AEGIS RA Procedura za dobijanje digitalnih sertifikata

From MediaWiki

(Difference between revisions)
Jump to: navigation, search
 
(23 intermediate revisions not shown)
Line 1: Line 1:
-
Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje [http://aegis-ca.rcub.bg.ac.rs/ AEGIS CA]. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za izdavanje digitalnih sertifikata neophodno je da su ispunjeni sledeći uslovi:<br>
+
Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje [http://aegis-ca.rcub.bg.ac.rs/ AEGIS CA]. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za generisanje sertifikata neophodan je instaliran gLite-UI. Ukoliko se radi o korisničkom sertifikatu neophodno je da korisnik ima mail adresu na serveru institucije. Za host sertifikate neophodno je da računar za koji se traži sertifikat ima podešen DNS i FQDN na domenu institucije.
-
* Instaliran i konfigurisan gLite-UI
+
<br>__TOC__<br>
-
* Za user sertifikate email adresa na mail serveru institucije
+
 +
= Generisanje i slanje zahteva za izdavanje sertifikata =
-
= gLite UI - Instalacija i konfiguracija gLite userinterface-a =
+
Za izdavanje korisničkih sertifikata korisnik mora da dokaže svoj identitet u prostorijama AEGIS CA (RCUB) ili da za njega garantuje ovlašćeni [http://aegis-ca.rcub.bg.ac.rs/contact.html RA] (Registration Authority). Za host sertifikate garantuje administrator host-a svojim user sertifikatom koji je prethodno pribavio.
-
Za kreiranje digitalnih sertifikata neophodan je instaliran i konfigurisan gLite-UI. Userinterface se može instalira na Linux platformama. Zvanična podrška postoji za [http://www.scientificlinux.org Scientific Linux 4.x] te je najbolje instalirati istu. Nakon instalacije neohodno je dodati repozitorijum za gLite-UI i instalirati gLite UI pakete:
+
Procedura za dobijanje sertifikata podrazumeva instaliran i konfigurisan gLite-UI. Konfiguracioni fajlovi za generisanje sertifikata nalaze se u
-
  cd /etc/yum.repos.d/
+
  /etc/grid-security/globus-host-ssl.conf - za host sertifikate
-
  wget http://rpm.scl.rs/yum.conf/scl-glite-UI.repo
+
i
-
yum install glite-UI
+
  /etc/grid-security/globus-user-ssl.conf - za user sertifikate
-
Detaljna uputstva o instalaciji gLite servisa mogu se pronaci na [http://glite.web.cern.ch/glite/packages/R3.0/R20060502/doc/installation_guide_3.0-2.html Glite Installation and Configuration Guide-u].
+
U ovim fajlovima potrebno je podesiti sledeću promenljivu:
-
== mail ==
+
organizationalUnitName_default      = Naziv Institucije
 +
 
 +
Naziv institucije uzima se iz tabele na [http://aegis-ca.rcub.bg.ac.rs/instructions.html web stranici] AEGIS CA. Ukoliko institucija nije navedena u tabeli, potrebno je [mailto:aegis-ca@aegis-ca.rcub.bg.ac.rs kontaktirati] AEGIS-CA.
 +
 
 +
== Generisanje i slanje user sertifikata ==
 +
 
 +
Zahtev za user sertifikat se generiše na gLite-UI naredbom:
 +
 
 +
grid-cert-request
 +
 
 +
Naredbu treba pokrenuti kao korisnik za koga se sertifikat traži. Ukoliko je u /etc/passwd uneto ime i prezime korisnika grid-cert-request će pitati samo za passphrase. Ukoliko želite da generišete zahtev za sertifikat za neku drugu instituciju (različitu od navedene u /etc/grid-security/globus-user-ssl.conf) možete koristiti interaktivni mod:
 +
 
 +
grid-cert-request -int
 +
 
 +
Grid-cert-request generiše tri fajla u folderu /home/<user>/.globus/
 +
 
 +
usercert.pem
 +
usercert_request.pem
 +
userkey.pem
 +
 
 +
Fajl userkey.pem je privatni ključ. Njega nikome ne treba davati. Fajl usercert.pem je prazan fajl u koji treba upisati sertifikat koji potpiše CA. Fajl usercert_request.pem je fajl koji predstavlja javni ključ potpisan privatnim ključem. Njega dodatno potpisuje CA i od njega se pravi usercert.pem. Usercert_request.pem treba poslati CA ili RA.
 +
 
