На сайте http://ca.grid.kiae.ru/RDIG:
1. заполните формы
2. скачайте на хост, где будут запускаться задачи или необходим доступ в грид скрипт
user_cert-request.sh и форму для бумажной копии запроса на сертификат
3. если получаете сертификат впервые, то в домашнем каталоге создайте .globus
4. Запустите скрипт: sh user_cert-request-13.sh
в процессе работы скрипта будет создан закрытый ключ ~/.globus/userkey.pem. Для него необходимо будет ввести пароль длиною не менее 15 символов. Запомните. Иначе придется начинать процедуру запроса заново. Также необходимо спасти модуль закрытого ключа
Пример:
sh user_cert-request.sh
————————————————————————
Creating the cryptographic keypair for your certificate. The file named
~/.globus/userkey.pem
will contain your private key. This file must not be shared with anyone
and must be kept in a safe place. Never transfer your private key using
plain communication channels (email, telnet sessions, ftp and so on).
Choose strong password for your private key. Remember, CP/CPS states
that the password should be at least 15 characters long.
If you will forget your password no one will help you: your
certificate will become useless.
NEVER USE EMPTY PASSWORD!
NEWER STORE YOUR PASSWORD ALONG WITH THE PRIVATE KEY!
————————————————————————
Press [Enter]…
Enter password for private key:
Verify password:
Private key password should be minimum 15 characters in length.
Enter password for private key:
Verify password:
Generating RSA private key, 1024 bit long modulus
……………++++++
………++++++
e is 65537 (0x10001)
————————————————————————
All done. Your private key is stored in the file
~/.globus/userkey.pem
Your request was automatically sent through the CA Web interface.
You will be mailed back with the serial number of your request.
Then you should completely fill the paper request form and go to your
Registration Authority to complete your request. You will need your
public key modulus:
C06EAAB001 B092FFA5D18C5D7153F8AF0E2DFB715B336794F5AC7B99F9B29CED593CE1B82129E6E0A93BADDB6C95D074076823516275D69AA1CE2ED157E547B943A59B1D5E601749B1C494D3325BD211DD941940FBE1EB76FEC69F7967A4A8F08523587DA6D6B39B752AC0DC7C7D2E39C35B9368895952AA45DF50 D3DB91A797
10 starting digits and 10 ending digits of modulus was separated by
spaces from the rest of the digits for your convinience.
————————————————————————
Press [Enter]…
5. отошлите запрос по адресу
mail < userreq.mail rdig-ca@grid.kiae.ru
Бумажную копию заполните и отнесите ответственным в ОИЯИ лицам (Registration Authority в ОИЯИ, RA)
6. Ваш сертификат придет на указанную почту или его можно забрать здесь http://ca.grid.kiae.ru/RDIG/certificates/valid.html
и далее поместите его в ~/.globus/usercert.pem
7. Проверьте валидность сертификата и закрытого ключа :
cd .globus
/usr/bin/openssl rsa -in userkey.pem -noout -modulus
/usr/bin/openssl x509 -in <your-certificate> -noout -modulus
Результат выполнения команд должен быть одинаков.
Далее :
grid-proxy-init -debug -verify
User Cert File: /afs/jinr.ru/user/g/grom/.globus/usercert.pem
User Key File: /afs/jinr.ru/user/g/grom/.globus/userkey.pem
Trusted CA Cert Dir: /etc/grid-security/certificates/
Output File: /tmp/x509up_u8024
Your identity: /C=RU/O=RDIG/OU=users/OU=jinr.ru/CN=Natalia Gromova
Enter GRID pass phrase for this identity:
Creating proxy …….++++++++++++
……………++++++++++++
Done
Proxy Verify OK
Your proxy is valid until: Wed Jan 16 02:26:54 2013
8. Для размещения Вашего сертификата в браузер его необходимо преобразовать в формат p12 :
/usr/bin/openssl pkcs12 -export -in usercert.pem -inkey userkey.pem -out usercert.p12 -name «My certificate 2022 »
Полученный usercert.p12 разместите в Ваш браузер (для firefox : settings -> Privacy&Security-> Certificates->View Certificates-> import)
—————————————————