EGEE is a project funded by the European Union under contract INFSO-RI Кириченко В.В. ИТЭФ, 26 Декабря Получение персональных сертификатов. Новый российский СЦ в "Курчатовском Институте". Перерегистрация в ВО.
ИТЭФ, 26 Декабря Получение сертификата и вход в систему
ИТЭФ, 26 Декабря Персональный Сертификат За что отвечает в ГРИДе?
ИТЭФ, 26 Декабря Последовательность действий для работы в среде LCG2 Войти в компьютер UI User Interface uiitep.itep.ru sysadmin : Получить персональный цифровой сертификат Загрузить персональный сертификат в браузер Зарегистрироваться в соответствующей виртуальной организации Получить временный proxy сертификат
ИТЭФ, 26 Декабря X.509 Каждый пользователь имеет 2keys(сертификат): приватный и публичный: невозможно получить приватный ключ из публичного; сообщение закодированное одним ключом может быть раскодировано только другим. Примеры: Diffie-Helmann (1977) RSA (1978) keys Маши public private keys Паши publicprivate Паша Маша ciao3$rciao cy7ciao 3$r cy7 Паша Маша
ИТЭФ, 26 Декабря X.509 Certification Authority третья сторона называется Certification Authority (CA). Курчатовский Институт - Россия Digital Certificates Выдает Digital Certificates сертификаты для пользователей(users) и компьютеров(host) CAs Удостоверяют личность пользователя Registration Authorities (RAs) ИТЭФ - Люблев CAs периодически публикуют список отозванных сертификатов
ИТЭФ, 26 Декабря ) Получить персональный цифровой сертификат: Для получения персонального цифрового сертификата необходимо в среде операционной системы с работающим openssl(ssh) запустить команду new_cert.sh и затем в возникшем при исполнении этой команды режиме диалога ввести требуемую информацию - задать свой пароль, который в дальнейшем будет необходим для работы в grid- среде.(не забывайте chmod +x newcert.sh) После выполнения этой команды All done. Your private key is stored in the file kirichen/.globus/userkey pem Now you should send the message, contained in the file kirichen/.globus/userreq mail to usercert.pem – публичный ключ пользователя userkey.pem - приватный ключ пользователя. Запрос на получение сертификата следует подписать в Российском центре авторизации (на данный момент – это Курчатовский Институт. По завершению процесса регистрации Вы получите свой цифровой сертификат, который следует сохранить в файле usercert.pem Последовательность действий для работы в среде LCG2 (2)
ИТЭФ, 26 Декабря Запрос на Сертификат Private Key encrypted on local disk Cert Request Public Key ID Cert User generates public/private key pair. User send public key to CA along with proof of identity. CA confirms identity, signs certificate and sends back to user.
ИТЭФ, 26 Декабря ) Загрузить персональный сертификат в браузер Поскольку в браузерах используется другой формат представления сертификата, прежде всего необходимо конвертировать цифровой сертификат из формата pem в формат PKCS12. Для этого в среде(UI) с работающим пакетом openssl следует выполнить команду вида: openssl pkcs12 -export -inkey userkey.pem -in usercert.pem -out my_cert.p12 –name "My \ certificate" где userkey.pem – путь к файлу, содержащему цифровой ключ (этот файл должен иметь разрешение на чтение только для владельца файла, т.е. только для Вас!); usercert.pem - путь к файлу, содержащему сертификат; my_cert.p12- путь к создаваемому файлу в формате PKCS12 ; «My certificate» - необязательное имя (оно может в дальнейшем быть использовно при выборе сертификата в браузере, если в браузер загружено несколько сертификатов) Последовательность действий для работы в среде LCG2 (3)
ИТЭФ, 26 Декабря Регистрация в ВО (4) 4) Зарегистрироваться в соответствующей виртуальной организации virtual organization (VO) – виртуальная организация - объединение пользователей, организаций и ресурсов (компьютеров, ПО и данных) в новый административный домен в рамках grid- инфраструктуры На данный момент существует ряд виртуальных организаций, объединяющих пользователей как экспериментов LHC (т.е. ALICE, ATLAS, CMS, LHCb), так и других экспериментов физики высоких энергий (BaBAr, D0, Zeus, H1). Создана также тестовая виртуальная организация DTEAM (Grid (LCG) Deployment Group). Пользователь для вступления в соответствующую направлению его деятельности виртуальную организацию должен заполнить и отправить регистрационную форму, после чего получает письмо по электронной почте, подтверждающее факт получения регистрационной формы пользователя; затем, следуя указаниям в этом письме, подтверждает факт его получения; и, наконец, администратор виртуальной организации информирует собственно о факте регистрации в виртуальной организации. Теперь, став членом виртуальной организации, Вы можете войти на любую доступную Вам User Interface - машину - и начать работу в среде своей виртуальной организации!!!
