wiki:GridCertificate

¿Cómo configurar un certificado grid ?

Exportar el certificado con formato P12

Lo primero que se debe hacer es acceder al gestor de certificados:

  • Firefox
    • Ir a Preferences (Menú Edit en !Linux/!Windows, Menú Firefox en MAC OS)
    • Bajo "Advanced" ir a "Certificates"
    • Seleccionar "Manage Certificates...
  • Internet Explorer
    • Ir a Tools - Internet Options - Content - Certificates - Personal (Card)
    • Seleccionar el certificado de IRISGrid
    • Seleccionar export
    • Seleccionar la opción: include private key
    • Selecciona: use stronger security
    • Deseleccionar la opción: delete private key after export
    • Introducir una clave para proteger las credendciales exportadas
    • Elegir un nombre para el fichero, por ejemplo irisgrid-cert-backup

Una vez que se ha abierto el administrador de certificados (Certificate Manager):

  • Elija su certificado y pulse sobre "Backup"
  • Introduzca un nombre para el fichero, por ejemplo cert-backup.p12
  • Introduzca la clave para acceder al servicio de seguridad de su navegador (el sitio donde su navegador guarda internamente las claves)
  • Introduzca una clave para proteger el fichero de backup

Esto creará un fichero con extensión .p12 que contiene su certificado y clave privada protegidas por la clave que ha proporcionado.

Copia del certificado a un Grid User Interface

Para utilizar el certificado es necesario copiarlo al GUI por medio del comando ssh(LINUX/UNIX/OS) o del programa WinSPC(Windows):

[user@localhost ~]$ scp cert-backup.p12 user@ui.macc.unican.es:cert-backup.p12 

Extraer la clave privada y el certificado

Para este paso se necesita se necesita el comando openssl :

[user@ui ~]$ openssl pkcs12 -nocerts -in cert-backup.p12 -out userkey.pem       
[user@ui ~]$ openssl pkcs12 -clcerts -nokeys -in cert-backup.p12 -out usercert.pem
[user@ui ~]$ mkdir -p $HOME/.globus
[user@ui ~]$ mv userkey.pem  $HOME/.globus
[user@ui ~]$ mv usercert.pem $HOME/.globus

Ahora hay que asegurarse de que nadie va a tener acceso a esos ficheros. Para ello basta con cambiar los permisos de los mismos

[user@ui ~]$ chmod 400 $HOME/.globus/userkey.pem
[user@ui ~]$ chmod 600 $HOME/.globus/usercert.pem

Para comprobar si todo ha ido bien puede probar con el comando grid-proxy-init en el directorio temporal actual

[user@ui ~]$ grid-proxy-init 
Your identity: /DC=es/DC=irisgrid/O=unican/CN=user
Enter GRID pass phrase for this identity:
Creating proxy ................. Done
Your proxy is valid until: Tue Mar  8 01:11:25 2016
Last modified 6 years ago Last modified on Sep 29, 2016 12:02:46 PM