Aide GRID-FR

Autorités de Certification dans GRID

Ces Autorités de Certification dont fait partie les ACs GRID-FR délivrent des certificats dans le contexte des Grilles de Calculs ou de Cloud.

Elles sont membres de EUGridPMA (European Policy Management Authority for Grid Authentication in e-Science), qui à son tour est un membre de l'IGTF (Interoperable Global Trust Federation).

Pour plus d'information sur les ACs GRID, veuillez consulter :

Les ACs nationales et l'AC Catch-All

Dans la plupart des infrastructures de Grilles, les utilisateurs, les machines et les services obtiennent des certificats de leur AC nationale si il existe (voir liens ci-dessus).

Pour les utilisateurs non couverts par une des ACs GRID cités ci-dessus, ils peuvent obtenir leur certificats de l'AC Catch-All correspondant à leur projet :

  • l'AC Grèce SEE-GRID fait office d'AC catch-all pour EGI (et tous les projets affiliés à EGI comme EGI-InSPIRE, et EGI-Engage), depuis mai 2017;
  • et l'AC WLCG fait office d'AC catch-all pour LCG.

Procédures des demandes de certificats

Pour démarrer une procédure, les utilisateurs peuvent contacter leur AC nationale.

Si l'AC nationale n'existe pas alors ils peuvent contacter:

A propos des certificats

Les certificats GRID-FR sont strictement confidentiels et ne doivent pas être partagés, ou cédés.

A savoir, les certificats Globus ne sont pas valides.

Information contenues dans le certificat

Pour connaîtres les informations contenues dans un certificat personnel comme par exemple :

  • Sujet(User DN)
  • Dates de validité
  • Emetteur
  • Numéro de série

Vous pouvez utiliser :

  • La commande OpenSSL :
$ openssl x509 -text -noout -in public_key.pem

Où public_key.pem le nom de fichier du certificat au format PEM.

Convertir un certificat du format PEM (.pem) au format PKCS12 (.p12)

Pour utiliser un certificat dans votre navigateur, vous devez l'importer. Les navigateurs (tels que FireFox, Seamonkey, IE) nécessitent d'utiliser les certificats sous un autre format que Globus. Les certificats doivent être sous la forme PKCS12 (.p12) pour pouvoir être importés dans un navigateur.

Voici les commandes OpenSSL pour convertir un certificat du format PEM au format PKCS12 :

$ openssl pkcs12 \
      -export \
      -out file_name.p12 \
      -name "My certificate"\
      -inkey ~user/.globus/userkey.pem \
      -in ~user/.globus/usercert.pem
  • out file_name.p12 : Le nom de fichier au format PKCS12 qui va être créé et qui va contenir la clé privée et le certificat.
  • name “My certificate” : C'est un argument optionnel. Il sert à donner un nom différent de celui par défaut (le CN).
  • inkey ~user/.globus/userkey.pem : Le chemin et le nom de fichier contenant la clé privée.
  • in ~user/.globus/usercert.pem : Le chemin et le nom de fichier contenant le certificat.

N'oubliez pas de sécuriser ce fichier en changeant les droits d'accès à votre compte utilisateur :

$ su user
$ chmod 0400 file_name.p12
         

Changer la passphrase de la clé privée

$ openssl rsa -in ~user/.globus/userkey.pem -des3

Où ~user/.globus/userkey.pem est votre clé privée.

La commande OpenSSL vous demandera :

  • Votre ancien mot de passe
  • Votre nouveau mot de passe
  • Confirmer votre nouveau mot de passe

Déchiffrer un e-mail contenant votre certificat serveur ainsi que sa clé privée et les extraire

Si vous utilisez un client de messagerie qui ne support pas le “S/MIME” vous pouvez utiliser les commandes suivantes pour déchiffrer un mail chiffré :

  • Avec votre client de messagerie, téléchargez l'e-mail dans un fichier (avec les entêtes). Vous obtenez un fichier DER (votre-mail-chiffré.der)
  • Pour déchiffrer le fichier
$ openssl smime \
    -decrypt \
    -inkey votre-clé-privée.key \
    -in votre-mail-chiffré.der \
    -recip votre-certificat.pem \
    -out votre-mail-en-clair.txt \
    -inform DER
  • Ouvrez votre fichier contenant votre e-mail en clair votre-mail-en-clair.txt puis, copiez/coller les parties suivantes :
    • Pour extraire le certificat :
      • Le certificat commence à la première occurence de —–BEGIN CERTIFICATE—– et finit à la première occurence de —–END CERTIFICATE—– .
  
  -----BEGIN CERTIFICATE-----
      //public key//
  -----END CERTIFICATE-----
  • Copiez-le dans un nouveau fichier /etc/grid-security/host.pem
  • Pour extraire la clé privée :

La clé privée commence à la première occurence de —–BEGIN RSA PRIVATE KEY—– et finit à la première occurence de —–END RSA PRIVATE KEY—–

Sauvegarde d’un certificat GRID-FR

Les certificats GRID-FR sont strictement confidentiels et ils doivent être sauvegarder sur un support hors-ligne indépendant dont la clé privée est protégée par un fort mot de passe.

Liste de navigateurs et clients de messagerie supportés par l'IGC

La configuration courante d'OpenTrust PKI inclut le support des navigateurs suivants:

  • Firefox d'une version < 69 ou un ESR 68 → à télécharger ici : https://ftp.mozilla.org/pub/firefox/releases/
  • Internet Explorer (IE) 6 sous Windows XP;
  • IE 7 sous Windows Vista ou Windows XP;
  • IE 8 sous Windows Vista, Windows 7, ou Windows XP;
  • IE 9 sous Windows Vista ou Windows 7;
  • IE 10 sous Windown 7 ou Windows 8;
  • IE 11 sous Windown 7 ou Windows 8.1.
A savoir, IE compatible mais il faut bien vérifier que les ActiveX sont activés.

IE 8 à 11 (32-bit, sans compatibility mode) sous Windows Vista, 7, 8 and 8.1 sont bien supportés.

Les clients de messageries