Gefördert durch
BMBF Logo

AstroGrid-D Mitgliedschaft


Wie man ein Zertifikat beantragt und Nutzer des AstrGrid-D wird

Kurzübersicht:

  • request.pem - Datei als Attachment an lokale RA mailen
  • Einige Tage später: Zertifikat kommt als Email von der CA, zum Schlüssel nach ~/.globus kopieren
  • Zertifikat konvertieren:
    openssl pkcs12 -export -inkey ~/.globus/userkey.pem -in ~/.globus/usercert.pem -out ~/usercert.p12 -name "p12 user certificate"
  • Zertifikat in Browser importieren
  • Beim VOMRS registrieren

1. User-Zertifikat

Für den Zugang ist zum AstroGrid-D ist ein signiertes X.509-Zertifikat notwendig. Das Zertifikat beantragt man bei der lokalen Registrierungsstelle (Liste), der so genannten "local Registration Authority" (RA), also dem für die Globus-Zertifikate verantwortlichen Mitarbeiter im Institut. Als Antrag werden zwei Dateien erstellt:  ein Zertifikats-Request, der an die RA geschickt wird, sowie eine private, passwort-gesicherte Schlüsseldatei, mit der das Zertifikat dann später bei Benutzung authorisiert werden kann.

Fünf Dinge müssen für den Antrag bekannt sein:
1. Der eigene Name, z. B. "Karl Schwarzschild".
Der Name besteht aus Vornamen und Nachnamen. Falls es mehrere Personen an einem Institut mit dem selben Namen gibt, ist eine Unterscheidung über ein Initial notwendig.
2. Das Institutskürzel,
d. h. die so genannte "OU" (für "Organisational Unit"), z. B. "AIP".
Die List der verwendbaren Kürzel ist in der Liste der RAs vorgegeben. Bei einigen Instituten gibt es zwei Ebenen von OUs, also das Instituts-Kürzel (1. Level) und die Untereinheit (2. Level).
3. Die Email-Adresse der lokalen Root Authority,
wie in der Liste der RAs angegeben.
4. Die Personalausweis- oder Passnummer
um die Identität des Antragsstellers sicherzustellen (sie verbleibt bei der lokalen RA).
5 . Das Passwort.
Ein gutes Passwort ist neun Zeichen oder mehr lang, enthält Sonderzeichen und besteht nicht aus Lexikon-Worten.  Zwischen der Beantragung des Zertifikats und dem Erhalt (bzw. der ersten Benutzung) vergehen einige Tage, in denen man das Passwort nicht vergessen sollte.

Aus dem Namen und dem Institut wird der "distinguished name" (DN) gebildet, der jeden individuellen Benutzer eindeutig identifiziert. Beispiel:
/O=GermanGrid/OU=AIP/CN=Karl Schwarzschild
Der Antrag auf ein Zertifikat wird interaktiv mit einem Programm erzeugt, die sich auch im Globus-Helper-Paket befinden (direkter Download siehe unten). Es gibt zwei Versionen des Programms:

A) Globus-Toolkit nicht vorhanden? OpenSSL!

openssl_generate_user_req.txt herunterladen. (Es handelt sich eigentlich um ein Perl-Skript, die Endung .txt hat technische Gründe)

Falls Globus nicht verfügbar ist, wird zur Erstellung des Schlüssels OpenSSL verwendet, das für alle Unix-Versionen zur Verfügung steht und fast immer installiert ist. Der Aufruf des Skriptes:

perl openssl_generate_user_req.txt -u "<Vorname> <Nachname>" -i <Institutskürzel> -r <RA_Email>

B) Globus-Toolkit vorhanden

generate_user_req.txt herunterladen. (Es handelt sich eigentlich um ein Perl-Skript, die Endung .txt hat technische Gründe)
Falls das Globus-Toolkit lokal installiert ist oder der Benutzer sich auf einer Maschine mit Globus einloggen kann, vereinfacht das Skript den Ablauf, da es die Voreinstellungen für das AstroGrid-D enthält. Der Aufruf:
perl generate_user_req.txt -u "Vorname Nachname"
Beide Skripte fordern den Benutzer während der Erstellung auf, sein Zertifikat-Passwort einzugeben. Die Fehlermeldung unable to write 'random state' kann ignoriert werden. Der "Distinguished Name" wird angezeigt und sollte auf jeden Fall noch einmal sorgfältig auf Tippfehler überprüft werden. Am Ende erzeugt das Skript sie eine Request-Datei mit dem Namen Vorname_Nachname_usercert_request.pem. Falls beim Aufruf Fehler gemacht wurden, ruft man das Skript noch einmal auf, dann allerdings mit der Option -f (für "force"). Diese Option bewirkt, dass die vorhergehende Request- und Schlüssel-Dateien überschrieben werden.

