AEGIS RA Procedura za dobijanje digitalnih sertifikata
From MediaWiki
(25 intermediate revisions not shown) | |||
Line 1: | Line 1: | ||
- | Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje [http://aegis-ca.rcub.bg.ac.rs/ AEGIS CA]. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za | + | Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje [http://aegis-ca.rcub.bg.ac.rs/ AEGIS CA]. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za generisanje sertifikata neophodan je instaliran gLite-UI. Ukoliko se radi o korisničkom sertifikatu neophodno je da korisnik ima mail adresu na serveru institucije. Za host sertifikate neophodno je da računar za koji se traži sertifikat ima podešen DNS i FQDN na domenu institucije. |
- | + | <br>__TOC__<br> | |
- | + | ||
+ | = Generisanje i slanje zahteva za izdavanje sertifikata = | ||
- | + | Za izdavanje korisničkih sertifikata korisnik mora da dokaže svoj identitet u prostorijama AEGIS CA (RCUB) ili da za njega garantuje ovlašćeni [http://aegis-ca.rcub.bg.ac.rs/contact.html RA] (Registration Authority). Za host sertifikate garantuje administrator host-a svojim user sertifikatom koji je prethodno pribavio. | |
- | + | Procedura za dobijanje sertifikata podrazumeva instaliran i konfigurisan gLite-UI. Konfiguracioni fajlovi za generisanje sertifikata nalaze se u | |
- | + | /etc/grid-security/globus-host-ssl.conf - za host sertifikate | |
- | + | i | |
- | + | /etc/grid-security/globus-user-ssl.conf - za user sertifikate | |
- | + | U ovim fajlovima potrebno je podesiti sledeću promenljivu: | |
- | === mail === | + | organizationalUnitName_default = Naziv Institucije |
+ | |||
+ | Naziv institucije uzima se iz tabele na [http://aegis-ca.rcub.bg.ac.rs/instructions.html web stranici] AEGIS CA. Ukoliko institucija nije navedena u tabeli, potrebno je [mailto:aegis-ca@aegis-ca.rcub.bg.ac.rs kontaktirati] AEGIS-CA. | ||
+ | |||
+ | == Generisanje i slanje user sertifikata == | ||
+ | |||
+ | Zahtev za user sertifikat se generiše na gLite-UI naredbom: | ||
+ | |||
+ | grid-cert-request | ||
+ | |||
+ | Naredbu treba pokrenuti kao korisnik za koga se sertifikat traži. Ukoliko je u /etc/passwd uneto ime i prezime korisnika grid-cert-request će pitati samo za passphrase. Ukoliko želite da generišete zahtev za sertifikat za neku drugu instituciju (različitu od navedene u /etc/grid-security/globus-user-ssl.conf) možete koristiti interaktivni mod: | ||
+ | |||
+ | grid-cert-request -int | ||
+ | |||
+ | Grid-cert-request generiše tri fajla u folderu /home/<user>/.globus/ | ||
+ | |||
+ | usercert.pem | ||
+ | usercert_request.pem | ||
+ | userkey.pem | ||
+ | |||
+ | Fajl userkey.pem je privatni ključ. Njega nikome ne treba davati. Fajl usercert.pem je prazan fajl u koji treba upisati sertifikat koji potpiše CA. Fajl usercert_request.pem je fajl koji predstavlja javni ključ potpisan privatnim ključem. Njega dodatno potpisuje CA i od njega se pravi usercert.pem. Usercert_request.pem treba poslati CA ili RA. | ||
+ | |||
+ | Ukoliko se sertifikat traži prvi put usercert_request.pem se salje CA ili RA uz sledeće podatke: | ||
+ | ime i prezime | ||
+ | email adresa | ||
+ | naziv institucije | ||
+ | adresa institucije | ||
+ | broj telefona | ||
+ | |||
