| Zertifizierungsstelle GridKa-CA im KIT (GermanGrid) |
|---|
| Mitglied bei
EUGridPMA
|
| Die Zertifizierungsstelle GridKa-CA im KIT ist Mitglied
der European Grid Policy Management Authority
(EuGridPMA), einer internationalen Organisation,
der mehr als 40 Länder in Europa und dem europäischen Umland angehören. Enge Bindungen und Vertrauensstellungen
bestehen weltweit mit der Asia-Pacific
Region (APGridPMA) und der
Americas Grid PMA (TAGPMA),
verbunden über die International
Grid Trust Federation (IGTF). Ein Akkreditierungsverfahren und die Akzeptanz von minimalen Anforderungen
an eine Zertifizierungsstelle bilden die Basis
für eine Vertrauensstellung zwischen diesen verschiedenen
Zertifizierungsstellen.
Die GridKa-CA ist seit 2002 international für wissenschaftliche Projekte anerkannt. Sie stellt Standard X.509 Zertifikate für Benutzer, Rechner und Applikationen für Forschungseinrichtungen, Universitäten und einige Industrieunternehmen in Deutschland aus. |
| ROOT CA Zertifikat der GridKa-CA |
|---|
| Validity Not Before: Jun 11 13:45:54 2003 GMT Not After: Jun 10 13:45:54 2014 GMT |
| Das Root Zertifikat der GridKa-CA mit dem Hash-Wert 'dd4b34ea' bzw.
'7ecb2657' (Ab Openssl version 1.0 wird ein anderer Hash-Wert erzeugt, es handelt sich aber um dasselbe Zertifikat) steht hier zum
Download per copy/paste bereit: dd4b34ea.0 bzw. 7ecb2657.0 Sie können das Zertifikat auch direkt in Ihren Browser importieren |
| Import new GermanGrid Root CA into your Browser |
| Bitte löschen Sie eventuell vorher das alte GridKa-CA Root Zertifikat aus Ihrem Browser |
| Fingerprint des ROOT CA Zertifikats |
|---|
| SHA1 Fingerprint=AF:A0:D1:16:FB:E6:E9:44:9B:22:01:8A:6E:0D:AC:23:A7:DC:CD:A7 |
| MD5 Fingerprint=74:7A:9E:7B:6B:03:5A:FA:FC:BF:70:FB:DD:E9:95:0B |
| Certification Revocation Lists (CRL) |
|---|
| Die Widerrufsliste in PEM-Format: gridka-crl.pem Die Widerrufsliste in DER-Format: gridka-crl.der Für den Import in den Browser: gridka-crl.crl |
| Certificate Policy (CP) und Certification Practice Statement (CPS) |
|---|
| In der Certificate Policy und dem Certification Practice Statement werden die Vorgehensweise und Randbedingungen beschrieben, wann, wie und für wen ein Zertifikat von der Zertifizierungsstelle ausgestellt wird. |
| Hier finden Sie die aktuelle CP/CPS: Version 1.8 gültig seit 12. März 2013 |
| Ältere Versionen: Version 1.7 Version 1.6 Version 1.5 Version 1.4 Version 1.3 Version 1.2 Version 1.1 Version 1.0 Version 0.2 Version 0.1 . |
| Wer erhält ein Zertifikat? |
|---|
| Benutzer- und Rechnerzertifikate werden für Teilnehmer der folgenden Projekte, Experimente und Organisationen in Deutschland ausgestellt: |
| Hochenergiephysik Experimente: | Alice Atlas BaBar CDF CMS COMPASS D0 LHCb |
| Internationale/Nationale Projekte: | LHC Computing Grid Project EGI/NGI-DE bwGRiD NorduGrid |
| Organisationen: | Liste von Organisationen |
| Wie erzeugt man einen Zertifikats Request? |
|---|
| 1.) über die Weboberfläche der GridKa-CA |
| Die Webseite kann von allen registrierten Organisationen verwendet werden. Bitte füllen Sie nach der Erstellung Ihres ersten elektronischen Requests für ein persönliches Zertifikat dieses Formular aus: Gridka-CA Formular und geben Sie es persönlich bei Ihrer Registrierungs Autorität (RA) ab. Bringen Sie bitte auch Ihr Ausweisdokument mit, damit Ihre Identität überprüft werden kann. |
| 2.) auf einem Rechner mit OpenSSL Installation: |
| - Perl Skript zum einfachen Erstellen des Request Files (Vielen Dank an Harry Enke) |
| Download Perl Skript |
| Aufruf: |
perl openssl_generate_user_req.pl -u "<Vorname> <Nachname>" -i "<Organisationskürzel>" -r "<RA_Mailadresse>" |
| <Vorname> <Nachname>: Ihr Vorname und Nachname, durch "blank" getrennt. |
| <Organisationskürzel>: Ihr Organisationskürzel (OU), siehe Liste |
| <RA_Mailadresse>: Mailadresse des Verantwortlichen, siehe Liste |
| oder |
| - Request File mit openssl Kommandos erstellen |
| Beschreibung |
| 3.) auf einem Rechner mit globus/gLite Installation |
| Eine Beschreibung finden Sie hier. |
| Was macht man mit dem Request? |
|---|
| Wurde der Request über die GridKa-CA Oberfläche erzeugt, so wird er automatisch an die GridKa-CA übermittelt.
Danach wird bei Ihrem ersten Request Ihre Identität von der RA geprüft, wie oben unter 1.) beschrieben.
Der elektronische Request wird sodann von der RA geprüft und genehmigt (oder verworfen, falls er Fehler enthält).
Anschliessend wird das Zertifikat von der GridKa-CA ausgestellt und an der Weboberfläche zum Download bereitgestellt.
Über jeden dieser erfolgten Schritte werden Sie per Mail informiert.
Der Download des Zertifikats ist durch ein Passwort geschützt, dieses erhalten Sie in einer Mail zusammen mit dem Link zum Download. Wichtig: Bitte verwenden Sie den gleichen Browser in der gleichen Version auf dem gleichen Rechner sowohl zum Erstellen des Requests, als auch zum Download des Zertifikats. |
| Wurde der Request über openssl oder grid-cert-request erzeugt können Sie diesen entweder an der Weboberfläche der GridKa-CA im PEM-Format hochladen, oder den signierten Request per Mail an die GridKa-CA schicken. |
| Konfigurationsdateien für Grid Security Infrastructure |
|---|
| download GridKa GSI RPM |
| beinhaltet folgende Dateien: |
| /etc/grid-security/certificates/dd4b34ea.0 /etc/grid-security/certificates/dd4b34ea.crl_url /etc/grid-security/certificates/dd4b34ea.info /etc/grid-security/certificates/dd4b34ea.namespaces /etc/grid-security/certificates/dd4b34ea.signing_policy /etc/grid-security/globus-host-ssl.conf /etc/grid-security/globus-user-ssl.conf /etc/grid-security/grid-security.conf |
| Verwendung von Openssl |
| Schlüssel und Request mit Openssl erzeugen |
| openssl-gridka.cnf |
| Bei Problemen mit der CA wenden Sie sich bitte an die GridKa-CA. |