ИТЭФ, 26 Декабря пример 1 пользователи из России VO=lhcb: [~]$ ldapsearch -x -H ldap://grid-vo.nikhef.nl -b ou=People,o=lhcb,dc=eu-datagrid,dc=org description |grep \.ru description: subject= /C=RU/O=DataGrid/OU=itep.ru/CN=Valeriy Kirichenko description: subject= /C=RU/O=DataGrid/OU=itep.ru/CN=Mikhail Prokudin description: subject= /C=RU/O=DataGrid/OU=itep.ru/CN=Alexei Morozov description: subject= /C=RU/O=DataGrid/OU=pnpi.spb.ru/CN=Anatoly Oreshkin description: subject= /C=RU/O=DataGrid/OU=pnpi.nw.ru/CN=Nikolay Voropaev description: subject= /C=RU/O=RDIG/OU=users/OU=pnpi.nw.ru/CN= Nelly Sagidova
ИТЭФ, 26 Декабря пример 2 пользователи VO=photon из России: [~]$ ldapsearch -x -h lcg64.sinp.msu.ru -b ou=lcg1,o=photon,dc=lcg,dc=org member dn: ou=lcg1,o=PHOTON,dc=lcg,dc=org member: cn=Mikhail Matsyuk 5474,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Oleg Bulekov,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Valery Verebryusov,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Pavel Nazarov,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Marat Faizrakhmanov,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Sergey Eremin,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Vladimir Matveev 5175,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Ilya Larin 5438,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Grigorii Davidenko,ou=People,o=PHOTON,dc=lcg,dc=org
ИТЭФ, 26 Декабря Последовательность действий для работы в среде LCG2 (5) временный(~1 сутки) proxy сертификат в компьютере UI команда grid-proxy-init или voms-proxy-init Enter GRID pass phrase for this identity: Creating proxy Done Your proxy is valid until: Nov 20 15:49: User Proxy in /tmp/x509up_u [~]$ ls -l /tmp/x509* ( Nov 19) -rw aselivan lab Nov 18 16:52 /tmp/x509up_u rw kirichen lhcb 3531 Nov 12 15:58 /tmp/x509up_u50001
ИТЭФ, 26 Декабря Перегистрация в ВО (6) Для перерегистрации пользовательского сертификата в виртуальной организации необходимо 1. Послать письмо с просьбой исключить вас из списков членов виртуальной организации и регистрационной базы данных по адресу если вы состоите в виртуальной организации EGEE, поддерживаемой в CERN; если вы состоите в виртуальной организации, поддерживаемой RDIG. В письме необходимо указать subject вашего старого сертификата, который можно получить командой (UI) openssl x509 -in ~/.globus/usercert.pem -noout -subject
ИТЭФ, 26 Декабря Вновь зарегистрироваться в виртуальной организации следуя обычной процедуре, но используя ваш новый сертификат портал регистрации для общих EGEE/LCG виртуальных организаций портал для виртуальных организаций RDIG Перегистрация в ВО (6)