ИТЭФ, 26 Декабря 2005 www. eu-egee. org Получение персональных сертификатов. Новый российский СЦ в "Курчатовском Институте". Перерегистрация в ВО. Кириченко В. В. Valera. Kirichenko@itep. ru EGEE is a project funded by the European Union under contract INFSO-RI-508833
Получение сертификата и вход в систему ИТЭФ, 26 Декабря 2005 - 2
Персональный Сертификат За что отвечает в ГРИДе? ИТЭФ, 26 Декабря 2005 - 3
Последовательность действий для работы в среде LCG 2 • Войти в компьютер UI User Interface • • uiitep. ru sysadmin : lublev@itep. ru Получить персональный цифровой сертификат Загрузить персональный сертификат в браузер Зарегистрироваться в соответствующей виртуальной организации https: //lcg-registrar. cern. ch/cgi-bin/register/account. pl Получить временный proxy сертификат http: //rdig-registrar. sinp. msu. ru/reregistration. html ИТЭФ, 26 Декабря 2005 - 4
X. 509 • Каждый пользователь имеет 2 keys(сертификат): приватный и публичный: невозможно получить приватный ключ из публичного; сообщение закодированное одним ключом может быть раскодировано только другим. • Примеры: Маша Паша ciao 3$r ciao Маша Паша ciao 3$r cy 7 ciao Diffie-Helmann (1977) RSA (1978) keys Паши public private keys Маши public private ИТЭФ, 26 Декабря 2005 - 5
X. 509 “третья сторона” называется Certification Authority (CA). “Курчатовский Институт” - Россия • Выдает Digital Certificates сертификаты для пользователей(users) и компьютеров(host) • CAs Удостоверяют личность пользователя Registration Authorities (RAs) ИТЭФ - Люблев • CAs периодически публикуют список отозванных сертификатов ИТЭФ, 26 Декабря 2005 - 6
Последовательность действий для работы в среде LCG 2 (2) 2) Получить персональный цифровой сертификат: http: //ca. grid. kiae. ru/RDIG/certificates/obtain. html Для получения персонального цифрового сертификата необходимо в среде операционной системы с работающим openssl(ssh) запустить команду new_cert. sh и затем в возникшем при исполнении этой команды режиме диалога ввести требуемую информацию - задать свой пароль, который в дальнейшем будет необходим для работы в gridсреде. (не забывайте chmod +x newcert. sh) После выполнения этой команды All done. Your private key is stored in the file kirichen/. globus/userkey. 20051124 -165319. pem Now you should send the message, contained in the file kirichen/. globus/userreq. 20051124 -165319. mail to rdig-ca@grid. kiae. ru usercert. pem – публичный ключ пользователя userkey. pem - приватный ключ пользователя. Запрос на получение сертификата следует подписать в Российском центре авторизации (на данный момент – это “Курчатовский Институт”. По завершению процесса регистрации Вы получите свой цифровой сертификат, который следует сохранить в файле usercert. pem ИТЭФ, 26 Декабря 2005 -7
Запрос на Сертификат User generates public/private key pair. CA confirms identity, signs certificate and sends back to user. Cert Request Public Key Private Key encrypted on local disk Cert ID User send public key to CA along with proof of identity. ИТЭФ, 26 Декабря 2005 - 8
Последовательность действий для работы в среде LCG 2 (3) 3) Загрузить персональный сертификат в браузер http: //lcg. web. cern. ch/LCG/users/registration/load-cert. html Поскольку в браузерах используется другой формат представления сертификата, прежде всего необходимо конвертировать цифровой сертификат из формата pem в формат PKCS 12. Для этого в среде(UI) с работающим пакетом openssl следует выполнить команду вида: openssl pkcs 12 -export -inkey userkey. pem -in usercert. pem -out my_cert. p 12 –name "My certificate" где userkey. pem – путь к файлу, содержащему цифровой ключ (этот файл должен иметь разрешение на чтение только для владельца файла, т. е. только для Вас!); usercert. pem - путь к файлу, содержащему сертификат; my_cert. p 12 - путь к создаваемому файлу в формате PKCS 12 ; «My certificate» - необязательное имя (оно может в дальнейшем быть использовно при выборе сертификата в браузере, если в браузер загружено несколько сертификатов) ИТЭФ, 26 Декабря 2005 - 9
Регистрация в ВО (4) 4) Зарегистрироваться в соответствующей виртуальной организации https: //lcg-registrar. cern. ch/cgi-bin/register/account. pl virtual organization (VO) – виртуальная организация - объединение пользователей, организаций и ресурсов (компьютеров, ПО и данных) в новый административный домен в рамках grid-инфраструктуры На данный момент существует ряд виртуальных организаций, объединяющих пользователей как экспериментов LHC (т. е. ALICE, ATLAS, CMS, LHCb), так и других экспериментов физики высоких энергий (Ba. BAr, D 0, Zeus, H 1). Создана также тестовая виртуальная организация DTEAM (Grid (LCG) Deployment Group). Пользователь для вступления в соответствующую направлению его деятельности виртуальную организацию должен заполнить и отправить регистрационную форму, после чего получает письмо по электронной почте, подтверждающее факт получения регистрационной формы пользователя; затем, следуя указаниям в этом письме, подтверждает факт его получения; и, наконец, администратор виртуальной организации информирует собственно о факте регистрации в виртуальной организации. Теперь, став членом виртуальной организации, Вы можете войти на любую доступную Вам User Interface - машину - и начать работу в среде своей виртуальной организации!!! http: //rdig-registrar. sinp. msu. ru/reregistration. html ИТЭФ, 26 Декабря 2005 - 10
![пример 1 • пользователи из России VO=lhcb: [~]$ ldapsearch -x -H ldap: //grid-vo. nikhef.](https://present5.com/presentation/8895fb2957adce6e16de6620397ff7ff/image-11.jpg "пример 1 • пользователи из России VO=lhcb: [~]$ ldapsearch -x -H ldap: //grid-vo. nikhef.")
