wiki:CA

Version 1 (modified by antonio, 11 years ago) (diff)

--

Guía de uso de la CA del grupo

Se ha creado una CA para emitir certificados para el grupo. Se ha usado el programa simple CA que viene con globus. Todo lo que se ha hecho viene explicado detalladamente el el Administrator guide.

La CA se ha instalado en el equipo ce01.macc.unican.es y hay que ejecutar todos los comandos con el usuario globus.

Instalar certificado de la CA en los equipos

El fichero attachment:cacert.pem es la clave pública de la CA. El identificador de la CA es 0b69e7ba. En el ce01 en /etc/grid-security/certificates hay varios ficheros relativos a la CA que es probable que sea necesario copiar en los otros servicios del grid para que reconozcan los certificados emitidos por esa CA.

Generar certificados de host

Los pasos que hay que seguir son los siguientes:

  • Entrar en ce01 como root y hacer un su al usuario globus.
  • Generar el certificado del equipo para mandarselo a la CA para que lo firme. Para generar el certificado podemos hacerlo en el ce01 o en cualquier otro equipo que disponga de ssl. Si se desea generar el certificado en el propio equipo seguir las del punto siguiente.
  • Firmar el certificado por la CA.(El password es el mismo que el de pkirisgrid).
  • Copiar el certificado en el equipo para el que se haya generado y borrar de ce01 los certificados.
-bash-3.00$ su -l globus
-bash-3.00$ openssl req -new -nodes -keyout hostkey.pem -out host_request.pem -config MDM_CA_openssl.conf
-bash-3.00$ grid-ca-sign -in host_request.pem -out hostcert.pem
To sign the request
please enter the password for the CA key:
-bash-3.00$ scp host*.pem nat.macc.unican.es:
-bash-3.00$ rm -rf host*.pem

Cuidado: Cuando se genera un certificado de host tiene que acabar en macc.unican.es o no llevar nombre DNS. Si intentas generar un certificado para por ejemplo, sipc18.si.unican.es da un error muy raro que no ayuda a entender cual es el problema.

Generar certificados de usuario

Los pasos que hay que seguir son los siguientes:

  • Entrar en ce01 como root y hacer un su al usuario globus.
  • Generar el certificado del usuario para mandarselo a la CA para que lo firme.
  • Firmar el certificado por la CA (El password es el mismo que el de pkirisgrid).
  • Copiar el certificado en el equipo para el que se haya generado y borrar de ce01 los certificados.
-bash-3.00$ grid-cert-request -dir /tmp
Enter your name, e.g., John Smith: valvanuz-fernandez
A certificate request and private key is being created.
.......
-bash-3.00$ cd /tmp
-bash-3.00$ grid-ca-sign -in usercert_request.pem -out usercert.pem
To sign the request
please enter the password for the CA key:
The new signed certificate is at: /usuarios/globus/.globus/simpleCA//newcerts/03.pem
-bash-3.00$ scp user*.pem mon01.macc.unican.es:
  • Para cambiar el password del certificado de usuario:
    openssl rsa -in userkey.pem -des3 -out userkey.pem.new
    

Attachments (1)

Download all attachments as: .zip