AEGIS RA Procedura za dobijanje digitalnih sertifikata
From MediaWiki
Line 91: | Line 91: | ||
= Prijem potpisanog sertifikata od CA = | = Prijem potpisanog sertifikata od CA = | ||
- | Nakon | + | == User sertifikat == |
+ | |||
+ | Nakon potpisivanja CA šalje korisniku usercert.pem. Ovaj fajl korisnik treba da prekopira preko istoimenog praznog fajla koji se nalazi na userinterface-u u korisničkom .globus folderu. Nakon toga, potrebno je pokrenuti ssl komandu koja generiše sertifikat p12 tipa koji se može uvesti u email klijent i web browser: | ||
+ | |||
+ | openssl pkcs12 -export -in ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem -name "My Certificate" -out mycertificate.p12 |
Revision as of 14:25, 9 April 2009
Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje AEGIS CA. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za generisanje sertifikata neophodan je instaliran gLite-UI. Ukoliko se radi o korisničkom sertifikatu neophodno je da korisnik ima mail adresu na serveru institucije. Za host sertifikate neophodno je da računar za koji se traži sertifikat ima podešen DNS i FQDN na domenu institucije.
Contents |
Generisanje i slanje zahteva za izdavanje sertifikata
Za izdavanje korisničkih sertifikata korisnik mora da dokaže svoj identitet u prostorijama AEGIS CA (RCUB) ili da za njega garantuje ovlašćeni RA (Registration Authority). Za host sertifikate garantuje administrator host-a svojim user sertifikatom koji je prethodno pribavio.
Procedura za dobijanje sertifikata podrazumeva instaliran i konfigurisan gLite-UI. Konfiguracioni fajlovi za generisanje sertifikata nalaze se u
/etc/grid-security/globus-host-ssl.conf - za host sertifikate i /etc/grid-security/globus-user-ssl.conf - za user sertifikate
U ovim fajlovima potrebno je podesiti sledeću promenljivu:
organizationalUnitName_default = Naziv Institucije
Naziv institucije uzima se iz tabele na web stranici AEGIS CA. Ukoliko institucija nije navedena u tabeli, potrebno je kontaktirati AEGIS-CA.
User sertifikati
Zahtev za user sertifikat se generiše na gLite-UI naredbom:
grid-cert-request
Naredbu treba pokrenuti kao korisnik za koga se sertifikat traži. Ukoliko je u /etc/passwd uneto ime i prezime korisnika grid-cert-request će pitati samo za passphrase. Ukoliko želite da generišete zahtev za sertifikat za neku drugu instituciju (različitu od navedene u /etc/grid-security/globus-user-ssl.conf) možete koristiti interaktivni mod:
grid-cert-request -int
Grid-cert-request generiše tri fajla u folderu /home/<user>/.globus/
usercert.pem usercert_request.pem userkey.pem
Fajl userkey.pem je privatni ključ. Njega nikome ne treba davati. Fajl usercert.pem je prazan fajl u koji treba upisati sertifikat koji potpiše CA. Fajl usercert_request.pem je fajl koji predstavlja javni ključ potpisan privatnim ključem. Njega dodatno potpisuje CA i od njega se pravi usercert.pem. Usercert_request.pem treba poslati CA ili RA.
Ukoliko se sertifikat traži prvi put usercert_request.pem se salje CA ili RA uz sledeće podatke: ime i prezime email adresa naziv institucije adresa institucije broj telefona
Ove podatke CA ili RA proveravaju i na osnovu njih se izdaje sertifikat. RA proverava identitet korisnika i podatke i usercert_request.pem prosleđuje CA u mailo koji potpisuje svojim sertifikatom.
Ukoliko se zahteva obnova sertifikata onda se mail šalje direktno CA nekoliko dana pre isteka starog sertifikata. Ovaj mail neophodno je digitalno potpisati. U oba slučaja tekst maila treba da glasi:
subject: User certificate request for <ime i prezime> To AEGIS CA: I am sending a user certificate request for <ime i prezime> to be signed by the AEGIS CA. My contacts are given below: <ime i prezime> Address: <naziv institucije>, <adresa institucije>, Serbia E-mail: <email> Phone: <broj telefona>
Host sertifikati
Za generisanje host sertifikata koristi se naredba:
grid-cert-request -host <FQDN> -dir <ime direktorijuma>
Ova naredba generisaće privatni ključ i zahtev za host sertifikat za traženi FQDN i smestiće ih u naznačeni folder. Slično kao i kod user sertifikata, biće generisana tri fajla:
hostcert.pem hostcert_request.pem hostkey.pem
Administrator host-a šalje hostcert_request.pem dirktno CA. Mail kojim se zahtev šalje treba poslati u mailu koji administrator digitalno potpisuje svojim usersertifikatom. Email treba da sadrži sledeće:
subject: Host certificate request for <FQDN> As <ime grid sajta> site manager and the responsible person for all hosts at our site, I am sending a host certificate request for <FQDN> (which is located at the <ime institucije> in <ime grada>) to be signed by the AEGIS CA. My contacts are given below: <ime i prezime> Address: <ime institucije>, <adresa institucije>, Serbia E-mail: <email> Phone: <broj telefona>
Prijem potpisanog sertifikata od CA
User sertifikat
Nakon potpisivanja CA šalje korisniku usercert.pem. Ovaj fajl korisnik treba da prekopira preko istoimenog praznog fajla koji se nalazi na userinterface-u u korisničkom .globus folderu. Nakon toga, potrebno je pokrenuti ssl komandu koja generiše sertifikat p12 tipa koji se može uvesti u email klijent i web browser:
openssl pkcs12 -export -in ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem -name "My Certificate" -out mycertificate.p12