пример 1 • пользователи из России VO=lhcb: [~]$ ldapsearch -x -H ldap: //grid-vo. nikhef. nl -b ”ou=People, o=lhcb, dc=eu-datagrid, dc=org” description |grep ”. ru” description: subject= /C=RU/O=Data. Grid/OU=itep. ru/CN=Valeriy Kirichenko description: subject= /C=RU/O=Data. Grid/OU=itep. ru/CN=Mikhail Prokudin description: subject= /C=RU/O=Data. Grid/OU=itep. ru/CN=Alexei Morozov description: subject= /C=RU/O=Data. Grid/OU=pnpi. spb. ru/CN=Anatoly Oreshkin description: subject= /C=RU/O=Data. Grid/OU=pnpi. nw. ru/CN=Nikolay Voropaev description: subject= /C=RU/O=RDIG/OU=users/OU=pnpi. nw. ru/CN=Nelly Sagidova ИТЭФ, 26 Декабря 2005 - 11
![пример 2 • пользователи VO=photon из России: [~]$ ldapsearch -x -h lcg 64. sinp.](https://present5.com/presentation/8895fb2957adce6e16de6620397ff7ff/image-12.jpg "пример 2 • пользователи VO=photon из России: [~]$ ldapsearch -x -h lcg 64. sinp.")
пример 2 • пользователи VO=photon из России: [~]$ ldapsearch -x -h lcg 64. sinp. msu. ru -b “ou=lcg 1, o=photon, dc=lcg, dc=org” member dn: ou=lcg 1, o=PHOTON, dc=lcg, dc=org member: cn=Mikhail Matsyuk 5474, ou=People, o=PHOTON, dc=lcg, dc=org member: cn=Oleg Bulekov, ou=People, o=PHOTON, dc=lcg, dc=org member: cn=Valery Verebryusov, ou=People, o=PHOTON, dc=lcg, dc=org member: cn=Pavel Nazarov, ou=People, o=PHOTON, dc=lcg, dc=org member: cn=Marat Faizrakhmanov, ou=People, o=PHOTON, dc=lcg, dc=org member: cn=Sergey Eremin, ou=People, o=PHOTON, dc=lcg, dc=org member: cn=Vladimir Matveev 5175, ou=People, o=PHOTON, dc=lcg, dc=org member: cn=Ilya Larin 5438, ou=People, o=PHOTON, dc=lcg, dc=org member: cn=Grigorii Davidenko, ou=People, o=PHOTON, dc=lcg, dc=org ИТЭФ, 26 Декабря 2005 - 12
Последовательность действий для работы в среде LCG 2 (5) • временный(~1 сутки) proxy сертификат в компьютере UI команда grid-proxy-init или voms-proxy-init Enter GRID pass phrase for this identity: Creating proxy. . . . Done Your proxy is valid until: Nov 20 15: 49: 57 2004 • User Proxy in /tmp/x 509 up_u<uid> [~]$ ls -l /tmp/x 509* (Nov 19) -rw------- 1 aselivan lab 240 2613 Nov 18 16: 52 /tmp/x 509 up_u 24001 -rw------- 1 kirichen lhcb 3531 Nov 12 15: 58 /tmp/x 509 up_u 50001 ИТЭФ, 26 Декабря 2005 - 13
Перегистрация в ВО (6) Для перерегистрации пользовательского сертификата в виртуальной организации необходимо 1. Послать письмо с просьбой исключить вас из списков членов виртуальной организации и регистрационной базы данных по адресу • project-lcg-registrar@cern. ch, если вы состоите в виртуальной организации EGEE, поддерживаемой в CERN; • rdig-registrar@sinp. msu. ru, если вы состоите в виртуальной организации, поддерживаемой RDIG. В письме необходимо указать subject вашего старого сертификата, который можно получить командой (UI) openssl x 509 -in ~/. globus/usercert. pem -noout -subject ИТЭФ, 26 Декабря 2005 - 14
Перегистрация в ВО (6) 2. Вновь зарегистрироваться в виртуальной организации следуя обычной процедуре, но используя ваш новый сертификат • портал регистрации для общих EGEE/LCG виртуальных организаций — http: //lcg-registrar. cern. ch/, • портал для виртуальных организаций RDIG — http: //rdig-registrar. sinp. msu. ru/ ИТЭФ, 26 Декабря 2005 - 15
Скачать презентацию ИТЭФ 26 Декабря 2005 www eu-egee org Получение
8895fb2957adce6e16de6620397ff7ff.ppt