Allgemeines
Für die Teilnahme an nationalen und internationalen
Grid-Projekten benötigen Ressourcen und Nutzer
EUGridPMA-komforme Zertifikate. Grid Zertifikate können nur von
einer bei der EUGridPMA akkreditierten Certification
Authority (CA) ausgestellt werden. EUGridPMA steht für
European Policy Management Authority for Grid Authentication in
e-Science (EuroGridPMA).
Die CA „DFN-Verein PCA Grid“ stellt EUGridPMA-komforme
Zertifikate für Server und Nutzer von Grid-Projekten aus.
Um ein elektronisches Zertifikat zu erhalten, muss sich ein
Nutzer durch persönliches Erscheinen und durch ein
Ausweisdokument eindeutig identifizieren. Um dieses
unpraktische Verfahren zu vereinfachen, wurden sogennante
Registration Authorities (RA) ins Leben gerufen. Sie
sind von einer CA anerkannt und übernehmen für sie die
Überprüfung der Identität. Zertifikatsanträge werden von ihnen
elektronisch signiert und zur Ausstellung an die CA
weitergeleitet.
Das ZIH der Technischen Universität Dresden nimmt seit 1.3.2008
an der CA "DFN PCA Grid" teil und betreibt eine Grid
Registrierungsstelle (Grid RA) für die Beantragung der
Zertifikate. Mittels der Grid RA können Nutzerzertifikate und
Serverzertifikate (für Ressourcen) beantragt werden.
Die Beantragung eines Zertifikates besteht aus den folgenden
Schritten:
- Erzeugung eines Zertifikatsantrages
- Schicken des Antrages an die Grid RA
- Persönliche Vorstellung bei der Grid RA
- Erhalt des Zertifikates
Folgende Werte müssen im Zertifikatsantrag enthalten
sein:
| Attribut |
Werte für Nutzerzertifikate |
Werte für Serverzertifikate |
| C |
DE |
DE
|
| O |
GridGermany |
GridGermany |
| OU |
Technische Universitaet
Dresden |
Technische Universitaet
Dresden
|
| CN |
Vorname Nachname |
Name des Servers, wie er
auch im DNS eingetragen ist.
|
Nutzerzertifikate
Nutzerzertifikate können über die Webseite der TU Dresden Grid RA
beantragt werden. Sie haben folgende Möglichkeiten, ein
Nutzerzertifikat zu beantragen:
1. Erzeugung über die Weboberfläche der TU
Dresden Grid RA
Das Nutzerzertifikat kann direkt über die
Weboberfläche erzeugt werden. Bitte beachten Sie, wenn Sie das
Zertifikat über die Weboberfläche erzeugen, wird das
Schlüsselpaar im Browser hinterlegt. Gehen Sie auf die Webseite der TU Dresden Grid RA (unter
Beantragen eines Zertifikats -> Zertifikatantrag für
Nutzer) und füllen Sie die notwendigen Daten aus. Sie
erhalten dann nach Bestätigung eine HTML-Seite als Formular
mit den erforderlichen Daten. Das Formular ist Ihr
Zertifikatsantrag, das Sie bitte ausdrucken.
2. OpenSSL
Mit dem Befehl
openssl req -new -newkey rsa:2048 -sha1 -out usercert_request.pem
erzeugen Sie das Paar aus privaten (privkey.pem) und
öffentlichen Schlüssel (Zertifikatsantrag
certreq.pem).
In einem interaktiven Dialog werden Sie nach den verschiedenen
Daten Ihres Zertifikats gefragt:
- Passwort, dass Ihr Zertifikat schützt (mind. 8 Zeichen;
Mischung aus Buchstaben, Sonderzeichen und Zahlen)
- Country Name: DE
Organization: GridGermany
Organizational Unit: Ihre Einrichtung (für die TU
Dresden: Technische Universitaet Dresden)
Name (e.g., John M. Smith): Ihr voller Name (ohne
Umlaute/Sonderzeichen!)
Hier ein Beispiel:
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GridGermany
Organizational Unit Name (eg, section) []:Technische Universitaet Dresden
Common Name (eg, YOUR name) []:Johann Sebastian Bach
Email Address []: jbach@tu-dresden.de
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Sie können Ihre Daten im Zertifikat-Request mit
openssl req -in usercert_request.pem -text
kontrollieren.
Laden Sie Ihren Zertifikatsantrag (usercert_request.pem) über
die Webseite der TU Dresden Grid RA hoch
(unter Beantragen eines Zertifikats ->
Zertifikatantrag direkt übergeben) und füllen Sie
alle Angaben aus. Sie erhalten dann nach Bestätigung eine
HTML-Seite mit den erforderlichen Daten. Das Formular ist
Ihr Zertifikatsantrag, das Sie bitte ausdrucken.
