wiki:GridCertificate

Version 4 (modified by carlos, 6 years ago) (diff)

--

¿Cómo configurar un certificado grid ?

Exportar el certificado con formato P12

Lo primero que se debe hacer es acceder al gestor de certificados:

  • Firefox
    • Ir a Preferences (Menú Edit en !Linux/!Windows, Menú Firefox en MAC OS)
    • Bajo "Advanced" ir a "Certificates"
    • Seleccionar "Manage Certificates...
  • Internet Explorer
    • Ir a Tools - Internet Options - Content - Certificates - Personal (Card)
    • Seleccionar el certificado de IRISGrid
    • Seleccionar export
    • Seleccionar la opción: include private key
    • Selecciona: use stronger security
    • Deseleccionar la opción: delete private key after export
    • Introducir una clave para proteger las credendciales exportadas
    • Elegir un nombre para el fichero, por ejemplo irisgrid-cert-backup

Una vez que se ha abierto el administrador de certificados (Certificate Manager):

  • Elija su certificado y pulse sobre "Backup"
  • Introduzca un nombre para el fichero, por ejemplo cert-backup.p12
  • Introduzca la clave para acceder al servicio de seguridad de su navegador (el sitio donde su navegador guarda internamente las claves)
  • Introduzca una clave para proteger el fichero de backup

Esto creará un fichero con extensión .p12 que contiene su certificado y clave privada protegidas por la clave que ha proporcionado.

Extraer la clave privada y el certificado

Para este paso se necesita se necesita el comando openssl :

[user@ui ~]$ openssl pkcs12 -nocerts -in cert-backup.p12 -out userkey.pem       
[user@ui ~]$ openssl pkcs12 -clcerts -nokeys -in cert-backup.p12 -out usercert.pem
[user@ui ~]$ mkdir -p $HOME/.globus
[user@ui ~]$ mv userkey.pem  $HOME/.globus
[user@ui ~]$ mv usercert.pem $HOME/.globus

Ahora hay que asegurarse de que nadie va a tener acceso a esos ficheros. Para ello basta con cambiar los permisos de los mismos

[user@ui ~]$ chmod 400 $HOME/.globus/userkey.pem
[user@ui ~]$ chmod 600 $HOME/.globus/usercert.pem

Para comprobar si todo ha ido bien puede probar con el comando grid-proxy-init en el directorio temporal actua

[user@ui ~]$ grid-proxy-init 
Your identity: /DC=es/DC=irisgrid/O=unican/CN=user
Enter GRID pass phrase for this identity:
Creating proxy ................. Done
Your proxy is valid until: Tue Mar  8 01:11:25 2016