Кириченко В.В. Valera.Kirichenko@itep.ru

1. ИТЭФ, 26 Декабря 2005 www.eu-egee.org Кириченко В.В.Valera.Kirichenko@itep.ru Получение персональных сертификатов. Новый российский СЦ в "Курчатовском Институте". Перерегистрация в ВО. EGEE is a project funded by the European Union under contract INFSO-RI-508833

2. Получение сертификата и вход в систему

3. Персональный Сертификат За что отвечает в ГРИДе?

4. Последовательность действий для работы в среде LCG2 • Войти в компьютер UI User Interface uiitep.itep.ru sysadmin : lublev@itep.ru • Получить персональный цифровой сертификат • Загрузить персональный сертификат в браузер • Зарегистрироваться в соответствующей виртуальной организации https://lcg-registrar.cern.ch/cgi-bin/register/account.pl • Получить временный proxy сертификат http://rdig-registrar.sinp.msu.ru/reregistration.html

5. public X.509 • Каждый пользователь имеет 2keys(сертификат): приватный и публичный: • невозможно получить приватный ключ из публичного; • сообщение закодированное одним ключом может быть раскодировано только другим. • Примеры: • Diffie-Helmann (1977) • RSA (1978) Маша Паша ciao 3$r 3$r ciao Маша Паша ciao cy7 cy7 ciao keys Паши keys Маши public private private

6. X.509 “третья сторона” называется Certification Authority (CA). “Курчатовский Институт” - Россия • Выдает Digital Certificates сертификаты для пользователей(users) и компьютеров(host) • CAs Удостоверяют личность пользователя • Registration Authorities (RAs) ИТЭФ - Люблев • CAs периодически публикуют список отозванных сертификатов

7. Последовательность действий для работы в среде LCG2 (2) 2) Получить персональный цифровой сертификат: Для получения персонального цифрового сертификата необходимо в среде операционной системы с работающим openssl(ssh)запустить команду new_cert.sh и затем в возникшем при исполнении этой команды режиме диалога ввести требуемую информацию - задать свой пароль, который в дальнейшем будет необходим для работы в grid-среде.(не забывайте chmod +x newcert.sh) После выполнения этой команды All done. Your private key is stored in the file kirichen/.globus/userkey.20051124-165319.pem Now you should send the message, contained in the file kirichen/.globus/userreq.20051124-165319.mail to rdig-ca@grid.kiae.ru usercert.pem – публичный ключ пользователя userkey.pem - приватный ключ пользователя. Запрос на получение сертификата следует подписать в Российском центре авторизации (на данный момент – это “Курчатовский Институт” . По завершению процесса регистрации Вы получите свой цифровой сертификат, который следует сохранить в файле usercert.pem http://ca.grid.kiae.ru/RDIG/certificates/obtain.html

8. CertRequest Public Key ID Запрос на Сертификат User generatespublic/privatekey pair. CA confirms identity, signs certificate and sends back to user. Cert Private Key encrypted on local disk User send public key to CA along with proof of identity.

9. Последовательность действий для работы в среде LCG2 (3) • 3) Загрузить персональный сертификат в браузер • Поскольку в браузерах используется другой формат представления сертификата, прежде всего необходимо конвертировать цифровой сертификат из формата pem в формат PKCS12. Для этого в среде(UI) с работающим пакетом openssl следует выполнить команду вида: • openssl pkcs12 -export -inkey userkey.pem -in usercert.pem -out my_cert.p12 –name "My \ certificate" • где • userkey.pem – путь к файлу, содержащему цифровой ключ (этот файл должен иметь разрешение на чтение только для владельца файла, т.е. только для Вас!); usercert.pem - путь к файлу, содержащему сертификат; my_cert.p12- путь к создаваемому файлу в формате PKCS12 ; «My certificate» - необязательное имя (оно может в дальнейшем быть использовно при выборе сертификата в браузере, если в браузер загружено несколько сертификатов) http://lcg.web.cern.ch/LCG/users/registration/load-cert.html