+ | Ove podatke CA ili RA proveravaju i na osnovu njih se izdaje sertifikat. RA proverava identitet korisnika i podatke i usercert_request.pem prosleđuje CA u mailo koji potpisuje svojim sertifikatom. | ||
+ | |||
+ | Ukoliko se zahteva obnova sertifikata onda se mail šalje direktno CA nekoliko dana pre isteka starog sertifikata. Ovaj mail neophodno je digitalno potpisati. U oba slučaja tekst maila treba da glasi: | ||
+ | |||
+ | subject: User certificate request for <ime i prezime> | ||
+ | |||
+ | To AEGIS CA: | ||
+ | |||
+ | I am sending a user certificate request for | ||
+ | <ime i prezime> to be signed by the AEGIS CA. | ||
+ | |||
+ | My contacts are given below: | ||
+ | |||
+ | <ime i prezime> | ||
+ | Address: <naziv institucije>, <adresa institucije>, Serbia | ||
+ | E-mail: <email> | ||
+ | Phone: <broj telefona> | ||
+ | |||
+ | == Generisanje i slanje host sertifikata == | ||
+ | |||
+ | Za generisanje host sertifikata koristi se naredba: | ||
+ | |||
+ | grid-cert-request -host <FQDN> -dir <ime direktorijuma> | ||
+ | |||
+ | Ova naredba generisaće privatni ključ i zahtev za host sertifikat za traženi FQDN i smestiće ih u naznačeni folder. Slično kao i kod user sertifikata, biće generisana tri fajla: | ||
+ | |||
+ | hostcert.pem | ||
+ | hostcert_request.pem | ||
+ | hostkey.pem | ||
+ | |||
+ | Administrator host-a šalje hostcert_request.pem dirktno CA. Mail kojim se zahtev šalje treba poslati u mailu koji administrator digitalno potpisuje svojim usersertifikatom. Email treba da sadrži sledeće: | ||
+ | |||
+ | subject: Host certificate request for <FQDN> | ||
+ | |||
+ | As <ime grid sajta> site manager and the responsible person for all hosts at our site, | ||
+ | I am sending a host certificate request for <FQDN> (which is located at the <ime institucije> | ||
+ | in <ime grada>) to be signed by the AEGIS CA. | ||
+ | |||
+ | My contacts are given below: | ||
+ | |||
+ | <ime i prezime> | ||
+ | Address: <ime institucije>, <adresa institucije>, Serbia | ||
+ | E-mail: <email> | ||
+ | Phone: <broj telefona> | ||
+ | |||
+ | = Prijem potpisanog sertifikata od CA = | ||
+ | |||
+ | == Prijem user sertifikata == | ||
+ | |||
+ | Nakon potpisivanja CA šalje korisniku usercert.pem. Ovaj fajl korisnik treba da prekopira preko istoimenog praznog fajla koji se nalazi na userinterface-u u korisničkom .globus folderu. Nakon toga, potrebno je pokrenuti ssl komandu koja generiše sertifikat p12 tipa koji se može uvesti u email klijent i web browser: | ||
+ | |||
+ | openssl pkcs12 -export -in ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem -name "<ime sertifikata>" -out <ime fajla>.p12 | ||
+ | |||
+ | Ime sertifikata i ime fajla mogu biti proizvoljno izabrani. Ime sertifikata služi za izbor sertifikata u slučaju da korisnik ima više različitih sertifikata. Sertifikat u p12 formatu treba ubaciti u web browser i email klijent koje korisnik koristi. | ||
+ | |||
+ | Za završetak procedure potrebno je poslati email CA kojim se potvrđuje prijem sertifikata. Ovaj mail korisnik šalje direktno CA i potpisuje ga svojim sertifikatom. Ovaj email treba da ima sledeću formu: | ||
+ | |||
+ | subject: re: Signed Host certificate | ||
+ | |||
+ | To whom it may concern, | ||
+ | |||
+ | With this email I state that | ||
+ | |||
+ | 1. I, <ime i prezime>, accept my x509v3 digital certificate with | ||
