Іноді задають питання, russian data-intensive grid certificate authority

Існує список застарілих питань. вони вже неактуальні, але може бути комусь допоможуть.

Пояснення про сертифікати та інше.

Модуль вашого ключа може бути отриманий наступними командами (на вибір, повинна спрацьовувати будь-яка): Для сертифікатів користувача друга з команд запросить пароль для вашого закритого ключа - це саме той пароль, який ви вводили при створенні запиту.

тут
  • - це файл, який ви відправляли (або тільки хочете відправити) поштою після створення запиту на сертифікат. Для призначених для користувача запитів він називається userreq.mail. для запитів на сертифікат машини або сервісу - hostreq.mail.
  • - це файл, який містить ваш закритий ключ. Для призначених для користувача запитів він називається userkey.pem. для запитів на сертифікат машини або сервісу - hostkey.pem.

Передбачається, що ви зареєстровані в віртуальної організації, ресурси якої намагаєтеся використовувати. Якщо немає, то пройдіть на сторінку віртуальних організацій RDIG або на сторінку віртуальних організацій CERN. там описана процедура реєстрації. На цих же сторінках можна перевірити статус свого членства в віртуальних організаціях.

Нижче знаходиться список базових тестів, які необхідно зробити з вашими сертифікатом і закритим ключем (ключовий парою), щоб отримати деяке технічне уявлення про ваші проблеми.

Перевірка збігу компонентів ключової пари

Запускаємо пару команд

Остання з команд потребують введення пароля для закритого ключа. Обидві команди повинні видати однакові результати. Якщо це не так, то або ви забули оновити ваш сертифікат (файл

/.globus/usercert.pem), або закритий ключ (файл

Ось як виглядає цей тест для правильної ключової пари:

Якщо ви отримуєте різні модулі, то у вас не збігаються сертифікат і закритий ключ. Найбільш вірогідний такий сценарій. Нижче наводиться приклад біди з сертифікатом користувача. Для сертифікатів вузлів і сервісів потрібно змінити тільки імена файлів: самі файли називаються hostcert.pem і hostkey.pem і розташовуються вони в директорії

/.globus/HOSTNAME для сертифіката вузла і в директорії

/.globus/SERVICE-HOSTNAME для сертифіката сервісу. Тут HOSTNAME - це доменне ім'я вузла, а SERVICE - назва сервісу.

Отже, іноді трапляється таке.
  • Користувач створював нову ключову пару і запит, але в директорії
/.globus у нього вже були файли з сертифікатом і закритим ключем. І називалися вони usercert.pem і hostcert.pem.
  • Сценарій не може переписати вже існуючі файли: він зроблений так, щоб ніколи не чіпати існуючі файли. Причина очевидна: на момент створення нової ключової пари стара ще діє, тому позбавити користувача цієї працює пари буде свинством.
  • Тому сценарій створює файли usercert.DATE.pem і userkey.DATE.pem, де DATE - це рядок, складена з поточних дати і часу (в форматі YYYYMMDD-hhmmss, якщо це когось цікавить).
  • Користувач відправляє запит і забуває про все.
  • Через деякий час користувачеві надсилається сертифікат, який він зберігає в файл

    /.globus/usercert.pem. Але помістити в файл

    /.globus/userkey.pem вміст нового закритого ключа, парного до сертифіката, користувач забуває.

    • Виправити ситуацію можна: дивимося на вміст директорії

    /.globus і шукаємо там файл userkey.DATE.pem, де DATE збігається з датою створення запиту. Копіюємо вміст цього файлу в userkey.pem, попередньо зберігши старий userkey.pem. Знову перевіряємо модулі. При необхідності повторюємо.

    Перевірка правильності створення proxy-сертифікату

    Правильний варіант роботи цієї команди виглядає так:

    Перевірка коректності Globus-аутентифікації

    Для цього тесту вам буде потрібно Globus Gatekeeper, який зазвичай знаходиться на Computing Element. Сам Computing Element повинен підтримувати вашу віртуальну організацію.

    Ця команда проводить аутентифікацію для запуску завдання, але саму завдання не запускає.