 +
Ukoliko se sertifikat traži prvi put usercert_request.pem se salje CA ili RA uz sledeće podatke:
 +
ime i prezime
 +
email adresa
 +
naziv institucije
 +
adresa institucije
 +
broj telefona
 +
 
 +
Ove podatke CA ili RA proveravaju i na osnovu njih se izdaje sertifikat. RA proverava identitet korisnika i podatke i usercert_request.pem prosleđuje CA u mailo koji potpisuje svojim sertifikatom.
 +
 
 +
Ukoliko se zahteva obnova sertifikata onda se mail šalje direktno CA nekoliko dana pre isteka starog sertifikata. Ovaj mail neophodno je digitalno potpisati. U oba slučaja tekst maila treba da glasi:
 +
 
 +
subject: User certificate request for <ime i prezime>
 +
 +
To AEGIS CA:
 +
 +
I am sending a user certificate request for
 +
<ime i prezime> to be signed by the AEGIS CA.
 +
 +
My contacts are given below:
 +
 +
<ime i prezime>
 +
Address: <naziv institucije>, <adresa institucije>, Serbia
 +
E-mail: <email>
 +
Phone: <broj telefona>
 +
 
 +
== Generisanje i slanje host sertifikata ==
 +
 
 +
Za generisanje host sertifikata koristi se naredba:
 +
 
 +
grid-cert-request -host <FQDN> -dir <ime direktorijuma>
 +
 
 +
Ova naredba generisaće privatni ključ i zahtev za host sertifikat za traženi FQDN i smestiće ih u naznačeni folder. Slično kao i kod user sertifikata, biće generisana tri fajla:
 +
 
 +
hostcert.pem
 +
hostcert_request.pem
 +
hostkey.pem
 +
 
 +
Administrator host-a šalje hostcert_request.pem dirktno CA. Mail kojim se zahtev šalje treba poslati u mailu koji administrator digitalno potpisuje svojim usersertifikatom. Email treba da sadrži sledeće:
 +
 
 +
subject: Host certificate request for <FQDN>
 +
 +
As <ime grid sajta> site manager and the responsible person for all hosts at our site,
 +
I am sending a host certificate request for <FQDN> (which is located at the <ime institucije>
 +
in <ime grada>) to be signed by the AEGIS CA.
 +
 +
My contacts are given below:
 +
 +
<ime i prezime>
 +
Address: <ime institucije>, <adresa institucije>, Serbia
 +
E-mail: <email>
 +
Phone: <broj telefona>
 +
 
 +
= Prijem potpisanog sertifikata od CA =
 +
 
 +
== Prijem user sertifikata ==
 +
 
 +
Nakon potpisivanja CA šalje korisniku usercert.pem. Ovaj fajl korisnik treba da prekopira preko istoimenog praznog fajla koji se nalazi na userinterface-u u korisničkom .globus folderu. Nakon toga, potrebno je pokrenuti ssl komandu koja generiše sertifikat p12 tipa koji se može uvesti u email klijent i web browser:
 +
 
 +
openssl pkcs12 -export -in ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem -name "<ime sertifikata>" -out <ime fajla>.p12
 +
 
 +
Ime sertifikata i ime fajla mogu biti proizvoljno izabrani. Ime sertifikata služi za izbor sertifikata u slučaju da korisnik ima više različitih sertifikata. Sertifikat u p12 formatu treba ubaciti u web browser i email klijent koje korisnik koristi.
 +
 
 +
Za završetak procedure potrebno je poslati email CA kojim se potvrđuje prijem sertifikata. Ovaj mail korisnik šalje direktno CA i potpisuje ga svojim sertifikatom. Ovaj email treba da ima sledeću formu:
 +
 
