke: ime i prezime email adresa naziv institucije adresa institucije broj telefona

Ove podatke CA ili RA proveravaju i na osnovu njih se izdaje sertifikat.

Ukoliko se zahteva obnova sertifikata onda se mail šalje direktno CA nekoliko dana pre isteka starog sertifikata. Ovaj mail neophodno je digitalno potpisati. Tekst maila treba da glasi:

subject: User certificate request for <ime i prezime>

To AEGIS CA:

I am sending a user certificate request for
<ime i prezime> to be signed by the AEGIS CA.

My contacts are given below:

<ime i prezime>
Address: <naziv institucije>, <adresa institucije>, Serbia
E-mail: <email>
Phone: <broj telefona>

Za generisanje host sertifikata koristi se naredba:

Personal tools