Changes between Initial Version and Version 1 of GridCertificate


Ignore:
Timestamp:
Mar 7, 2016 12:15:21 PM (6 years ago)
Author:
carlos
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • GridCertificate

    v1 v1  
     1Exportar el certificado con formato PKCS#12
     2
     3Estas instrucciones describen como exportar su certificado desde su navegador web. Esto es necesario por dos razones:
     4
     5En primer lugar para tener una copia de su certificado y de su copia privada por si le ocurre algo a la copia almacenada en su navedor (por si cambia de versión de navegador y su nueva versión no preserva la clave, por si tiene problemas con el ordenador, etc).
     6
     7En segundo lugar es necesario exportar su certificado y clave privada para poder acceder al interface de trabajo con IRISGrid. Las instrucciones siguientes le indicarán cómo extraer el certificado y la clave como un conjunto en formato PKCS#12, que suele guardarse en un fichero con extensión .p12.
     8Navegadores basados en Mozilla
     9
     10Lo primero que debe hacer es acceder al gestor de certificados. A continuación se detalla cómo acceder a dicho gestor desde diferentes navegadores
     11
     12Mozilla
     13
     14    Ir a Preferences (Menú Edit en Linux/Windows, Menú Mozilla en MAC OS)
     15    Bajo "Privacy & Security" ir a "Certificates"
     16    Seleccionar "Manage Certificates...
     17
     18Firefox
     19
     20    Ir a Preferences (Menú Edit en Linux/Windows, Menú Firefox en MAC OS)
     21    Bajo "Advanced" ir a "Certificates"
     22    Seleccionar "Manage Certificates...
     23
     24Galeon
     25
     26    Ir a Edit > Preferences
     27    Ir a "Privacy"
     28    Seleccionar "Manage Certificates...
     29
     30Una vez que se ha abierto el administrador de certificados (Certificate Manager):
     31
     32    Elija su certificado y pulse sobre "Backup"
     33    Introduzca un nombre para el fichero, por ejemplo irisgrid-cert-backup.p12
     34    Introduzca la clave para acceder al servicio de seguridad de su navegador (el sitio donde su navegador guarda internamente las claves)
     35    Introduzca una clave para protejer el fichero de backup
     36
     37El fichero de backup (por ejemplo irisgrid-cert-backup.p12) será creado.
     38Internet Explorer
     39
     40    Ir a Tools - Internet Options - Content - Certificates - Personal (Card)
     41    Seleccionar el certificado de IRISGrid
     42    Seleccionar export
     43    Seleccionar la opción: include private key
     44    Selecciona: use stronger security
     45    Deseleccionar la opción: delete private key after export
     46    Introducir una clave para proteger las credendciales exportadas
     47    Elegir un nombre para el fichero, por ejemplo irisgrid-cert-backup
     48
     49Esto creará un fichero con extensión .pfx que contiene su certificado y clave privada protegidas por la clave que ha proporcionado
     50Notas generales
     51
     52La clave de acceso al sistema de seguridad de su navegador es totalmente local a su navegador y si usted no dispone de esa clave no podrá exportar su certificado.
     53Extraer la clave privada
     54
     55Antes de leer este párrafo le recomendamos visite la sección de utilidades de la pkIRISGrid. Puede usar el programa pkcs12toglobus.sh para realizar estos pasos de forma automática.
     56
     57Para este paso usted necesita openssl o alguna otra herramienta como grid-pkcs12
     58
     59Si usa openssl para convertir el fichero al formato PEM: (reemplace irisgrid-cert-backup.p12 o irisgrid-cert-backup.pfx por el nombre de su fichero exportado)
     60
     61> openssl pkcs12 -in irisgrid-cert-backup.p12 -out blah.pem -clcerts
     62Enter Import Password:
     63MAC verified OK
     64Enter PEM pass phrase:
     65Verifying password - Enter PEM pass phrase:
     66
     67Ahora el fichero PEM mantiene su certificado y su clave privada. Necesita separarlos en dos ficheros de la siguiente forma
     68
     69cp blah.pem usercert.pem
     70cp blah.pem userkey.pem
     71
     72En el fichero con su certificado debe borrar la sección que habla de la clave privada. Para ello debe eliminar las líneas entre ---- BEGIN RSA PRIVATE KEY ---- y ---- END RSA PRIVATE KEY ----
     73
     74En el fichero userkey.pem borre todo salvo lo contenido entre esas dos líneas. Debe quedarse también con las dos líneas
     75
     76Ahora debe asegurarse de que nadie va a tener acceso a esos ficheros. Para ello basta con cambiar los permisos de los mismos
     77
     78> chmod 0400 userkey.pem
     79> chmod 0444 usercert.pem
     80
     81Para comprobar si todo ha ido bien puede probar con el comando grid-proxy-init en el directorio temporal actual
     82
     83> grid-proxy-init -certdir .
     84Enter PEM pass phrase:
     85..+++++
     86..........+++++
     87> grid-proxy-info -all
     88subject : /DC=es/DC=irisgrid/CN=prueba@rediris.es
     89issuer : /DC=es/DC=irisgrid/CN=CA
     90type : full
     91strength : 512 bits
     92timeleft : 11:59:55
     93
     94Si esto ha funcionado puede mover los dos ficheros a su directorio ~/.globus
     95
     96ANTENCION: Si usted ya tenía credenciales válidas en su directorio .globus (por ejemplo de otra CA), sálvela primero en otra localización
     97Instalar su certificado de usuario y probar IRISGrid
     98
     99Debe configurar su entorno en su fichero de configuración .profile mediante la variable GLOBUS_LOCATION=/usr/local/globus y ejecutando el script /usr/local/globus/etc/globus-user-env.sh. Por ejemplo:
     100
     101$ export GLOBUS_LOCATION=/usr/local/globus
     102$ source /usr/local/globus/etc/globus-user-env.sh
     103
     104Una vez que estas variables han sido tomadas por su entorno usted puede crear un certificado proxy que actúe como un punto único de autenticación para IRISGrid. Para ello ejecute:
     105
     106$ grid-proxy-init
     107
     108Copie el Nombre distintivo asociado al subject que le devuelve el comando grid-proxy-init y pidale a su administrador de globus que añada ese identificador al fichero gridmap al que usted tenga derecho