AEGIS RA Procedura za dobijanje digitalnih sertifikata

From MediaWiki

Revision as of 15:19, 8 April 2009 by Acko (Talk | contribs)
Jump to: navigation, search

Digitalne sertifikate za korisnike (users) i mašine (hosts) za potrebe GRID-a u akademskoj zajednici Srbije izdaje AEGIS CA. Sertifikati koji se izdaju su X509 digitalni sertifikati. Za generisanje sertifikata neophodan je instaliran gLite-UI. Ukoliko se radi o korisničkom sertifikatu neophodno je da korisnik ima mail adresu na serveru institucije. Za host sertifikate neophodno je da računar za koji se traži sertifikat ima podešen DNS i FQDN na domenu institucije.

Za izdavanje korisničkih sertifikata korisnik mora da dokaže svoj identitet u prostorijama AEGIS CA (RCUB) ili da za njega garantuje ovlašćeni RA (Registration Authority). Za host sertifikate garantuje administrator host-a svojim user sertifikatom koji je prethodno pribavio.

Procedura za dobijanje sertifikata podrazumeva instaliran i konfigurisan gLite-UI. Konfiguracioni fajlovi za generisanje sertifikata nalaze se u

/etc/grid-security/globus-host-ssl.conf - za host sertifikate
i
/etc/grid-security/globus-user-ssl.conf - za user sertifikate

U ovim fajlovima potrebno je podesiti sledeću promenljivu:

organizationalUnitName_default       		= Naziv Institucije

Naziv institucije uzima se iz tabele na web stranici AEGIS CA. Ukoliko institucija nije navedena u tabeli, potrebno je kontaktirati AEGIS-CA.

Zahtev za user sertifikat se generiše na gLite-UI naredbom:

grid-cert-request

Naredbu treba pokrenuti kao korisnik za koga se sertifikat traži. Ukoliko je u /etc/passwd uneto ime i prezime korisnika grid-cert-request će pitati samo za passphrase. Ukoliko želite da generišete zahtev za sertifikat za neku drugu instituciju (različitu od navedene u /etc/grid-security/globus-user-ssl.conf) možete koristiti interaktivni mod:

grid-cert-request -int

Grid-cert-request generiše tri fajla u folderu /home/<user>/.globus/

usercert.pem
usercert_request.pem
userkey.pem

Fajl userkey.pem je privatni ključ. Njega nikome ne treba davati. Fajl usercert.pem je prazan fajl u koji treba upisati sertifikat koji potpiše CA. Fajl usercert_request.pem je fajl koji predstavlja javni ključ potpisan privatnim ključem. Njega dodatno potpisuje CA i od njega se pravi usercert.pem. Usercert_request.pem treba poslati CA ili RA.

Ukoliko se sertifikat traži prvi put usercert_request.pem se salje CA ili RA uz sledeće podatke: ime i prezime email adresa naziv institucije adresa institucije broj telefona

Ove podatke CA ili RA proveravaju i na osnovu njih se izdaje sertifikat.

Ukoliko se zahteva obnova sertifikata onda se mail šalje direktno CA nekoliko dana pre isteka starog sertifikata. Ovaj mail neophodno je digitalno potpisati. U oba slučaja tekst maila treba da glasi:

subject: User certificate request for <ime i prezime>

To AEGIS CA:

I am sending a user certificate request for
<ime i prezime> to be signed by the AEGIS CA.

My contacts are given below:

<ime i prezime>
Address: <naziv institucije>, <adresa institucije>, Serbia
E-mail: <email>
Phone: <broj telefona>

Za generisanje host sertifikata koristi se naredba:

Personal tools