Удостоверяющий центр ОИПИ НАН Беларуси
 English 

Данная информация поможет Вам получить сертификаты УЦ ОИПИ НАН Беларуси. Сертификаты автоматически не предоставляют доступ к грид-ресурсам. Доступ предоставляют владельцы ресурсов. А сертификаты позволяют идентифицировать удаленных пользователей и ресурсы.

Содержание


Почему необходим сертификат

Если Вы не знаете, что такое сертификаты и для чего они нужны, пожалуйста, посмотрите "Небольшой рассказ про X.509"

Запрос на получение сертификата физического лица

  1. Вам необходимо установить программное обеспечение, позволяющее генерировать запросы на получение сертификатов, например OpenSSL или OpenSSL для Windows.
  2. Cоздайте новый каталог для сертификата. Например, каталог ".globus" в операционной системе GNU/Linux можно создать командой: 
    mkdir ~/.globus
    3. Перейдите в каталог: 
    cd ~/.globus
  3. Загрузите конфигурационный файл для физ. лица: 
    wget http://ca.grid.by/misc/BelarusianGridCA-user.cnf
  4. Сгенерируйте запрос на получение сертификата: 
    openssl req -new -config BelarusianGridCA-user.cnf -out usercert_request.pem -sha1
    * выберите сложный пароль;
    * не изменяйте значения переменных "Domain Component" - просто нажмите <ENTER>;
    * введите домен (обычно адрес веб-сайта без "www") своего учреждения (например, bsu.by) или домен с поддоменом, если таковой существует (например, uiip.bas-net.by);
    * введите Ваши имя и фамилию латиницей как представлено в Вашем паспорте (только сначала вводится Имя, затем через пробел вводится Фамилия; причем первые буквы имени и фамилии должны быть прописными [в верхнем регистре], а все остальные – строчными [в нижнем регистре], например, Janka Kupala).
    * Вы должны получить два файла: usercert_request.pem (запрос на выдачу сертификата) и userkey.pem (личный ключ, защищенный паролем).
  5. Проверьте запрос на выдачу сертификата
    openssl req -in usercert_request.pem -noout -text
    Поле "Subject" в запросе на выдачу сертификата должно иметь вид:

    Subject: DC=by, DC=grid, O=domain.by, CN=Name Surname

    ВНИМАНИЕ: бережно храните Ваш личный ключ userkey.pem и не забывайте пароль к нему. 
    chmod 400 userkey.pem
    Если вы подозреваете, что ваш ключ скомпрометирован, обратитесь в СЦ или РЦ.
  6. Отправьте по электронной почте в регистрационный центр (РЦ) организации, в которой Вы работаете или учитесь (если в Вашей организации нет РЦ, то в РЦ ОИПИ НАН Беларуси), следующую информацию:
    1. Имя Фамилия (латиницей как представлено в Вашем паспорте, только сначала Имя, затем через пробел Фамилия, причем первые буквы имени и фамилии должны быть прописными [в верхнем регистре], а все остальные – строчными [в нижнем регистре], например, Janka Kupala);
    2. Фамилия Имя Отчество (по паспорту на белорусском или русском языке и в указанном порядке, например, Сидоров Иван Петрович);
    3. место работы (полное официальное наименование организации);
    4. населенный пункт места работы (например, г. Минск или деревня Вязынка Молодечненского района Минской области);
    5. подразделение (например, лаборатория, цех, отдел, управление, факультет, кафедра);
    6. должность (например, администратор системный I категории, инженер-программист, заместитель генерального директора, студент, аспирант);
    7. Ваш адрес электронной почты, который будет указан в сертификате и использоваться для контактов с Удостоверяющим центром;
    8. Ваш номер телефона (лучше указать несколько: рабочий, мобильный, домашний);
    9. файл запроса на получение сертификата (usercert_request.pem).

    ВНИМАНИЕ: Если вы отсылаете данный запрос на получение сертификата, то это автоматически означает, что вы ознакомились и согласны с:
    1. Политикой применения сертификатов и регламентом УЦ –
      http://ca.grid.by/cpcps_r.html
    2. Положением о работе операционного центра национальной грид-сети –
      http://noc.grid.by/index.php?n=Main.Statute

    Если Вы всё сделаете правильно, то Вам придет электронное письмо с приглашением явиться в РЦ. Вам необходимо будет иметь при себе следующие документы:
    • паспорт;
    • копия паспорта (двух последних страниц);
    • справка с места работы или служебное удостоверение;
    • копия справки с места работы или служебного удостоверения;
    • распечатка файла запроса на получение сертификата на листе формата А4 в виде, представляемом командой: 
      openssl req -in usercert_request.pem -noout -text
      На той же стороне листа, на которой распечатан запрос укажите ту же информацию, которую Вы ранее направили в РЦ вместе с файлом запроса на получение сертификата (usercert_request.pem).
  7. РЦ проверит Ваши документы и отправит Ваш запрос в сертификационный центр (СЦ) для изготовления сертификата. В течении десяти рабочих дней Вы по электронной почте получите подписанный сертификат. Вы должны будете скопировать его по адресу (пути) "~/.globus/NameSurname.pem" на компьютер, где генерировали запрос на получение сертификата.
  8. С целью регистрации Вас как пользователя грид-сети Ваш сертификат и регистрационные данные будут отправлены в операционный центр национальной грид-сети Республики Беларусь (noc.grid.by). Сотрудники операционного центра рассмотрят возможность регистрации Вас как пользователя грид-сети, после чего подтвердят или отклонят Вашу регистрацию, о чем Вам будет сообщено отдельно.