+ | DN: /C=RS/O=AEGIS/OU=<ime institucije>/CN=<ime i prezime> | ||
+ | Serial Number: <serijski broj sertifikata> | ||
+ | signed by /C=RS/O=AEGIS/CN=AEGIS-CA | ||
+ | |||
+ | 2. I adhere the AEGIS CA policy and usage rules found at: | ||
+ | http://aegis-ca.rcub.bg.ac.rs/documents/AEGIS-CP-CPS.pdf | ||
+ | (O.I.D. 1.3.6.1.4.1.23658.10.1.1.1) | ||
+ | |||
+ | DN i serijski broj sertifikata mogu se pronaci u hostcert.pem fajlu koji je CA potpisao. Serijski broj se stavlja u formatu: 104 (0x68) (decimalno i hexadecimalno). | ||
+ | |||
+ | == Prijem host sertifikata == | ||
+ | |||
+ | CA šalje administratoru potpisan hostcert.pem koji treba iskopirati preko istoimenog praznog fajla generisanog prilikom generisanja zahteva. Fajlovi hostcert.pem i hostkey.pem se smeštaju u folder /etc/grid-security na host mašini za koju se sertifikat tražio. | ||
+ | |||
+ | Administrator obaveštava CA o prijemu sertifikata mailom sledeće sadržine: | ||
+ | |||
+ | subject: Re: Signed host certificates - <FQDN> | ||
+ | |||
+ | To whom it may concern, | ||
+ | |||
+ | With this email I state that | ||
+ | |||
+ | 1. I am the person responsible for the network entity | ||
+ | <FQDN>, and I accept the x509v3 digital certificate with | ||
+ | DN: /C=RS/O=AEGIS/OU=<ime institucije>/CN=<FQDN> | ||
+ | Serial Number: <serijski broj> | ||
+ | signed by /C=RS/O=AEGIS/CN=AEGIS-CA | ||
+ | |||
+ | 2. I adhere the AEGIS CA policy and usage rules found at: | ||
+ | http://aegis-ca.rcub.bg.ac.rs/documents/AEGIS-CP-CPS.pdf | ||
+ | (O.I.D. 1.3.6.1.4.1.23658.10.1.1.1) | ||
+ | |||
+ | Serijski broj i DN mogu se naći u hostcert.pem fajlu koji je potpisao CA. Serijski broj se šalje u decimalnom i hexadecimalnom obliku (tipa: 158 (0x9e)). Ovaj email administrator potpisuje svojim sertifikatom. | ||
+ | |||
+ | = Uvoženje sertifikata u web browser i email klijent = | ||
+ | |||
+ | U web browser treba uvesti CA root sertifikat i sertifikat korisnika. Root sertifikat CA se može naći na [http://aegis-ca.rcub.bg.ac.rs/root_ca_certificate.html web stranici] AEGIS-CA. Većina web browsera podržava der format sertifikata. Na navedenoj stranici dostupni su još i pem i crt verzije. Dovoljno je uvesti jednu. Nakon toga uvozi se korisnički p12 sertifikat. Istu proceduru treba ponoviti i za email klijent. CA root sertifikat se izdaje na 10 godina te se on uvozi samo jednom. Procedura za uvoženje korisničkog sertifikata se ponavlja svake godine nakon izdavanja novog sertifikata. | ||
+ | |||
+ | = Učlanjenje u AEGIS VO = | ||
+ | |||
+ | Učlanjenje u AEGIS VO vrši se na adresi: [https://voms.ipb.ac.rs:8443/voms/aegis/ https://voms.ipb.ac.rs:8443/voms/aegis/]. Korisnici se u VOMS serveru prepoznaju po DN-u, koji se ne menja, tako da se u VO učlanjuje samo jednom, a ne svaki put kada se sertifikat obnavlja. |
Latest revision as of 15:15, 9 April 2009
Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje AEGIS CA. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za generisanje sertifikata neophodan je instaliran gLite-UI. Ukoliko se radi o korisničkom sertifikatu neophodno je da korisnik ima mail adresu na serveru institucije. Za host sertifikate neophodno je da računar za koji se traži sertifikat ima podešen DNS i FQDN na domenu institucije.