Nach erfolgreich abgeschlossener Erstellung muss die Request-Datei per Email als Attachment an die lokale Registration Authority (RA) geschickt werden. Zur Identifizierung muss man in dieser Email auch die Büro-Telefonnummer und die eigene Ausweis- oder Reisepassnummer angeben. Diese Nummer verbleibt bei der lokalen RA und wird nicht weitergeleitet, die RA muss aber im Zweifelsfall damit die Identität des Anstragsstellers belegen können.
Alle Zertifikatsdateien (userkey.pem, usercert.pem) müssen im Verzeichnis ~/.globus stehen. Dieser Schlüssel sollte aus Sicherheitsgründ nur für den Besitzer lesbar bleiben (permissions 400). Auf keinen Fall darf die Schlüssel-Datei editiert oder überschrieben werden, nachdem der Zertifikat-Request abgeschickt wurde, da das Zertifikat nur mit dem gleichzeitig erzeugten Schlüssel gültig ist. Also darf man auch das Skript zum Erstellen des Request nicht mehr aufrufen, sobald der Request versendet wurde.

Die RA bestätigt nach Erhalt des Zertifikat-Requests dessen Korrektheit, also dass die angegebene Person existiert und der Antrag berechtigt ist. Sie leitet den Request an die Root Certificate-Authority (Root-CA) weiter, für das AstroGrid-D sind das das FZK oder das DFN. Nach etwa drei Tagen erhält der Antragsteller sein von der Root-CA estelltes und authorisiertes Zertifikat als Email. Es wird zusammen mit dem Schlüssel in dem Globus-Zertifikat-Verzeichnis ~/.globus gespeichert.

mv attachment.txt $HOME/.globus/usercert.pem
C) Web Interface

Als neue, einfachere Altenative bietet das FZK auch ein Web Interface an, um ein Zertifikat zu beantragen oder zu erneuern. Der Antrag oder die Abholung erfolgen mit dem Browser - stellen Sie sicher, dass sie jedesmal genau dieselbe Browser-Installation verwenden. Wählt man dieses Verfahren, so wird das Zertifikat dabei in den Browser importiert. Um es für Globus nutzen zu können, muss es exportiert und konvertiert werden. In den meisten Fällen befindet sich die Export-Option des Browsers unter "Preferences [ / Advanced ] / Security". Näheres findet sich in den GridKa Hilfeseiten oder einer separaten Browser-Anleitung des CERN. Das Zertifikat wird dann in der Regel im p12-Format gespeichert. Um dieses Format in das von Globus verwendete "pem" zu konvertieren, nutzt man entweder das

  • Konvertierungsskript des GridKA
  • oder openssl:
    openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem
    openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem

Die beiden resultierenden Dateien werden dann nach $HOME/.globus verschoben.

Für den Zugang zum AstroGrid-D braucht man das signierte Zertifikat, den Schlüssel und das dazu gehörige Kennwort.


2. VOMRS-Registrierung

Um der "virtuellen Organisation" AstroGrid-D beizutreten, muss man sich beim "Virtual Organisation Membership Registration Service" (VOMRS) des AstroGrid-D anmelden. Die Anmeldung ist einfach und erfolgt über die VOMRS-Webseite und eine Email-Bestätigung. Allerdings muss dazu dem verwendeten Webbrowser das signierte Globus-Nutzer-Zertifikat bekannt sein. Sofern das Zertifikat nicht mit Methode 1.C) (Browser) beantrag wurde, wird es daher nach Erhalt mit OpenSSL aus dem "pem"-Format zusätzlich in das "p12"-Format konvertiert, das in den Browser importiert werden kann:
openssl pkcs12 -export -inkey ~/.globus/userkey.pem -in ~/.globus/usercert.pem -out ~/usercert.p12 -name "p12 user certificate"
Der Import des p12-Zertifikats hängt vom verwendeten Browser ab. Wie bereits in 1.C) beschrieben, befinden sich die Zertifikats-Optionen unter "Preferences / [Advanced / ]  Security". Die genaue Vorgehensweise wird Schritt für Schritt in einer separaten Browser-Anleitung erläutert.
Ist das Zertifikat registriert, so kann die Webseite des AstroGrid-D VOMRS aufgerufen werden, um sich dort einzutragen. Wenn das VORMS mit einer Fehlermeldung antwortet, ist das Zertifikat nicht korrekt im Browser installiert (oder es wird ein anderer Browser verwendet). Die weiteren Schritte werden dort im Rahmen der Anmeldung erläutert. Die Registration erfordert eine Bestätigung durch das VOMRS-Management am AIP, die innerhalb von ein bis zwei Tagen erfolgen sollte.

