Zertifizierungsstelle GridKa-CA im KIT (GermanGrid)
Mitglied bei EUGridPMA

Die Zertifizierungsstelle GridKa-CA im KIT ist Mitglied der European Grid Policy Management Authority (EuGridPMA), einer internationalen Organisation, der mehr als 40 Länder in Europa und dem europäischen Umland angehören. Enge Bindungen und Vertrauensstellungen bestehen weltweit mit der Asia-Pacific Region (APGridPMA) und der Americas Grid PMA (TAGPMA), verbunden über die International Grid Trust Federation (IGTF). Ein Akkreditierungsverfahren und die Akzeptanz von minimalen Anforderungen an eine Zertifizierungsstelle bilden die Basis für eine Vertrauensstellung zwischen diesen verschiedenen Zertifizierungsstellen.

Die GridKa-CA ist seit 2002 international für wissenschaftliche Projekte anerkannt. Sie stellt Standard X.509 Zertifikate für Benutzer, Rechner und Applikationen für Forschungseinrichtungen, Universitäten und einige Industrieunternehmen in Deutschland aus.

 

ROOT CA Zertifikat der GridKa-CA
Neues Root-CA Zertifikat:

Not Before: Jun 11 13:45:54 2003 GMT
Not After:   Jun 10 13:45:54 2023 GMT

Das Root Zertifikat der GridKa-CA hat den Hash-Wert 'dd4b34ea', seit Openssl version 1.0 noch zusätzlich '7ecb2657'. Die Zertifikate sind jedoch identisch
Download per copy/paste in PEM Format:
dd4b34ea.pem
Download per copy/paste in DER Format:
dd4b34ea.der
Bitte löschen Sie vorher das alte GridKa-CA Root Zertifikat aus Ihrem Browser, sowie alle Serverzertifikate, die mit der GridKa-CA in Verbindung stehen. Schließen danach den Browser und öffnen ihn erneut. Danach können Sie das neue Zertifikat als Zertifizierungsstelle importieren.

Sie können das Zertifikat auch direkt in Ihren Browser importieren:

Importieren des neuen GridKa-CA Zertifikats
Bitte auch hier zuvor das alte GridKa-CA Root Zertifikat aus Ihrem Browser löschen, sowie alle Serverzertifikate, die mit der GridKa-CA in Verbindung stehen. Schließen danach den Browser und öffnen ihn erneut. Danach können Sie das neue Zertifikat als Zertifizierungstelle importieren.
Altes Root-CA Zertifikat:

Not Before: Jun 11 13:45:54 2003 GMT
Not After:   Jun 10 13:45:54 2014 GMT

Das Root Zertifikat der GridKa-CA mit dem Hash-Wert 'dd4b34ea' bzw. '7ecb2657' steht hier zum Download per copy/paste bereit:
dd4b34ea.0.old identisch mit 7ecb2657.0.old
(Ab Openssl version 1.0 wird ein anderer Hash-Wert erzeugt, es handelt sich aber um dasselbe Zertifikat)

 

Fingerprints der ROOT CA Zertifikate
Neues Zertifikat:
SHA1 Fingerprint=82:A7:F9:7C:39:CD:21:18:9E:0E:39:27:51:D6:05:AC:A7:F6:BD:BD
SHA-256 Fingerprint=6B:7F:0E:7F:61:DC:84:19:B1:96:94:C1:23:59:7C:41:FB:F7:2D:FE:B5:19:0D:16:09:F3:78:7D:BA:DC:85:D4
Altes Zertifikat:
SHA1 Fingerprint=AF:A0:D1:16:FB:E6:E9:44:9B:22:01:8A:6E:0D:AC:23:A7:DC:CD:A7

 

Certification Revocation Lists (CRL)
Die Widerrufsliste in PEM-Format:   gridka-crl.pem
Die Widerrufsliste in DER-Format:   gridka-crl.der
Für den Import in den Browser:   gridka-crl.crl

 

Certificate Policy (CP) und Certification Practice Statement (CPS)
 
In der Certificate Policy und dem Certification Practice Statement werden die Vorgehensweise und Randbedingungen beschrieben, wann, wie und für wen ein Zertifikat von der Zertifizierungsstelle ausgestellt wird.
 