 +
subject: re: Signed Host certificate
 +
 +
To whom it may concern,
 +
 +
With this email I state that
 +
 +
1. I, <ime i prezime>, accept my x509v3 digital certificate with
 +
DN: /C=RS/O=AEGIS/OU=<ime institucije>/CN=<ime i prezime>
 +
Serial Number: <serijski broj sertifikata>
 +
signed by /C=RS/O=AEGIS/CN=AEGIS-CA
 +
 +
2. I adhere the AEGIS CA policy and usage rules found at:
 +
http://aegis-ca.rcub.bg.ac.rs/documents/AEGIS-CP-CPS.pdf
 +
(O.I.D.  1.3.6.1.4.1.23658.10.1.1.1)
 +
 
 +
DN i serijski broj sertifikata mogu se pronaci u hostcert.pem fajlu koji je CA potpisao. Serijski broj se stavlja u formatu: 104 (0x68) (decimalno i hexadecimalno).
 +
 
 +
== Prijem host sertifikata ==
 +
 
 +
CA šalje administratoru potpisan hostcert.pem koji treba iskopirati preko istoimenog praznog fajla generisanog prilikom generisanja zahteva. Fajlovi hostcert.pem i hostkey.pem se smeštaju u folder /etc/grid-security na host mašini za koju se sertifikat tražio.
 +
 
 +
Administrator obaveštava CA o prijemu sertifikata mailom sledeće sadržine:
 +
 
 +
subject: Re: Signed host certificates - <FQDN>
 +
 +
To whom it may concern,
 +
 +
With this email I state that
 +
 +
1. I am the person responsible for the network entity
 +
<FQDN>, and I accept the x509v3 digital certificate with
 +
DN: /C=RS/O=AEGIS/OU=<ime institucije>/CN=<FQDN>
 +
Serial Number: <serijski broj>
 +
signed by /C=RS/O=AEGIS/CN=AEGIS-CA
 +
 +
2. I adhere the AEGIS CA policy and usage rules found at:
 +
http://aegis-ca.rcub.bg.ac.rs/documents/AEGIS-CP-CPS.pdf
 +
(O.I.D.  1.3.6.1.4.1.23658.10.1.1.1)
 +
 
 +
Serijski broj i DN mogu se naći u hostcert.pem fajlu koji je potpisao CA. Serijski broj se šalje u decimalnom i hexadecimalnom obliku (tipa: 158 (0x9e)). Ovaj email administrator potpisuje svojim sertifikatom.
 +
 
 +
= Uvoženje sertifikata u web browser i email klijent =
 +
 
 +
U web browser treba uvesti CA root sertifikat i sertifikat korisnika. Root sertifikat CA se može naći na [http://aegis-ca.rcub.bg.ac.rs/root_ca_certificate.html web stranici] AEGIS-CA. Većina web browsera podržava der format sertifikata. Na navedenoj stranici dostupni su još i pem i crt verzije. Dovoljno je uvesti jednu. Nakon toga uvozi se korisnički p12 sertifikat. Istu proceduru treba ponoviti i za email klijent. CA root sertifikat se izdaje na 10 godina te se on uvozi samo jednom. Procedura za uvoženje korisničkog sertifikata se ponavlja svake godine nakon izdavanja novog sertifikata.
 +
 
 +
= Učlanjenje u AEGIS VO =
 +
 
 +
Učlanjenje u AEGIS VO vrši se na adresi: [https://voms.ipb.ac.rs:8443/voms/aegis/ https://voms.ipb.ac.rs:8443/voms/aegis/]. Korisnici se u VOMS serveru prepoznaju po DN-u, koji se ne menja, tako da se u VO učlanjuje samo jednom, a ne svaki put kada se sertifikat obnavlja.

Latest revision as of 15:15, 9 April 2009

Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje AEGIS CA. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za generisanje sertifikata neophodan je instaliran gLite-UI. Ukoliko se radi o korisničkom sertifikatu neophodno je da korisnik ima mail adresu na serveru institucije. Za host sertifikate neophodno je da računar za koji se traži sertifikat ima podešen DNS i FQDN na domenu institucije.