Nur User, die im VOMRS registriert sind, erhalten auch Zugriffserlaubnis auf die verteilten Grid-Ressourcen (also Rechner, Cluster usw.), unter Umständen eingeschränkt je nach ihrer Virtuellen Organisation innerhalb des AstroGrid-D. Die Nutztung einer spezifischen Ressource ist erst möglich, wenn der "distinguished name" (DN) aus dem VOMRS in die lokale Zugangsdatei (grid-mapfile) übernommen wurde. Es kann einige Zeit dauern, bis diese Datei auf allen Maschinen des Grids aktualisiert ist.

3. Zugang zum Grid

Ist man im VOMRS registriert und wurden die lokalen grid-mapfiles aktualisiert, so bekommt man auf den meisten Ressourcen des AstroGrid-D Zugang unter einem überall identischen Benutzernamen (agdusr###). Die Benutzung von Globus erfolgt über einen Rechner, auf dem das Globus-Toolkit installiert und lauffähig ist. Die Installation des Globus-Paketes auf der lokalen Maschine ist nicht vorausgesetzt, aber hilfreich. Andernfalls erfolgt der Zugang am einfachsten über ein Remote-Logon auf einer Maschine mit Globus.

Eingeschränkte, aber plattformunabhängige Funktionalität bietet ein Java-Client, das Grid Application Toolkit .

Die Befehle zur tatsächlichen Bedienung des Globus-Toolkit sind sehr umfangreich. Einen ersten Einstieg bietet das IBM redbook SG246778, "Introduction to Grid Computing" (3,3 MB, 300 Seiten).

4. Fehler und Fragen

Was passiert, wenn ich meinen Schlüssel überschreibe oder mein Passwort vergesse?
Das Zertifikat kann dann nicht mehr verwendet werden. Nach Meldung bei der lokalen RA wird das alte Zertifikat für ungültig erklärt. Mit der oben beschriebenen Methode muss ein neuer Certificate Request erstellt werden. Diese Dinge kommen vor.
Wie lange ist mein Zertifikat gültig?
Ein Jahr.
Was macht Globus mit meinem Zertifikat?
Über die so genannte "Public Key Infrastructure" (PKI) und die Root-Certificate Authority wird die die Authorisierung und die Gültigkeit der Zertifikate und  sicher gestellt. Der Globus-Client des Benutzers prüft so das Zertifikat der kontaktierten Ressource und umgekehrt.
Kann ich mein Zertifikat noch anders verwenden?
Der X.509-Standard ist weit verbreitet und hat vielfältige Anwendungen, zum Beispiel zum Signieren von Dokumenten, etwa mit OpenOffice
Was ist .pem? Und was .p12?
Mit .pem wird ein File bezeichnet, dass ein X.509-Zertifikat in Base64-Kodierung enthält. In einer .p12-Datei (PKCS#12, "Personal Information Exchange Syntax Standard") wird der Schlüssel gleich mit eingebunden, was auch bedeutet, dass man auf diese Datei aufpassen muss wie auf einen Schlüssel, während das Zertifikat selbst nicht sicherheitskritisch ist.
Warum soll ich auf meinen Schlüssel aufpassen?
Wenn der Schlüssel bekannt ist, ist es prinzipiell möglich, ein Schlüssel-Passwort mit numerischen Methoden zu errechnen, z. B. durch einfaches Ausprobieren ("brute force"). Daher wird empfohlen, einen langen Schlüssel (>= 9 Zeichen) mit Sonderzeichen (vergrößerte Basis der möglichen Kombinationen) zu verwenden.