Beantragung eines signierten Grid-Zertifikats

Da die Authentifikation und Autorisierung der im Grid-Bereich tätigen Personen und Ressourcen über eine sog. Public Key Infrastructure (PKI) durchgeführt wird, werden für die Teilnahme am Grid Computing Zertifikate benötigt, die den Vorschriften der European Policy Management Authority for Grid Authentication in e-Science (EUGridPMA) genügen. Durch die Zusammenarbeit der EUGridPMA mit den entsprechenden Vereinigungen für den amerikanischen (TAGPMA) und asiatisch-pazifischen (APGridPMA) Raum werden diese Zertifikate im wissenschaftlichen Bereich weltweit akzeptiert.

Für Deutschland sind die DFN-Verein und das Forschungszentrum Karlsruhe (FZK) Mitglied der EUGridPMA. Diese betreiben eine sog. Certification Authority (CA), die berechtigt ist, eine Zertifizierung auf Grundlage der EUGridPMA-Vorgaben vorzunehmen. Um ein elektronisches Zertifikat verlässlich mit einer Person oder einer Ressource zu identifizieren, ist es notwendig, das der Zertifikatsinhaber bzw. ein Ressourcenverantwortlicher persönlich bei einer dieser CAs erscheint und sich mittels eines Ausweispapiers authentifiziert.
Um diesen Vorgang für die Nutzer zu vereinfachen, wurden sog. Registration Authorities (RA) eingerichtet, die diesen Vorgang im Auftrag der CAs übernehmen können. Das LRZ ist akkreditiert, eine RA in Rahmen der DFN-PKI zu betreiben, die neben dem LRZ auch für die drei Münchner Universitäten zuständig ist.

Neben diesen klassischen X.509 Zertifikaten können auch kurzlebige Zertifikate benutzt werden. Diese können vom "Short Lived Credential Service", SLCS, des DFN abgerufen werden, wenn Ihre Institution einen sog. Identity Provider beim DFN registriert hat. Der Vorteil ist, dass Sie dann die Zertifikate bequem vom Schreibtisch aus ordern können, ohne extra eine RA aufsuchen zu müssen. Der Nachteil liegt in der auf ca. 11 Tage begrenzten Gültigkeit der Zertifikate.

Beantragung von kurzlebigen Zertifikaten

Sie müssen nur zum SLCS des DFN surfen und den Anweisungen dort folgen. Viele Eingaben kann Ihr Web-Browser für Sie speichern, sodass Sie beim nächsten Aufruf kaum mehr etwas eingeben müssen. Dieser flash Film (mit englischer Tonspur!) erklärt, was hinter den Kulissen passiert.

Erzeugung eines Zertifikatsantrags

Um ein Zertifikat zu erhalten, muss zunächst ein Zertifikatsantrag erstellt werden. Am einfachsten wird dazu ein Browser verwendet, mit dem Zertifikate erzeugt werden können, wie etwa Firefox 3.0 or höher (3.5 empfohlen). Dazu sind die folgenden Schritten notwendig:

Gehen Sie auf die Webseite LRZ Grid RA . Dort muss der Karteireiter "Zertifikate" gewählt werden, nachdem die Seite geladen ist.
Drücken Sie den Knopf "Nutzerzertifikat". Die folgende Seite enthält ein Formular, bei dem alle Einträge ausgefüllt werden sollten, die mit einem '*' gekennzeichnet sind. Die PIN wird benötigt, falls Sie ihr Zertifikat sperren wollen.
Wichtig ist, die entsprechende Institution aus dem Drop-Down-Menü zu wählen:
- Leibniz-Rechenzentrum
- Universität der Bundeswehr
- Technische Universität
- Ludwig-Maximilians-Universität
Wenn Sie fertig sind, drücken Sie den Knopf "Weiter" am Ende der Seite.
Eine Seite erscheint, die die Details enthält, die Sie gerade eingegeben haben und Sie werden gebeten zu bestätigen, dass die Eingaben korrekt sind. Falls Sie etwas ändern möchten, sollten die den Knopf "Ändern" drücken, anderenfalls "Bestätigen". Sie sehen eine Seite wie diese:
Nachdem dieser Prozess beendet ist, wird eine neue Webseite geladen. Drücken Sie auf den Knopf "Zertifikatantrag anzeigen", um ein Formular (PDF) zu erhalten, welches Sie ausdrucken und ausfüllen müssen. Speichern Sie dieses Formular und klicken Sie auf "Beenden", um die Sitzung abzuschließen. Dieses Formular müssen Sie nun persönlich der Registration Authority vorlegen zusammen mit einem Lichtbildausweis (Personalausweis, Reisepass, Führerschein, etc.) sowie einem Nachweis für die Institutszugehörigkeit. Um einen Termin zu vereinbaren, senden Sie bitte eine E-mail an grid-ra@lrz.de.
Nachdem Sie das Dokument vorgelegt haben, erhalten Sie eine E-mail mit der Bestätigung, dass Ihr Zertifikat erfolgreich verarbeitet wurde. Die E-mail enthält auf zwei Links, von denen Sie der erste auf die LRZ Grid-RA Webseite bringt, mit der Sie die DFN Zertifikate in Ihrem Browser installieren können. Der zweite Link erlaubt den Zugriff auf Ihr User-Zertifikat. Klicken Sie dazu auf "Zertifikat importieren", um das Zertifikat in Ihren Browser zu importieren.
Im Browser (z.B. Firefox) sollte man ein "master password" setzen (Einstellungen.. (Preferences..) - Sicherheit (Security) ).