Contents


Generisanje i slanje zahteva za izdavanje sertifikata

Za izdavanje korisničkih sertifikata korisnik mora da dokaže svoj identitet u prostorijama AEGIS CA (RCUB) ili da za njega garantuje ovlašćeni RA (Registration Authority). Za host sertifikate garantuje administrator host-a svojim user sertifikatom koji je prethodno pribavio.

Procedura za dobijanje sertifikata podrazumeva instaliran i konfigurisan gLite-UI. Konfiguracioni fajlovi za generisanje sertifikata nalaze se u

/etc/grid-security/globus-host-ssl.conf - za host sertifikate
i
/etc/grid-security/globus-user-ssl.conf - za user sertifikate

U ovim fajlovima potrebno je podesiti sledeću promenljivu:

organizationalUnitName_default       		= Naziv Institucije

Naziv institucije uzima se iz tabele na web stranici AEGIS CA. Ukoliko institucija nije navedena u tabeli, potrebno je kontaktirati AEGIS-CA.

Generisanje i slanje user sertifikata

Zahtev za user sertifikat se generiše na gLite-UI naredbom:

grid-cert-request

Naredbu treba pokrenuti kao korisnik za koga se sertifikat traži. Ukoliko je u /etc/passwd uneto ime i prezime korisnika grid-cert-request će pitati samo za passphrase. Ukoliko želite da generišete zahtev za sertifikat za neku drugu instituciju (različitu od navedene u /etc/grid-security/globus-user-ssl.conf) možete koristiti interaktivni mod:

grid-cert-request -int

Grid-cert-request generiše tri fajla u folderu /home/<user>/.globus/

usercert.pem
usercert_request.pem
userkey.pem

Fajl userkey.pem je privatni ključ. Njega nikome ne treba davati. Fajl usercert.pem je prazan fajl u koji treba upisati sertifikat koji potpiše CA. Fajl usercert_request.pem je fajl koji predstavlja javni ključ potpisan privatnim ključem. Njega dodatno potpisuje CA i od njega se pravi usercert.pem. Usercert_request.pem treba poslati CA ili RA.

Ukoliko se sertifikat traži prvi put usercert_request.pem se salje CA ili RA uz sledeće podatke: ime i prezime email adresa naziv institucije adresa institucije broj telefona

Ove podatke CA ili RA proveravaju i na osnovu njih se izdaje sertifikat. RA proverava identitet korisnika i podatke i usercert_request.pem prosleđuje CA u mailo koji potpisuje svojim sertifikatom.

Ukoliko se zahteva obnova sertifikata onda se mail šalje direktno CA nekoliko dana pre isteka starog sertifikata. Ovaj mail neophodno je digitalno potpisati. U oba slučaja tekst maila treba da glasi:

subject: User certificate request for <ime i prezime>

To AEGIS CA:

I am sending a user certificate request for
<ime i prezime> to be signed by the AEGIS CA.

My contacts are given below:

<ime i prezime>
Address: <naziv institucije>, <adresa institucije>, Serbia
E-mail: <email>
Phone: <broj telefona>

Generisanje i slanje host sertifikata

Za generisanje host sertifikata koristi se naredba:

grid-cert-request -host <FQDN> -dir <ime direktorijuma>

Ova naredba generisaće privatni ključ i zahtev za host sertifikat za traženi FQDN i smestiće ih u naznačeni folder. Slično kao i kod user sertifikata, biće generisana tri fajla:

hostcert.pem
hostcert_request.pem
hostkey.pem

Administrator host-a šalje hostcert_request.pem dirktno CA. Mail kojim se zahtev šalje treba poslati u mailu koji administrator digitalno potpisuje svojim usersertifikatom. Email treba da sadrži sledeće:

subject: 	Host certificate request for <FQDN>

As <ime grid sajta> site manager and the responsible person for all hosts at our site,
I am sending a host certificate request for <FQDN> (which is located at the <ime institucije>
in <ime grada>) to be signed by the AEGIS CA.