Hier finden Sie die aktuelle CP/CPS: Version 1.9 gültig seit 28. August 2013
 
Ältere Versionen: Version 1.8   Version 1.7   Version 1.6   Version 1.5   Version 1.4   Version 1.3   Version 1.2   Version 1.1   Version 1.0   Version 0.2   Version 0.1 .

 

Wer erhält ein Zertifikat?
Benutzer- und Rechnerzertifikate werden für Teilnehmer der folgenden Projekte, Experimente und Organisationen in Deutschland ausgestellt:
Hochenergiephysik Experimente:Alice Atlas BaBar CDF CMS COMPASS D0 LHCb S-Belle
Internationale/Nationale Projekte:LHC Computing Grid Project EGI/NGI-DE bwGRiD NorduGrid Auger
Organisationen:Liste von Organisationen

 

Wie erzeugt man einen Zertifikats Request?
 
1.) Über die Weboberfläche der GridKa-CA
Die Webseite kann von allen registrierten Organisationen verwendet werden. Bitte füllen Sie nach der Erstellung Ihres ersten elektronischen Requests für ein persönliches Zertifikat dieses Formular aus: Gridka-CA Formular und geben Sie es persönlich bei Ihrer Registrierungs Autorität (RA) ab. Bringen Sie bitte auch Ihr Ausweisdokument mit, damit Ihre Identität überprüft werden kann.
 
2.) Auf einem Rechner mit OpenSSL Installation:
   - Request File mit openssl Kommandos erstellen
   Beschreibung
 
3.) Auf einem Rechner mit globus/gLite Installation
Eine Beschreibung finden Sie hier.

 

Was macht man mit dem Request?
Wurde der Request über die GridKa-CA Oberfläche erzeugt, so wird er automatisch an die GridKa-CA übermittelt. Danach wird bei Ihrem ersten Request Ihre Identität von der RA geprüft, wie oben unter 1.) beschrieben. Der elektronische Request wird sodann von der RA geprüft und genehmigt (oder verworfen, falls er Fehler enthält). Anschliessend wird das Zertifikat von der GridKa-CA ausgestellt und an der Weboberfläche zum Download bereitgestellt. Über jeden dieser erfolgten Schritte werden Sie per Mail informiert. Der Download des Zertifikats ist durch ein Passwort geschützt, dieses erhalten Sie in einer Mail zusammen mit dem Link zum Download.

Wichtig: Bitte verwenden Sie den gleichen Browser in der gleichen Version auf dem gleichen Rechner sowohl zum Erstellen des Requests, als auch zum Download des Zertifikats.
Wurde der Request über openssl oder grid-cert-request erzeugt können Sie diesen entweder an der Weboberfläche der GridKa-CA im PEM-Format hochladen, oder den signierten Request per Mail an die GridKa-CA schicken.

 

GridKa-CA Dateien für Grid Security Infrastructure
download GridKa GSI TAR
beinhaltet folgende Dateien:
  ca_GermanGrid-1.54/
  ca_GermanGrid-1.54/GermanGrid.crl_url
  ca_GermanGrid-1.54/GermanGrid.signing_policy
  ca_GermanGrid-1.54/dd4b34ea.signing_policy
  ca_GermanGrid-1.54/7ecb2657.signing_policy
  ca_GermanGrid-1.54/GermanGrid.namespaces
  ca_GermanGrid-1.54/7ecb2657.0
  ca_GermanGrid-1.54/GermanGrid.pem
  ca_GermanGrid-1.54/dd4b34ea.0
  ca_GermanGrid-1.54/GermanGrid.info
  ca_GermanGrid-1.54/dd4b34ea.namespaces
  ca_GermanGrid-1.54/7ecb2657.namespaces
 
Verwendung von Openssl
Schlüssel und Request mit Openssl erzeugen
openssl-gridka.cnf


 Bei Problemen mit der CA wenden Sie sich bitte an die GridKa-CA.