Wo und wie werden Zertifikate eingesetzt?
Wofür werden Zertifikate benötigt?
Vor dem Hintergrund von mehr Sicherheit im Internet und beim Einsatz von GRID-Technologie rückt der Einsatz von Zertifikaten immer mehr in den Vordergrund. Für den Zugang zu Datenarchiven mit Modell- und Klimadaten und der Nutzung der dafür vorgesehenen Werkzeuge (z.B. C3Grid) wird ein gültiges D-Grid Zertifikat benötigt. Welche Schritte bis zur produktiven Nutzung von Grid-Ressourcen notwendig und für Nutzer am Institut zutreffend sind, sollen hier beschrieben werden.Wie funktioniert eine PKI (Public Key Infrastructure) ?
Im Folgenden die Schritte bis zur Nutzung von C3Grid Ressourcen ...
Schritt 1: Beschaffung eines D-Grid Zertifikats
Das D-Grid betreibt eine PKI, deren Nutzer notwendigerweise D-Grid Zertifikate einsetzen. Ein solches Zertifikat muss man über unsere RA (Registration Authority) registrieren lassen. Dazu benötigt man eine Vorlage, die mit einem Browser über die Website .... ... zu beantragen ist. Dieses Ur-Zertifikat wird dann unter Vorlage des Personalausweises von Dr. Boris Proppe (ZEDAT) geprüft und freigegeben.Das Zertifikat liegt im Browser vor und muss von dort als Datei in einem dafür üblichen Format abgespeichert werden. An dieser Stelle sollte man das PKCS12-Format wählen. Die so erzeugte Datei hat dann die Endung p12.
Schritt 2: Einrichten des Zertifikats und Zugang zum C3Grid einrichten
Nachdem man ein zugelassenes D-Grid Zeritifikat besitzt, diese noch im Browser befindlich ist, kann man sich damit bei einer VO (vitruelle Organisation) anmelden. Im vorliegenden Fall ist das die C3Grid VO und über folgenden Link erreichbar .... Die Anmeldung erfolgt in mehreren Schritten und erfordert die Eingabe von weiteren persönlichen Daten. Abgeschlossen wird der Vorgang durch den Administrator des C3Grids (Benny Bräuer am AWI). Nach einer Prüfung der Zertifikate und Angaben auf der Anmeldungsseite wird man Teilnehmer am C3Grid und damit wird anschließend auf allen C3Grid Ressourcen der Zugang halbautomatisch angelegt. Das erfordert in der Regel den Eingriff eines Administrators vor Ort und kann dementsprechend wenige Stunden bis einige Tage dauern.Schritt 3: Zugang zu den C3Grid-Ressourcen einrichten
Nachdem man in der C3Grid VO aufgenommen ist, kann man direkt das C3Grid Portal benutzen. Ebenso kann man jetzt den Zugang zu den freigeschalteten Grid-Ressourcen mit den Grid-Werkzeugen benutzen. Dafür benötigt man eine aktuelle Installation der Globus-Software.Vor dem ersten Start der Globussoftware muss das Zertifikat als Schlüssel eingerichtet werden. Dazu verwendet man das Programm openssl und extrahiert den öffentlichen und privaten Schlüssel.
openssl pkcs12 -in mei-serdifigad.p12 -clcerts -out usercert.pem openssl pkcs12 -in mei-serdifigad.p12 -nocerts -out userkey.pemDie so erzeugten beiden Dateien packt man in den Ordner ~/.globus/ und versieht diese mit den richtigen Zugriffsrechten.
chmod 644 usercert.pem chmod 600 userkey.pemJetzt setzt man die Variablen GLOBUS_LOCATION und aktiviert das Zertifikat für die Verbindung mittels grid-proxy-init und kann versuchen, sich mittels gsissh mit der Grid-Ressource zu verbinden. Die Globussoftware ist im zentrale Softwarepool eingerichtet. Mit den folgenden Schritten aktiviert man den Gridzugang
source /net/opt/GlobusToolkit/init-globus.sh grid-proxy-init -verify -debugDanach kann man sich mit einer Grid-Ressource verbinden, z.B.
gsissh -p 2222 mardschana.zib.de
Weiterführende Hinweise
- Zum vereinfachten Zugang mittels ssh/sft/scp sollte man sich die passenden Schlüssel im Ordner ~/.ssh/ der Grid-Ressource einrichten. Das erleichert den Datentransfer ohne Globussoftware, beispielsweise vom ECMWF.
- Die Haltbarkeitsdauer der Zertifikate ist auf ein Jahr begrenzt. Rechtzeitig vor Ablauf erhält man Instruktionen zu derren Verlängerung.
- Am ZIB angesiedelte C3Grid Rechner ... marschana.zib.de, mardschana2.zib.de
- Die Option -valid ... grid-proxy-init -valid 1000:00... verlängert die Nutzungsdauer des Proxyzertifikates und damit die Verbindungsdauer zur C3Grid Ressource
- Auf dem D-Grid Portal erfährt man mehr zur Nutzung des D-Grid