My contacts are given below:

<ime i prezime>
Address: <ime institucije>, <adresa institucije>, Serbia
E-mail: <email>
Phone: <broj telefona>

Prijem potpisanog sertifikata od CA

Prijem user sertifikata

Nakon potpisivanja CA šalje korisniku usercert.pem. Ovaj fajl korisnik treba da prekopira preko istoimenog praznog fajla koji se nalazi na userinterface-u u korisničkom .globus folderu. Nakon toga, potrebno je pokrenuti ssl komandu koja generiše sertifikat p12 tipa koji se može uvesti u email klijent i web browser:

openssl pkcs12 -export -in ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem -name "<ime sertifikata>" -out <ime fajla>.p12

Ime sertifikata i ime fajla mogu biti proizvoljno izabrani. Ime sertifikata služi za izbor sertifikata u slučaju da korisnik ima više različitih sertifikata. Sertifikat u p12 formatu treba ubaciti u web browser i email klijent koje korisnik koristi.

Za završetak procedure potrebno je poslati email CA kojim se potvrđuje prijem sertifikata. Ovaj mail korisnik šalje direktno CA i potpisuje ga svojim sertifikatom. Ovaj email treba da ima sledeću formu:

subject: re: Signed Host certificate

To whom it may concern,

With this email I state that

1. I, <ime i prezime>, accept my x509v3 digital certificate with
DN: /C=RS/O=AEGIS/OU=<ime institucije>/CN=<ime i prezime>
Serial Number: <serijski broj sertifikata>
signed by /C=RS/O=AEGIS/CN=AEGIS-CA

2. I adhere the AEGIS CA policy and usage rules found at:
http://aegis-ca.rcub.bg.ac.rs/documents/AEGIS-CP-CPS.pdf
(O.I.D.  1.3.6.1.4.1.23658.10.1.1.1)

DN i serijski broj sertifikata mogu se pronaci u hostcert.pem fajlu koji je CA potpisao. Serijski broj se stavlja u formatu: 104 (0x68) (decimalno i hexadecimalno).

Prijem host sertifikata

CA šalje administratoru potpisan hostcert.pem koji treba iskopirati preko istoimenog praznog fajla generisanog prilikom generisanja zahteva. Fajlovi hostcert.pem i hostkey.pem se smeštaju u folder /etc/grid-security na host mašini za koju se sertifikat tražio.

Administrator obaveštava CA o prijemu sertifikata mailom sledeće sadržine:

subject: Re: Signed host certificates - <FQDN>

To whom it may concern,

With this email I state that

1. I am the person responsible for the network entity
<FQDN>, and I accept the x509v3 digital certificate with
DN: /C=RS/O=AEGIS/OU=<ime institucije>/CN=<FQDN>
Serial Number: <serijski broj>
signed by /C=RS/O=AEGIS/CN=AEGIS-CA

2. I adhere the AEGIS CA policy and usage rules found at:
http://aegis-ca.rcub.bg.ac.rs/documents/AEGIS-CP-CPS.pdf
(O.I.D.  1.3.6.1.4.1.23658.10.1.1.1)

Serijski broj i DN mogu se naći u hostcert.pem fajlu koji je potpisao CA. Serijski broj se šalje u decimalnom i hexadecimalnom obliku (tipa: 158 (0x9e)). Ovaj email administrator potpisuje svojim sertifikatom.

Uvoženje sertifikata u web browser i email klijent

U web browser treba uvesti CA root sertifikat i sertifikat korisnika. Root sertifikat CA se može naći na web stranici AEGIS-CA. Većina web browsera podržava der format sertifikata. Na navedenoj stranici dostupni su još i pem i crt verzije. Dovoljno je uvesti jednu. Nakon toga uvozi se korisnički p12 sertifikat. Istu proceduru treba ponoviti i za email klijent. CA root sertifikat se izdaje na 10 godina te se on uvozi samo jednom. Procedura za uvoženje korisničkog sertifikata se ponavlja svake godine nakon izdavanja novog sertifikata.

Učlanjenje u AEGIS VO

Učlanjenje u AEGIS VO vrši se na adresi: https://voms.ipb.ac.rs:8443/voms/aegis/. Korisnici se u VOMS serveru prepoznaju po DN-u, koji se ne menja, tako da se u VO učlanjuje samo jednom, a ne svaki put kada se sertifikat obnavlja.

Personal tools