Contents |
Generisanje i slanje zahteva za izdavanje sertifikata
Za izdavanje korisničkih sertifikata korisnik mora da dokaže svoj identitet u prostorijama AEGIS CA (RCUB) ili da za njega garantuje ovlašćeni RA (Registration Authority). Za host sertifikate garantuje administrator host-a svojim user sertifikatom koji je prethodno pribavio.
Procedura za dobijanje sertifikata podrazumeva instaliran i konfigurisan gLite-UI. Konfiguracioni fajlovi za generisanje sertifikata nalaze se u
/etc/grid-security/globus-host-ssl.conf - za host sertifikate i /etc/grid-security/globus-user-ssl.conf - za user sertifikate
U ovim fajlovima potrebno je podesiti sledeću promenljivu:
organizationalUnitName_default = Naziv Institucije
Naziv institucije uzima se iz tabele na web stranici AEGIS CA. Ukoliko institucija nije navedena u tabeli, potrebno je kontaktirati AEGIS-CA.
Generisanje i slanje user sertifikata
Zahtev za user sertifikat se generiše na gLite-UI naredbom:
grid-cert-request
Naredbu treba pokrenuti kao korisnik za koga se sertifikat traži. Ukoliko je u /etc/passwd uneto ime i prezime korisnika grid-cert-request će pitati samo za passphrase. Ukoliko želite da generišete zahtev za sertifikat za neku drugu instituciju (različitu od navedene u /etc/grid-security/globus-user-ssl.conf) možete koristiti interaktivni mod:
grid-cert-request -int
Grid-cert-request generiše tri fajla u folderu /home/<user>/.globus/
usercert.pem usercert_request.pem userkey.pem
Fajl userkey.pem je privatni ključ. Njega nikome ne treba davati. Fajl usercert.pem je prazan fajl u koji treba upisati sertifikat koji potpiše CA. Fajl usercert_request.pem je fajl koji predstavlja javni ključ potpisan privatnim ključem. Njega dodatno potpisuje CA i od njega se pravi usercert.pem. Usercert_request.pem treba poslati CA ili RA.
Ukoliko se sertifikat traži prvi put usercert_request.pem se salje CA ili RA uz sledeće podatke: ime i prezime email adresa naziv institucije adresa institucije broj telefona
Ove podatke CA ili RA proveravaju i na osnovu njih se izdaje sertifikat. RA proverava identitet korisnika i podatke i usercert_request.pem prosleđuje CA u mailo koji potpisuje svojim sertifikatom.
Ukoliko se zahteva obnova sertifikata onda se mail šalje direktno CA nekoliko dana pre isteka starog sertifikata. Ovaj mail neophodno je digitalno potpisati. U oba slučaja tekst maila treba da glasi:
subject: User certificate request for <ime i prezime> To AEGIS CA: I am sending a user certificate request for <ime i prezime> to be signed by the AEGIS CA. My contacts are given below: <ime i prezime> Address: <naziv institucije>, <adresa institucije>, Serbia E-mail: <email> Phone: <broj telefona>
Generisanje i slanje host sertifikata
Za generisanje host sertifikata koristi se naredba:
grid-cert-request -host <FQDN> -dir <ime direktorijuma>
Ova naredba generisaće privatni ključ i zahtev za host sertifikat za traženi FQDN i smestiće ih u naznačeni folder. Slično kao i kod user sertifikata, biće generisana tri fajla:
hostcert.pem hostcert_request.pem hostkey.pem
Administrator host-a šalje hostcert_request.pem dirktno CA. Mail kojim se zahtev šalje treba poslati u mailu koji administrator digitalno potpisuje svojim usersertifikatom. Email treba da sadrži sledeće:
subject: Host certificate request for <FQDN> As <ime grid sajta> site manager and the responsible person for all hosts at our site, I am sending a host certificate request for <FQDN> (which is located at the <ime institucije> in <ime grada>) to be signed by the AEGIS CA. My contacts are given below: <ime i prezime> Address: <ime institucije>, <adresa institucije>, Serbia E-mail: <email> Phone: <broj telefona>
Prijem potpisanog sertifikata od CA
Prijem user sertifikata
Nakon potpisivanja CA šalje korisniku usercert.pem. Ovaj fajl korisnik treba da prekopira preko istoimenog praznog fajla koji se nalazi na userinterface-u u korisničkom .globus folderu. Nakon toga, potrebno je pokrenuti ssl komandu koja generiše sertifikat p12 tipa koji se može uvesti u email klijent i web browser:
openssl pkcs12 -export -in ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem -name "<ime sertifikata>" -out <ime fajla>.p12
Ime sertifikata i ime fajla mogu biti proizvoljno izabrani. Ime sertifikata služi za izbor sertifikata u slučaju da korisnik ima više različitih sertifikata. Sertifikat u p12 formatu treba ubaciti u web browser i email klijent koje korisnik koristi.
