Changes between Version 2 and Version 3 of GridCertificate


Ignore:
Timestamp:
Mar 7, 2016 1:15:16 PM (6 years ago)
Author:
carlos
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • GridCertificate

    v2 v3  
    6161Si usa openssl para convertir el fichero al formato PEM: (reemplace irisgrid-cert-backup.p12 o irisgrid-cert-backup.pfx por el nombre de su fichero exportado)
    6262
    63 > openssl pkcs12 -in irisgrid-cert-backup.p12 -out blah.pem -clcerts
    64 Enter Import Password:
    65 MAC verified OK
    66 Enter PEM pass phrase:
    67 Verifying password - Enter PEM pass phrase:
     63{{{
     64[user@ui ~]$ openssl pkcs12 -nocerts -in certificate.p12 -out userkey.pem       
     65[user@ui ~]$ openssl pkcs12 -clcerts -nokeys -in certificate.p12 -out usercert.pem
     66[user@ui ~]$ mkdir -p $HOME/.globus
     67[user@ui ~]$ mv userkey.pem  $HOME/.globus
     68[user@ui ~]$ mv usercert.pem $HOME/.globus
     69}}}
    6870
    69 Ahora el fichero PEM mantiene su certificado y su clave privada. Necesita separarlos en dos ficheros de la siguiente forma
     71* Ahora hay que asegurarse de que nadie va a tener acceso a esos ficheros. Para ello basta con cambiar los permisos de los mismos
     72{{{
     73[user@ui ~]$ chmod 400 $HOME/.globus/userkey.pem
     74[user@ui ~]$ chmod 600 $HOME/.globus/usercert.pem
     75}}}
    7076
    71 cp blah.pem usercert.pem
    72 cp blah.pem userkey.pem
     77* Para comprobar si todo ha ido bien puede probar con el comando `grid-proxy-init` en el directorio temporal actua
     78{{{
     79[user@ui ~]$ grid-proxy-init
     80Your identity: /DC=es/DC=irisgrid/O=unican/CN=user
     81Enter GRID pass phrase for this identity:
     82Creating proxy ................. Done
     83Your proxy is valid until: Tue Mar  8 01:11:25 2016
     84}}}
    7385
    74 En el fichero con su certificado debe borrar la sección que habla de la clave privada. Para ello debe eliminar las líneas entre ---- BEGIN RSA PRIVATE KEY ---- y ---- END RSA PRIVATE KEY ----
    75 
    76 En el fichero userkey.pem borre todo salvo lo contenido entre esas dos líneas. Debe quedarse también con las dos líneas
    77 
    78 Ahora debe asegurarse de que nadie va a tener acceso a esos ficheros. Para ello basta con cambiar los permisos de los mismos
    79 
    80 > chmod 0400 userkey.pem
    81 > chmod 0444 usercert.pem
    82 
    83 Para comprobar si todo ha ido bien puede probar con el comando grid-proxy-init en el directorio temporal actual
    84 
    85 > grid-proxy-init -certdir .
    86 Enter PEM pass phrase:
    87 ..+++++
    88 ..........+++++
    89 > grid-proxy-info -all
    90 subject : /DC=es/DC=irisgrid/CN=prueba@rediris.es
    91 issuer : /DC=es/DC=irisgrid/CN=CA
    92 type : full
    93 strength : 512 bits
    94 timeleft : 11:59:55
    95 
    96 Si esto ha funcionado puede mover los dos ficheros a su directorio ~/.globus
    97 
    98 ANTENCION: Si usted ya tenía credenciales válidas en su directorio .globus (por ejemplo de otra CA), sálvela primero en otra localización
    99 Instalar su certificado de usuario y probar IRISGrid
    100 
    101 Debe configurar su entorno en su fichero de configuración .profile mediante la variable GLOBUS_LOCATION=/usr/local/globus y ejecutando el script /usr/local/globus/etc/globus-user-env.sh. Por ejemplo:
    102 
    103 $ export GLOBUS_LOCATION=/usr/local/globus
    104 $ source /usr/local/globus/etc/globus-user-env.sh
    105 
    106 Una vez que estas variables han sido tomadas por su entorno usted puede crear un certificado proxy que actúe como un punto único de autenticación para IRISGrid. Para ello ejecute:
    107 
    108 $ grid-proxy-init
    109 
    110 Copie el Nombre distintivo asociado al subject que le devuelve el comando grid-proxy-init y pidale a su administrador de globus que añada ese identificador al fichero gridmap al que usted tenga derecho