rilpoint_mw113

GridMOSI:CA

Pentru a obtine un certificat digital x509 un utilizator poate sa acceseze site-ul GridMOSI CA: https://openca.grid.ici.ro.

Acesta trebuie să facă o cerere către autoritatea de certificare utilizând link-ul "Interfata Utilizator".

Se accesează din meniul orizontal "My Certificates" şi de aici "Request a Certificate".

Din lista de variante pentru generarea unei cereri de certificat se alege prima obţiune: Browser Certificate Request (Request form with automatic browser detection).

După ce s-a selectat această obţiune trebuie completat formularul pentru cererea de certificat. Câmpurile necesare referitor la datele personale ale utilizatorului care solicita un certificat sunt: 

* First Name
* Last Name
* E-mail address

celelalte campuri din formular sunt optionale. In urmatorul formular trebuie completate urmatoarele campuri: 

* Certificate Request Group       [Users]
* Certificate Template            [User]
* Selected Registration Authority [Trustcenter itself]
* Level of Assurance              [Medium]
* Key Generation Mode             [Browser (Your Computer)]

In final, pentru ultimul formular: 

* Signature Scheme                [RSA]
* Key Strength                    [Base]
* PIN (Min. 5 chars)              [parola certificatului]

Dupa confirmarea cererii sunt afisate detaliile acesteia, unde numarul SERIAL trebuie sa notat deoarece este necesar pentru obtinerea certificatului.

Cererea este pusă într-o coadă de aşteptare, urmând sa fie validată. Pentru a anunta o cerere trebuie trimis un email catre stanciuNOSPAM grid.ici.ro. Apoi Autoritatea de Certificare îl semnează şi certificatul devine astfel valid.

Pentru ca utilizatorul să intre în posesia certificatului, acesta trebuie să acceseze din nou linkul "Interfaţa Utilizator", de unde se accesează mai departe "Install My Certificate", unde se completează seria (numarul SERIAL) care corespunde cererii certificatului şi apoi acesta poate fi downloadad.

In cadrul meniului "Instal My Certificate" sunt 2 optiuni pentru specificarea numarului serial (Type of Serial):

  • Certificate's Serial: se foloseste numarul serial al certificatului semnat care poate fi gasit la "Information" -> "Valid Certificates"
  • Request's Serial: se foloseste numarul serial primit in momentul generarii cererii (numarul SERIAL care a fost notat anterior)

Certificat pentru server

Pentru a obtine un certificat de server mai intai trebuie generate cu ajutorul openssl cheia privata si cererea de certificat ce trebuie semnata de GridMOSI CA.

Deoarece Signing Policy pentru GridMOSI CA este: 

access_id_CA  X509   '/C=RO/O=GridMOSI/OU=ICI/CN=GridMOSI CA'
pos_rights    globus CA:sign
cond_subjects globus '"/C=RO/O=GridMOSI/*"'

iar în plus, un camp obligatoriu in subiectul certificatului trebuie sa fie "OU", subiectul acestuia ar trebui sa fie in genul: 

"/C=RO/O=GridMOSI/OU=ICI/CN=testbed001.grid.ici.ro"

In acest caz comanda openssl care generezeaza cheia privata si cererea de certificat este: 

 openssl req -new -newkey rsa:1024 -nodes -subj "/C=RO/O=GridMOSI/OU=ICI/CN=testbed001.grid.ici.ro" -keyout hostkey.pem -out hostcert.pem

Schimband campurile OU si CN cu valori potrivite, fisierul hostcert.pem obtinut trebuie sa fie trimis spre semnare catre GridMOSI CA.

Pentru aceasta se acceseaza https://openca.grid.ici.ro -> Interfata Utilizator -> My Certificates -> Request a Certificate -> Server Certificate Request.

La optiunile formularului de upload se trece: 

* Registration Authority [chose the RA where you will be authenticated.]          [Trustcenter itself]
* Role [chose the Role which you want to get.]                                    [User]
* Level Of Assurance [chose the LOA you would like to be authenticated against.]  [Low]

Certificatul pentru server se downloadeaza in acelasi fel ca certificatul personal.

  • Pe fiecare server trebuie sa fie instalat urmatorul rpm: 
ftp://ftp.gridmosi.ro/pub/ca_GridMOSI-1.0-2.i386.rpm
Adus de la „http://wiki.gridmosi.ro/wiki/GridMOSI:CA
Skin by RIL Partner