Za završetak procedure potrebno je poslati email CA kojim se potvrđuje prijem sertifikata. Ovaj mail korisnik šalje direktno CA i potpisuje ga svojim sertifikatom. Ovaj email treba da ima sledeću formu:
subject: re: Signed Host certificate To whom it may concern, With this email I state that 1. I, <ime i prezime>, accept my x509v3 digital certificate with DN: /C=RS/O=AEGIS/OU=<ime institucije>/CN=<ime i prezime> Serial Number: <serijski broj sertifikata> signed by /C=RS/O=AEGIS/CN=AEGIS-CA 2. I adhere the AEGIS CA policy and usage rules found at: http://aegis-ca.rcub.bg.ac.rs/documents/AEGIS-CP-CPS.pdf (O.I.D. 1.3.6.1.4.1.23658.10.1.1.1)
DN i serijski broj sertifikata mogu se pronaci u hostcert.pem fajlu koji je CA potpisao. Serijski broj se stavlja u formatu: 104 (0x68) (decimalno i hexadecimalno).
Prijem host sertifikata
CA šalje administratoru potpisan hostcert.pem koji treba iskopirati preko istoimenog praznog fajla generisanog prilikom generisanja zahteva. Fajlovi hostcert.pem i hostkey.pem se smeštaju u folder /etc/grid-security na host mašini za koju se sertifikat tražio.
Administrator obaveštava CA o prijemu sertifikata mailom sledeće sadržine:
subject: Re: Signed host certificates - <FQDN> To whom it may concern, With this email I state that 1. I am the person responsible for the network entity <FQDN>, and I accept the x509v3 digital certificate with DN: /C=RS/O=AEGIS/OU=<ime institucije>/CN=<FQDN> Serial Number: <serijski broj> signed by /C=RS/O=AEGIS/CN=AEGIS-CA 2. I adhere the AEGIS CA policy and usage rules found at: http://aegis-ca.rcub.bg.ac.rs/documents/AEGIS-CP-CPS.pdf (O.I.D. 1.3.6.1.4.1.23658.10.1.1.1)
Serijski broj i DN mogu se naći u hostcert.pem fajlu koji je potpisao CA. Serijski broj se šalje u decimalnom i hexadecimalnom obliku (tipa: 158 (0x9e)). Ovaj email administrator potpisuje svojim sertifikatom.
Uvoženje sertifikata u web browser i email klijent
U web browser treba uvesti CA root sertifikat i sertifikat korisnika. Root sertifikat CA se može naći na web stranici AEGIS-CA. Većina web browsera podržava der format sertifikata. Na navedenoj stranici dostupni su još i pem i crt verzije. Dovoljno je uvesti jednu. Nakon toga uvozi se korisnički p12 sertifikat. Istu proceduru treba ponoviti i za email klijent. CA root sertifikat se izdaje na 10 godina te se on uvozi samo jednom. Procedura za uvoženje korisničkog sertifikata se ponavlja svake godine nakon izdavanja novog sertifikata.
Učlanjenje u AEGIS VO
Učlanjenje u AEGIS VO vrši se na adresi: https://voms.ipb.ac.rs:8443/voms/aegis/. Korisnici se u VOMS serveru prepoznaju po DN-u, koji se ne menja, tako da se u VO učlanjuje samo jednom, a ne svaki put kada se sertifikat obnavlja.