10. Регистрация в ВО (4) 4)Зарегистрироваться в соответствующей виртуальной организации https://lcg-registrar.cern.ch/cgi-bin/register/account.pl virtual organization (VO)– виртуальная организация - объединение пользователей, организаций и ресурсов (компьютеров, ПО и данных) в новый административный домен в рамках grid-инфраструктуры На данный момент существует ряд виртуальных организаций, объединяющих пользователей как экспериментов LHC (т.е. ALICE, ATLAS, CMS, LHCb), так и других экспериментов физики высоких энергий (BaBAr, D0, Zeus, H1). Создана также тестовая виртуальная организация DTEAM (Grid (LCG) Deployment Group). Пользователь для вступления в соответствующую направлению его деятельности виртуальную организацию должен заполнить и отправить регистрационную форму, после чего получает письмо по электронной почте, подтверждающее факт получения регистрационной формы пользователя; затем, следуя указаниям в этом письме, подтверждает факт его получения; и, наконец, администратор виртуальной организации информирует собственно о факте регистрации в виртуальной организации. Теперь, став членом виртуальной организации, Вы можете войти на любую доступную Вам User Interface - машину - и начать работу в среде своей виртуальной организации!!! http://rdig-registrar.sinp.msu.ru/reregistration.html

11. пример 1 • пользователи из России VO=lhcb: [~]$ ldapsearch -x -H ldap://grid-vo.nikhef.nl -b ”ou=People,o=lhcb,dc=eu-datagrid,dc=org” description |grep ”\.ru” description: subject= /C=RU/O=DataGrid/OU=itep.ru/CN=Valeriy Kirichenko description: subject= /C=RU/O=DataGrid/OU=itep.ru/CN=Mikhail Prokudin description: subject= /C=RU/O=DataGrid/OU=itep.ru/CN=Alexei Morozov description: subject= /C=RU/O=DataGrid/OU=pnpi.spb.ru/CN=Anatoly Oreshkin description: subject= /C=RU/O=DataGrid/OU=pnpi.nw.ru/CN=Nikolay Voropaev description: subject= /C=RU/O=RDIG/OU=users/OU=pnpi.nw.ru/CN=Nelly Sagidova

12. пример 2 • пользователи VO=photon из России: [~]$ ldapsearch -x -h lcg64.sinp.msu.ru -b “ou=lcg1,o=photon,dc=lcg,dc=org” member dn: ou=lcg1,o=PHOTON,dc=lcg,dc=org member: cn=Mikhail Matsyuk 5474,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Oleg Bulekov,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Valery Verebryusov,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Pavel Nazarov,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Marat Faizrakhmanov,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Sergey Eremin,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Vladimir Matveev 5175,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Ilya Larin 5438,ou=People,o=PHOTON,dc=lcg,dc=org member: cn=Grigorii Davidenko,ou=People,o=PHOTON,dc=lcg,dc=org

13. Последовательность действий для работы в среде LCG2 (5) • временный(~1 сутки) proxy сертификат в компьютере UI команда grid-proxy-init или voms-proxy-init Enter GRID pass phrase for this identity: Creating proxy .................................. Done Your proxy is valid until: Nov 20 15:49:57 2004 • User Proxy in /tmp/x509up_u<uid> [~]$ ls -l /tmp/x509* (Nov 19) -rw------- 1 aselivan lab240 2613 Nov 18 16:52 /tmp/x509up_u24001 -rw------- 1 kirichen lhcb 3531 Nov 12 15:58/tmp/x509up_u50001

14. Перегистрация в ВО (6) Для перерегистрации пользовательского сертификата в виртуальной организации необходимо 1. Послать письмо с просьбой исключить вас из списков членов виртуальной организации и регистрационной базы данных по адресу • project-lcg-registrar@cern.ch, если вы состоите в виртуальной организации EGEE, поддерживаемой в CERN; • rdig-registrar@sinp.msu.ru, если вы состоите в виртуальной организации, поддерживаемой RDIG. В письме необходимо указать subject вашего старого сертификата, который можно получить командой (UI) openssl x509 -in ~/.globus/usercert.pem -noout -subject

15. Перегистрация в ВО (6) 2. Вновь зарегистрироваться в виртуальной организации следуя обычной процедуре, но используя ваш новый сертификат • портал регистрации для общих EGEE/LCG виртуальных организаций — http://lcg-registrar.cern.ch/, • портал для виртуальных организаций RDIG — http://rdig-registrar.sinp.msu.ru/