    Ось як відпрацьовує ця команда в разі успішної аутентифікації:

    Симптоми проблеми зазвичай такі: при запуску команди

    Як би там не було, ваш сертифікат (якщо він, звичайно, дійсний) доступний зі сторінки дійсних сертифікатів RDIG CA. І все що вам потрібно зробити - це зберегти правильну копію вашого сертифіката в файл на локальній машині.

    Користуючись отриманою посиланням, ви можете завантажити ваш сертифікат в будь-який зручний вам місце. Наприклад, якщо ви перебуваєте на машині з встановленою утилітою GNU Wget. то запустивши команду

    ви збережете сертифікат в поточний каталог, в файл mycert.pem. Зауваження: наявність символів "\" в командах не є обов'язковим; в нашому випадку він присутній тільки для полегшення Новомосковскемості.

    Якщо ви віддаєте перевагу користуватися утилітою cURL. то команда, роблять те ж саме що і вище, буде виглядати так:

    Якщо ж вам найбільше подобається утиліта lftp. то вам допоможе команда

    Зверніть, будь ласка, увагу на одинарні лапки - вони важливі.

    Це можна зробити, імпортувавши сертифікат і закритий ключ в броузер, але це, по-перше, довго, а по-друге, працює тільки для протоколів, які розуміє броузер.

    Одним з універсальних рішень є використання утиліти openssl в режимі SSL-клієнта. Це робиться так:

    Зауваження: наявність символу "\" в команді не є обов'язковим; цей символ присутній тільки для поліпшення Новомосковскбельності даного тексту.

    Нижче демонструються різні варіанти розвитку подій для сервера rdig-registrar.sinp.msu.ru, який надає VOMS-сервіс і вимагає аутентифікації клієнта.

    Варіант 1: клієнт взагалі не надав ключової пари.

    Повідомлення "sslv3 alert bad certificate" і "ssl handhake failure" говорять про те, що сервер захотів аутентифицировать клієнта, але їх цього нічого не вийшло, оскільки (в нашому випадку) клієнт не вказав ключової пари. Останнє і говорить про те, що SSL-сервер використовує аутентифікацію клієнта ще на стадії установки з'єднання. В іншому випадку SSL-з'єднання було б успішно встановлено, що говорило б або про повну відсутність клієнтської аутентифікації, або про аутентифікації клієнта при його зверненні тільки до деяких ресурсів сервера.

    Варіант 2: клієнт надав ключову пару, але з нею щось не так. У нашому випадку сертифікат був прострочений.

    Як ми бачимо, відбувається те ж саме, що і в разі відсутності сертифіката.

    А ось як буде реагувати OpenSSL на незбіжні компоненти ключової пари:

    Так прямо і лається - "key values ​​mismatch"

    Варіант 3: клієнт надав правильну ключову пару.

    Тут все в порядку, ключова пара правильна і сервер довіряє Certification Authority, який підписав сертифікат. Робота команди "openssl s_client" була перервана сполучення клавіш Control-C, але, взагалі кажучи, сеанс міг би тривати і оператор міг би ввести якісь команди, які б були передані на сервер і, можливо, там оброблені.

    Нижче знаходяться інструкції для деяких популярних браузерів.

    Mozilla Firefox

    Кнопка очищення кеша броузера знаходиться в меню «Advanced» → «Network» або «Додаткові» → «Мережа» відповідно.

    Safari для MacOS

    Цей броузер використовує системне сховище сертифікатів, тому для маніпуляцій з кореневим сертифікатом вам необхідно запустити утиліту «Keychain Access», яку можна знайти в папці «Applications» → «Utilities».

    Очищення кеша відбувається наступним чином: в налаштуваннях Safari потрібно вибрати вкладку «Advanced» і там встановити прапорець біля пункту «Show Develop menu in menu bar» (якщо, звичайно, прапорець вже не встановлено). Після цього досить вибрати пункт меню «Develop» → «Empty Caches».

    Internet Explorer

    Щоб очистити кеш броузера, необхідно натиснути клавіші Ctrl-Shift-Del, вибрати у вікні пункт «Тимчасові файли Інтернету» і зняти виділення з інших пунктів, після чого натиснути кнопку «Видалити».