Startseite der Technischen Universität Dresden

Persönliche Werkzeuge
Startseite » ... » Datennetz-Dienste » PKI » Grid Zertifizierung
Sektionen
 

Grid Zertifizierung

Allgemeines


Für die Teilnahme an nationalen und internationalen Grid-Projekten benötigen Ressourcen und Nutzer EUGridPMA-komforme Zertifikate. Grid Zertifikate können nur von einer bei der EUGridPMA akkreditierten Certification Authority (CA) ausgestellt werden. EUGridPMA steht für European Policy Management Authority for Grid Authentication in e-Science (EuroGridPMA).

Die CA „DFN-Verein PCA Grid“ stellt EUGridPMA-komforme Zertifikate für Server und Nutzer von Grid-Projekten aus.

Um ein elektronisches Zertifikat zu erhalten, muss sich ein Nutzer durch persönliches Erscheinen und durch ein Ausweisdokument eindeutig identifizieren. Um dieses unpraktische Verfahren zu vereinfachen, wurden sogennante Registration Authorities (RA) ins Leben gerufen. Sie sind von einer CA anerkannt und übernehmen für sie die Überprüfung der Identität. Zertifikatsanträge werden von ihnen elektronisch signiert und zur Ausstellung an die CA weitergeleitet.

Das ZIH der Technischen Universität Dresden nimmt seit 1.3.2008 an der CA "DFN PCA Grid" teil und betreibt eine Grid Registrierungsstelle (Grid RA) für die Beantragung der Zertifikate. Mittels der Grid RA können Nutzerzertifikate und Serverzertifikate (für Ressourcen) beantragt werden.

Die Beantragung eines Zertifikates besteht aus den folgenden Schritten:

  1. Erzeugung eines Zertifikatsantrages
  2. Schicken des Antrages an die Grid RA
  3. Persönliche Vorstellung bei der Grid RA
  4. Erhalt des Zertifikates

Folgende Werte müssen im Zertifikatsantrag enthalten sein:

Attribut Werte für Nutzerzertifikate Werte für Serverzertifikate
C DE DE
O GridGermany GridGermany
OU Technische Universitaet Dresden Technische Universitaet Dresden
CN Vorname Nachname Name des Servers, wie er auch im DNS eingetragen ist.


Nutzerzertifikate

Nutzerzertifikate können über die Webseite der TU Dresden Grid RA beantragt werden. Sie haben folgende Möglichkeiten, ein Nutzerzertifikat zu beantragen:

1. Erzeugung über die Weboberfläche der TU Dresden Grid RA

 Das Nutzerzertifikat kann direkt über die Weboberfläche erzeugt werden. Bitte beachten Sie, wenn Sie das Zertifikat über die Weboberfläche erzeugen, wird das Schlüsselpaar im Browser hinterlegt. Gehen Sie auf die Webseite der TU Dresden Grid RA (unter Beantragen eines Zertifikats -> Zertifikatantrag für Nutzer) und füllen Sie die notwendigen Daten aus. Sie erhalten dann nach Bestätigung eine HTML-Seite als Formular mit den erforderlichen Daten. Das Formular ist Ihr Zertifikatsantrag, das Sie bitte ausdrucken.

2. OpenSSL
Mit dem Befehl

openssl req -new -newkey rsa:2048 -sha1 -out usercert_request.pem

erzeugen Sie das Paar aus privaten (privkey.pem) und öffentlichen Schlüssel (Zertifikatsantrag certreq.pem).
In einem interaktiven Dialog werden Sie nach den verschiedenen Daten Ihres Zertifikats gefragt:

  • Passwort, dass Ihr Zertifikat schützt (mind. 8 Zeichen; Mischung aus Buchstaben, Sonderzeichen und Zahlen)
  • Country Name: DE
    Organization: GridGermany
    Organizational Unit: Ihre Einrichtung (für die TU Dresden: Technische Universitaet Dresden)
    Name (e.g., John M. Smith): Ihr voller Name (ohne Umlaute/Sonderzeichen!)


Hier ein Beispiel:

Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GridGermany
Organizational Unit Name (eg, section) []:Technische Universitaet Dresden
Common Name (eg, YOUR name) []:Johann Sebastian Bach
Email Address []: jbach@tu-dresden.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


Sie können Ihre Daten im Zertifikat-Request mit

 openssl req -in usercert_request.pem -text

kontrollieren.

Laden Sie Ihren Zertifikatsantrag (usercert_request.pem) über die Webseite der TU Dresden Grid RA hoch (unter Beantragen eines Zertifikats -> Zertifikatantrag direkt übergeben) und füllen Sie alle Angaben aus. Sie erhalten dann nach Bestätigung eine HTML-Seite mit den erforderlichen Daten. Das Formular ist Ihr Zertifikatsantrag, das Sie bitte ausdrucken.

3. Globus
Globus stellt ein etwas benutzerfreundlicheres Werkzeug zur Verfügung. Der Aufruf heisst:

grid-cert-request -int

In einem interaktiven Dialog werden Sie nach den verschiedenen Daten Ihres Zertifikats gefragt:

  • Passwort, dass Ihr Zertifikat schützt (mind. 8 Zeichen; Mischung aus Buchstaben, Sonderzeichen und Zahlen)
    Dieses Passwort benötigen Sie immer beim "Einloggen" ins Grid.
  • Country Name: DE
    Organization: GridGermay
    Organizational Unit: Ihre Einrichtung (für die TU Dresden: Technische Universitaet Dresden)
    Name (e.g., John M. Smith): Ihr voller Name (ohne Umlaute/Sonderzeichen!)

