Certificat robot

Les prérequis

Vous ne pouvez demander votre certificat robot que si :

  • vous êtes administrateurs de services sur la grille;
  • vous avez un besoin légitime de certificat robot;
  • et vous disposez d'un certificat personnel GRID-FR;

Deux types de services sont proposés pour ce type de certificats, étant demandeur, vous devez en choisir un qui correspond le mieux à vos attentes :

  • vous souhaitez gérer vous-même le certificat robot;
  • ou sinon utilisez le service myproxy de RENATER.

Des descriptions détaillées de ces deux services se trouvent dans les paragraphes suivants.

Avant toute demande, veillez à vérifier les consignes d'obtention de certificat GRID-FR.

Certificat robot géré par le demandeur

A qui s'adresse ce service ?

Ce service s'adresse aux administrateurs de services sur la grille nécessitant un certificat robot GRID-FR, et qui souhaitent gérer eux-même ce type de certificats.

Dans ce cas, les bi-clés de certificat robot doivent obligatoirement être conservés dans un token USB.

Comment utiliser ce service ?

Pour utiliser ce service, il faut d'abord faire la demande en remplissant le formulaire de Demande de certificat robot.

Cette demande doit être validée par l'Autorité d'Enregistrement GRID-FR.

Une fois la demande validée, vous pouvez effectuer votre demande, en respectant les consignes décrites dans le document d'installation et d'utilisation de E-Token.

Service MyProxy de Renater

A qui s'adresse ce service ?

Ce service s'adresse aux administrateurs de services sur la grille nécessitant un certificat robot GRID-FR, mais ne veulent pas gérer eux-mêmes ce type de certificats.

Comment utiliser ce service ?

Pour utiliser ce service, le demandeur doit faire la demande en remplissant le formulaire de Demande d'utilisation du service myproxy de RENATER .

Cette demande doit être validée par l'Autorité d'Enregistrement GRID-FR.

Une fois la demande validée et le certificat robot installé sur le service myproxy, le demandeur sera informé de la disponibilité du service. Il pourra alors récupérer et renouveler un certificat proxy de son certificat robot.

Pour cela, les packages suivants sont nécessaires :

  • voms-clients
  • voms
  • myproxy

La récupération du certificat proxy sur le serveur myproxy.renater.fr nécessite une authentification par certificat. Pour cela, il faut créer un certificat proxy du certificat qui sera utilisé pour l'authentification, et dont le sujet a été indiqué dans le formulaire. Il pourra par exemple s'agir du certificat du serveur qui utilisera le certificat robot.

Par exemple, si <path>/cert.pem contient le certificat d'authentification et <path>/key.pem sa clé privée, on pourra utiliser les commandes suivantes :

$ export X509_USER_CERT=<path>/cert.pem
$ export X509_USER_KEY=<path/key.pem
$ export X509_USER_PROXY=<path>/proxy_auth_cert.pem
$ voms-proxy-init

La récupération se fait à l'aide de la commande myproxy-get-delegation.

$ myproxy-get-delegation -s myproxy.renater.fr -d -l '<DN certificat robot>' -n -o proxy_robot.pem
  • la commande utilise le certificat et la clé contenu dans le fichier spécifié par la variable d'environnement X509_USER_PROXY pour l'authentification;
  • la valeur de <DN certificat robot> est le sujet du certificat robot indiqué dans le formulaire;
  • le certificat proxy robot et sa clé privée sont mis dans le fichier proxy_robot.pem.

La durée de validité des certificats proxies délivrés est de 5 jours.

Le demandeur devra mettre en place une procédure pour le renouvellement périodique de son certificat proxy robot.

Expiration du certificat

Un certificat robot GRID-FR a une durée de validité limitée à deux ans.

Vous recevrez des notifications par mail pour vous avertir de l'expiration de votre certificat robot et vous prévenir de la nécessité de le renouveler.

Ces notifications vous seront envoyées un mois avant la date d’échéance, 2 semaines avant, 1 semaine avant, et 1 jour avant.

Attention à bien effectuer le renouvellement avant cette date.