3. Globus
Globus stellt ein etwas benutzerfreundlicheres Werkzeug zur
Verfügung. Der Aufruf heisst:
grid-cert-request -int
In einem interaktiven Dialog werden Sie nach den
verschiedenen Daten Ihres Zertifikats gefragt:
- Passwort, dass Ihr Zertifikat schützt (mind. 8 Zeichen;
Mischung aus Buchstaben, Sonderzeichen und Zahlen)
Dieses Passwort benötigen Sie immer beim "Einloggen" ins
Grid.
- Country Name: DE
Organization: GridGermay
Organizational Unit: Ihre Einrichtung (für die TU
Dresden: Technische Universitaet Dresden)
Name (e.g., John M. Smith): Ihr voller Name (ohne
Umlaute/Sonderzeichen!)
Bei manchen Installationen werden Ihnen die richtigen Werte
schon als Voreinstellung vorgegeben.
Im Verzeichnis .globus Ihres Home-Verzeichnisses finden
Sie nun drei Dateien:
- Ihren persönlicher Schlüssel userkey.pem
- Ihren Zertifikatsantrag
usercert_request.pem
- und Ihre leere Zertifikatsdatei usercert.pem, in
die Sie Ihr vollständiges Zertifikat nach Erhalt
hineinkopieren, um es mit globus nutzen zu können.
Laden Sie Ihren Zertifikatsantrag (usercert_request.pem)
über die Webseite der TU Dresden Grid RA hoch
(unter Beantragen eines Zertifikats ->
Zertifikatantrag direkt übergeben) und füllen Sie alle
Angaben aus. Sie erhalten dann nach Bestätigung eine
HTML-Seite als Formular mit den erforderlichen Daten. Das
Formular ist Ihr Zertifikatsantrag, das Sie bitte
ausdrucken.
Serverzertifikate
Serverzertifikate können über die Webseite der TU Dresden Grid RA
beantragt werden. Sie haben folgende Möglichkeiten, ein
Serverzertifikat zu beantragen:
1. OpenSSL
Generieren Sie den privaten Schlüssel (ohne Passwort)
mit
openssl genrsa -out hostkey.pem 2048
und dann die Zertifikatsanfoderung mit
openssl req -new -newkey rsa:2048 -sha1 -key hostkey.pem -out servercert_request.pem
Als Name geben Sie den vollen Servernamen an (z.B.
maschine.tu-dresden.de)
Hier ein Beispiel:
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GridGermany
Organizational Unit Name (eg, section) []:Technische Universitaet Dresden
Common Name (eg, YOUR name) []:mymachine.zih.tu-dresden.de
Email Address []:.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Sie können Ihre Daten im Zertifikat-Request mit
openssl req -in servercert_request.pem -text
kontrollieren.
Laden Sie Ihren Zertifikatsantrag (servercert_request.pem) über
die Webseite der TU Dresden Grid RA
hoch und
füllen Sie die notwendigen Angaben aus. Sie erhalten dann nach
Bestätigung eine HTML-Seite als Formular mit den erforderlichen
Daten. Das Formular ist Ihr Zertifikatsantrag, das Sie bitte
ausdrucken.
2. Globus
Der aufzurufende Befehl lautet
grid-cert-request -int -dir . -host server.tu-dresden.de
Als Namen geben Sie den vollen Servernamen an (z.B.
server.tu-dresden.de)
In Ihrem Verzeichnis werden die drei Dateien hostcert.pem,
hostkey.pem und hostcert_request.pem angelegt, wobei letzteres
der an die RA zu verschickende Zertifikatsantrag ist.
Laden Sie Ihren Zertifikatsantrag (hostcert_request.pem) über
die Webseite der TU Dresden Grid RA
hoch und füllen Sie die notwendigen Angaben aus. Sie
erhalten dann nach Bestätigung eine HTML-Seite als Formular
mit den erforderlichen Daten. Das Formular ist Ihr
Zertifikatsantrag, das Sie bitte ausdrucken.
Persönliche Vorstellung bei der Grid RA (ZIH)
Mit einer Kopie Ihres Personalausweises/Reisepasses und dem
ausgefüllten Zertifikatsantrag erscheinen Sie bitte persönlich
bei:
Jens Syckor
Stabsstelle Informationssicherheit
TU Dresden, 01062 Dresden
Büro : Tillich-Bau Raum 14
Telefon : 0351 - 463 32988
E-Mail: grid-ra@tu-dresden.de
Erhalt des Zertifikates
Die Grid RA signiert das von Ihnen eingesandte Zertifikat
und schickt es zur finalen Signierung an die CA weiter. Diese
wird Ihnen dann das fertige Zertifikat zuschicken, das Sie nun
im Grid zur Authentifizierung verwenden können.
Weitere Informationen
Detailierte Informationen zur Zertifizierung oder zum
weiteren Umgang mit den Zertifikaten finden Sie bei der
DFN PKI. Dort finden Sie die CA Policies und
die entsprechenden CRLs.