Bei manchen Installationen werden Ihnen die richtigen Werte schon als Voreinstellung vorgegeben.
Im Verzeichnis .globus Ihres Home-Verzeichnisses finden Sie nun drei Dateien:

  1. Ihren persönlicher Schlüssel userkey.pem
  2. Ihren Zertifikatsantrag usercert_request.pem
  3. und Ihre leere Zertifikatsdatei usercert.pem, in die Sie Ihr vollständiges Zertifikat nach Erhalt hineinkopieren, um es mit globus nutzen zu können.

Laden Sie Ihren Zertifikatsantrag (usercert_request.pem) über die Webseite der TU Dresden Grid RA hoch (unter Beantragen eines Zertifikats -> Zertifikatantrag direkt übergeben) und füllen Sie alle Angaben aus. Sie erhalten dann nach Bestätigung eine HTML-Seite als Formular mit den erforderlichen Daten. Das Formular ist Ihr Zertifikatsantrag, das Sie bitte ausdrucken.

Serverzertifikate


Serverzertifikate können über die Webseite der TU Dresden Grid RA beantragt werden. Sie haben folgende Möglichkeiten, ein Serverzertifikat zu beantragen:

1. OpenSSL
Generieren Sie den privaten Schlüssel (ohne Passwort) mit

openssl genrsa -out hostkey.pem 2048

und dann die Zertifikatsanfoderung mit

openssl req -new -newkey rsa:2048 -sha1 -key hostkey.pem -out servercert_request.pem

Als Name geben Sie den vollen Servernamen an (z.B. maschine.tu-dresden.de)

Hier ein Beispiel:

Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:. 
Locality Name (eg, city) []:.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GridGermany
Organizational Unit Name (eg, section) []:Technische Universitaet Dresden
Common Name (eg, YOUR name) []:mymachine.zih.tu-dresden.de
Email Address []:.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Sie können Ihre Daten im Zertifikat-Request mit

 openssl req -in servercert_request.pem -text

kontrollieren.

Laden Sie Ihren Zertifikatsantrag (servercert_request.pem) über die Webseite der TU Dresden Grid RA  hoch und
füllen Sie die notwendigen Angaben aus. Sie erhalten dann nach Bestätigung eine HTML-Seite als Formular mit den erforderlichen Daten. Das Formular ist Ihr Zertifikatsantrag, das Sie bitte ausdrucken.

2. Globus
Der aufzurufende Befehl lautet

grid-cert-request -int -dir . -host server.tu-dresden.de

Als Namen geben Sie den vollen Servernamen an (z.B. server.tu-dresden.de)
In Ihrem Verzeichnis werden die drei Dateien hostcert.pem, hostkey.pem und hostcert_request.pem angelegt, wobei letzteres der an die RA zu verschickende Zertifikatsantrag ist.

Laden Sie Ihren Zertifikatsantrag (hostcert_request.pem) über die Webseite der TU Dresden Grid RA  hoch und füllen Sie die notwendigen Angaben aus. Sie erhalten dann nach Bestätigung eine HTML-Seite als Formular mit den erforderlichen Daten. Das Formular ist Ihr Zertifikatsantrag, das Sie bitte ausdrucken.

Persönliche Vorstellung bei der Grid RA (ZIH)

Mit einer Kopie Ihres Personalausweises/Reisepasses und dem ausgefüllten Zertifikatsantrag erscheinen Sie bitte persönlich bei:

Jens Syckor
Stabsstelle Informationssicherheit
TU Dresden,  01062 Dresden
Büro     :  Tillich-Bau Raum 14
Telefon :  0351 - 463 32988
E-Mail:     grid-ra@tu-dresden.de 

Erhalt des Zertifikates

Die Grid RA signiert das von Ihnen eingesandte Zertifikat und schickt es zur finalen Signierung an die CA weiter. Diese wird Ihnen dann das fertige Zertifikat zuschicken, das Sie nun im Grid zur Authentifizierung verwenden können.

Weitere Informationen

Detailierte Informationen zur Zertifizierung oder zum weiteren Umgang mit den Zertifikaten finden Sie bei der DFN PKI. Dort finden Sie die CA Policies und die entsprechenden CRLs.

Stand: 28.01.2013 09:54
Autor: Jens Syckor



Kontakt

Hausadresse:
Willers-Bau, A-Flügel
Zellescher Weg 12-14

Service Desk:
Ort: Nöthnitzer Str. 46, E036
Tel.: +49 351 463-31666
Fax: +49 351 463-42328
Ansage für Störungen:
  +49 351 463-31888
email iconservicedesk@tu-dresden.de
 
Sekretariat:
Raum: Willers-Bau A 207
Tel.: +49 351 463-35450
Fax: +49 351 463-37773
email iconzih@tu-dresden.de


Post:
Technische Universität Dresden
Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH)
01062 Dresden

Pakete:
Technische Universität Dresden
Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH)
Helmholtzstr. 10
01069 Dresden