Главная / Работа в RDIG и EGEE / Сертификаты

Получение сертификата

Сертификат - это открытый ключ пары ключей шифрования "открытый ключ - закрытый ключ" (закрытый ключ доступен только Вам), вместе с некоторой персональной информацией, такой как Ваше имя, адрес электронной почты и т. д. с цифровой подписью сертификационного центра (CA). Задача CA - проверить принадлежность сертификата данному индивидууму, который помнит пароль закрытого ключа, необходимый для дешифрования зашифрованных данных, для подписи некоторых данных (например, посланных по электронной почте), или, как в случае грид, для создания прокси сертификата. Каждый сертифицированный центр (CA) проводит свою политику, которая определяет, помимо прочих вещей, кому давать право иметь сертификат, подписанный им и как создать запрос на сертификат.

Использование персональных сертификатов составляет основу системы безопасности грид EGEE. Вы можете посмотреть презентацию "Grid PKI. Обзор основных криптографических понятий и алгоритмов шифрования.", посвящённого этой теме.

С 3 октября 2005 года роль Certification Authority для Российских проектов связанных с LCG, EGEE и RDIG переходит к новому сертификационному центру, расположенному в Курчатовском институте (RDIG Certification Authority). Адрес сайта: http://ca.grid.kiae.ru/RDIG/. Документ "RDIG Certification Authority Certificate Policy and Certification Practice Statement" или его HTML версия описывают текущую политику выдачи сертификатов.

В связи с этим изменяются правила работы CA, и сама процедура выдачи сертификатов. Ознакомиться с новыми правилами и процедурой можно на страничке http://ca.grid.kiae.ru/RDIG/certificates/obtain.html. Старые сертификаты, выданные Russian DataGrid CA будут продолжать действовать до окончания их срока действия, поэтому нет необходимости получать для себя новый сертификат. Полученный пользовательский сертификат является единым для EGEE/LCG и для RDIG.

Пожалуйста учтите, что после получения нового сертификата в RDIG Certification Authority вам так же будет необходимо перерегистрироваться в виртуальных организациях, в которых вы состояли.

Со всеми вопросами по работе RDIG Certification Authority обращайтесь по адресу rdig-ca-support@grid.kiae.ru

Загрузка сертификата в браузер

После получения сертификата, подписанного Certification Authority, необходимо загрузить его в браузер. Это необходимо для регистрации пользователя в RDIG/EGEE.

Поскольку в браузерах используется другой формат представления сертификата,прежде всего необходимо конвертировать цифровой сертификат из формата pem в формат PKCS12. Для этого в среде операционной системы с работающим ПО Globus (User Interface - UI) и работающим пакетом openssl следует выполнить команду вида:

openssl pkcs12 -export -inkey userkey.pem -in usercert.pem -out my_cert.p12 -name "My certificate"
где

userkey.pem - путь к файлу, содержащему цифровой ключ (этот файл должен иметь разрешение на чтение только для владельца файла,т.е.только для Вас !);

usercert.pem - путь к файлу, содержащему сертификат;

my_cert.p12 - путь к создаваемому файлу в формате PKCS12 ;

"My certificate" - необязательное имя (оно может в дальнейшем быть использовано при выборе сертификата в браузере, если в браузер загружено несколько сертификатов)

Подробные инструкции по загрузке сертификата, конвертированного в формат PKCS12 в различные браузеры (Mozilla,Firefox, Netscape) можно найти на нашем сайте в разделе "Практикум". Для других типов браузеров краткие инструкции содержатся на странице в ЦЕРН http://lcg.web.cern.ch/lcg/loading_certifs.htm.

Пользователям браузера Internet Explorer!!!. IE поддерживает кэш "SSL state". Если до загрузки нового сертификата Вы уже заходили на сервер, требующий сертификации, используя другой сертификат, или у Вас возникли проблемы с новым сертификатом, который правильно загружен в браузер, попробуйте очистить этот кэш. Для этого выберите пункт меню Tools->Internet Options, выберите вкладку Content и нажмите Clear SSL State.

Перед этим необходимо установить в браузере сертификат вашего Центра сертификации (CA). Если ваш сертификат получен в RDIG Certification Authority, то это можно сделать на Веб-странице http://ca.grid.kiae.ru/RDIG/, нажав на ссылку ""Корневой сертификат RDIG CA для загрузки в броузер". Инструкции по установке в браузер сертификатов от других CA ищите на Веб-страницах соответствующих CA.


egee@pnpi.nw.ru

©2004-2010 ПИЯФ РАН им. Б.П.Константинова

СтатистикаСтатистика сайта