Das Zertifikat extrahieren

Um Ihr Zertifikat aus dem Browser zu extrahieren, führen Sie die folgenden Schritte aus:

Gehen Sie zu den "Einstellungen" im Browser und wählen Sie den Bereich "erweitert". Klicken Sie auf "Zertifikate anzeiten".
Im neuen Fenster wählen Sie "Ihre Zertifikate". Dort finden Sie einen Eintrag mit Ihrem Namen unter der Kategorie "DFN-Verein", wie hier dargestellt:
Wählen Sie das Zertifikat aus und klicken Sie auf den Knopf "Sichern...". Sichern Sie das Zertifikat in einem sicheren Verzeichnis unter dem Namenusercert.p12. Sie werden nach einem Passwort für das Zertifikat gefragt, das Sie nicht verlieren sollten.

userkey.pem, usercert.pem

Das Zertifikat mit Globus benutzen

Für diesen Schritt sollten Sie ein Terminal-Fenster öffnen und sicherstellen, dass Sie OpenSSL installiert haben, das Sie von der OpenSSL Website bekommen können. Gehen Sie zu dem Verzeichnis, in dem Sie die usercert.p12-Datei gespeichert haben und tippen Sie die folgenden Kommandos ein:

Um Ihr Zertifikat aus der usercert.p12-Datei zu extrahieren und in usercert.pem zu speichern:
openssl pkcs12 -clcerts -nokeys -in usercert.p12 -out usercert.pem
Sie werden einmalig nach dem Nutzerzertifikat-Import-Passwort gefragt (das ist dasjenige, das Sie für den Export aus dem Browser eingegeben haben).
Um Ihren privaten Schlüssel aus der usercert.p12-Datei zu extrahieren und in userkey.pem zu speichern:
openssl pkcs12 -nocerts -in usercert.p12 -out userkey.pem
Sie werden einmalig nach dem Nutzerzertifikat-Import-Passwort gefragt und (zweimal) nach einem neuen Passwort für den privaten Schlüssel in PEM-Format.
Sie sollten die Berechtigungen für die erzeugten Files folgendermaßen setzen:
chmod 0400 userkey.pem

chmod 0600 usercert.pem

Die Dateien usercert.pem und userkey.pem sollten im .globus-Verzeichnis in Ihrem Home-Verzeichnis abgelegt werden (UNIX-Maschine). Auf einer Windows-Maschine befindet sich das entsprechende Verzeichnis unter

\Documents and Settings\{Your Username}\.globus

p12 Datei von den pem Dateien:

openssl pkcs12 -export -inkey userkey.pem -out gsisshterm.p12 -name "Firstname Lastname" -in usercert.pem

Hinweise zum Umgang mit dem privaten Schlüssel eines persönlichen Zertifikats

Der private Schüssel ermöglicht Ihre Identifikation im Grid. Das bedeutet, dass eine Person, die in den Besitz Ihres privaten Schlüssels gelangt, sich für Sie ausgeben kann. Stellen Sie deshalb unbedingt sicher, dass der private Schlüssel ausschließlich Ihnen allein zugänglich ist. Auf Linux-Systemen etwa sind alle Zugriffsrechte für group oder other zu löschen. Geben Sie das Passwort für ihren privaten Schlüssel an keine anderen Personen weiter und sorgen Sie dafür, das es auch nicht aus Versehen in falsche Hände geraten kann.

Die Gültigkeitsdauer für DFN-Zertifikate beträgt standardmäßig ein Jahr und muss danach auf die beschriebene Weise erneuert werden. Falls das bereits vorgelegte Ausweisdokument noch gültig ist, ist ein nochmaliges Erscheinen am LRZ nicht notwendig.

Falls Sie weitere Fragen haben, wenden Sie sich bitte an das LRZ Grid Team.

Darüber hinaus ist es ratsam, sich mit der Funktionsweise einer PKI vertraut zu machen (Policies, CRLs, etc.). Allgemeine Informationen zu Zertifikaten und der Zertifizierung gibt es u.a. am LRZ (Verschlüsselung, digitale Signaturen, Zertifizierung) bzw. beim DFN.