Запрос на получение сертификата сервера/службы

Если вы хотите сделать доступными Ваши вычислительные ресурсы в Грид, то Вам нужен сертификат сервера/службы.

Процедура запроса в целом такая же как и при запросе на получение сертификата физического лица. Но есть некоторые отличия:

  1. Войдите в систему с правами суперпользователя
  2. Создайте новый каталог для сертификатов
  3. Загрузите конфигурационный файл для сервера/службы 
    wget http://ca.grid.by/misc/BelarusianGridCA-host.cnf
  4. Выполните команду для создания файлов hostcert_request.pem и hostkey.pem (примечание: параметр -nodes указывает OpenSSL не защищать hostkey.pem паролем): 
    openssl req -new -config BelarusianGridCA-host.cnf -out host_certrequest.out \
          -sha1 -nodes
  5. chmod 400 private_host_key.pem
    Поле "Subject" в запросе на выдачу сертификата должно иметь вид:

    Subject: DC=by, DC=grid, O=domain1.by, CN=hostname.domain2.by
     или
    Subject: DC=by, DC=grid, O=domain1.by, CN=servicename/hostname.domain2.by

    Заметим, что domain1 может совпадать с domain2.
  6. Запрос на получение сертификата сервера/службы Вы можете отправить в РЦ электронным письмом, предварительно подписав запрос (либо письмо целиком) личным ключом, который соответствует Вашему действительному сертификату. Лично встречаться с представителем РЦ не требуется. Копии документов в этом случае тоже не требуются. Пример подписания запроса см. в разделе полезные советы.

ВНИМАНИЕ: в большинстве случаев Вам необходим расшифрованный hostkey.pem для ПО промежуточного уровня. Установите соответствующие права доступа на hostkey.pem, чтобы предотвратить несанкционированный доступ. Если Ваш hostkey.pem зашифрован, смотрите как расшифровать файл с личным ключом в разделе "Полезные советы".

Обновление сертификата

  1. Вам необходимо установить программное обеспечение, позволяющее генерировать запросы на получение сертификатов, например OpenSSL или OpenSSL для Windows.
  2. Создайте новый каталог для запроса на получение сертификата 
     cd
          mkdir newcert
          cd newcert
  3. Загрузите конфигурационный файл для физ. лица или для сервера/службы:
     wget http://ca.grid.by/misc/BelarusianGridCA-user.cnf
          или
          wget http://ca.grid.by/misc/BelarusianGridCA-host.cnf (для сервера/службы)
  4. Сгенерируйте новый запрос сертификата с тем же полем "Subject"
    openssl req -new -config BelarusianGridCA-user.cnf -out usercert_request.pem -sha1
  5. Проверьте запрос на выдачу сертификата:
    openssl req -in usercert_request.pem -noout -text

    ВНИМАНИЕ: бережно храните Ваш личный ключ userkey.pem и не забывайте пароль к нему. 
    chmod 400 userkey.pem
    Если вы подозреваете, что ваш ключ скомпрометирован, обратитесь в СЦ или РЦ.

  6. Подпишите Ваш новый запрос личным ключом, который соответствует Вашему действительному сертификату:
     cd
          openssl smime -sign -in newcert/usercert_request.pem -out \
          newcert/usercert_request.smime -signer .globus/usercert.pem \
          -inkey .globus/userkey.pem
  7. Отправьте файл ~/newcert/usercert_request.smime в УЦ ОИПИ НАН Беларуси по электронной почте ca@newman.bas-net.by

Полезные советы

Просмотр запроса на получение сертификата в текстовом формате:

openssl req -in user-certrequest.out -noout -text

Просмотр сертификата в текстовом формате: 

openssl x509 -in $HOME/.globus/usercert.pem -noout -text

Преобразование сертификата из формата PEM в PKCS12 (если Вы, например, хотите импортировать его в веб-браузер):

openssl pkcs12 -export -in usercert.pem -inkey userkey.pem \
-descert -out $HOME/certificate.p12

Расшифровка файла с личным ключом (эта процедура может потребоваться для ключей сервера/службы): 

openssl rsa -in key.pem -out key-decrypted.pem

Шифрование личного ключа или изменение пароля личного ключа: 

openssl rsa -des -in key.pem -out key-encrypted.pem

Подписание Вашего нового запроса личным ключом, который соответствует Вашему действительному сертификату:

 openssl smime -sign -in newcert/usercert_request.pem -out \
 newcert/usercert_request.smime -signer .globus/usercert.pem \
 -inkey .globus/userkey.pem

Дополнительная информация

Краткое ознакомительное руководство по криптографии с открытым ключом

Руководство по защите личного ключа

Руководство по импорту сертификата в браузер Firefox

Руководство по импорту сертификата в браузер Internet Explorer

Руководство по импорту сертификата в браузер Opera

Если у вас есть вопросы или комментарии касающиеся информации, размещённой на этой странице, обращайтесь по адресу ca@newman.bas-net.by.

© 2008-2010 ОИПИ НАН Беларуси