sophie nicoud et jean-luc archimbaud meeting wp6 lyon 31/01/011 certificats globus et datagrid...
TRANSCRIPT
Sophie Nicoud et Jean-Luc Archimbaud Meeting WP6 Lyon 31/01/01
1
Certificats Globus et DataGrid France
Certificats dans globusPour les utilisateurs et pour les serveursPar défaut : délivrés par l’autorité de certification Globus (US)Logiciel Globus peut utiliser d’autres autorités de certification
Décisions réunions CERN et MilanNe pas utiliser Globus comme autorité de certification : on (Europe) a
aucun contrôle et les procédures sont trop laxistesUtiliser les autorités de certification de la communauté existantes dans les
différents paysVérifier que ces autorités ont des procédures sécurisées
Actuellement en FranceUtilisation de l’autorité de certification CNRS-TestC=FR O=CNRS OU=Labo CN=Prénom Nom Email=Adresse
électronique
Sophie Nicoud et Jean-Luc Archimbaud Meeting WP6 Lyon 31/01/01
2
Certificats Globus et DataGrid France
Procédure actuelle – Certificat personnel Formulaire sur marianne.in2p3.fr Mail à Sophie Nicoud (valide la demande) et la transmet à l’autorité
d’enregistrement de CNRS-Test (UREC Grenoble ou Paris) Formulaire sur services.cnrs.fr Intégrer le certificat dans Globus
Procédure actuelle – Certificat serveur Posséder un certificat personnel Formulaire sur marianne.in2p3.fr Intégrer le certificat dans Globus
Procédure actuelle – Certificat de l’autorité de certification Lien sur marianne.in2p3.fr Intégrer le certificat dans Globus
Sophie Nicoud et Jean-Luc Archimbaud Meeting WP6 Lyon 31/01/01
3
Certificats Globus et DataGrid France
En mars – avril : DataGrid France : un des sites pilotes pour l’autorité de certification CNRS Arborescences d’autorités de certification
CNRS-Piloteo CNRS-Pilote-Standardo CNRS-Pilote-Pluso CNRS-Pilote-Projets : sera utilisée pour DataGrid
Autorité d’enregistrement : Sophie Nicoud (ou ?) Procédures pour délivrer les certificats pourront peut-être être adaptées à Globus
Certificats : C=FR O=CNRS ou EXTERNE OU=CNRS-Projet-DataGrid OU=labo …
Avantages d’utiliser les autorités existantes : Ne pas refaire tout le travail d’autorité de certification Avoir des procédures pour délivrer les certificats fiables et sécurisées : l’autorité
devrait facilement être acceptée par les autres pays et le CERN
Sophie Nicoud et Jean-Luc Archimbaud Meeting WP6 Lyon 31/01/01
4
Certificats Globus et DataGrid France
Intégrer les certificats dans Globus – Procédure actuelleCertificat personnel
Convertir le certificat format PKCS#12 au format PEM Obtenir le certificat utilisateur dans ~utilisateur/.globus/usercert.pem
openssl pkcs12 –clcerts -nokeys -in cert.p12 -out usercert.pem
Obtenir la clé privé dans ~utilisateur/.globus/userkey.pemopenssl pkcs12 -nocerts -in cert.p12 -out userkey.pem
Le propriétaire et les droits d’accès Utilisateur 400 pour userkey.pem Utilisateur 644 pour usercert.pem
Sophie Nicoud et Jean-Luc Archimbaud Meeting WP6 Lyon 31/01/01
5
Certificats Globus et DataGrid France
Intégrer les certificats dans Globus – Procédure actuelleCertificat serveur
Cp serveur.domaine.pem /deploy-dir/etc/globus-gatekeeper.key Cp serveur.domaine.crt /deploy-dir/etc/globus-gatekeeper.cert Le propriétaire et les droits d’accès
root 400 globus-gatekeeper.key root 644 globus-gatekeeper.cert
Certificat de l’autorité de certification Cp certca.pem /deploy-dir/share/certificates/1a8dd2c6.0 Cp certca.pem /install-dir/share/certificates/1a8dd2c6.0 Le propriétaire et les droits d’accès
globus 644
Pénible mais provisoire
Sophie Nicoud et Jean-Luc Archimbaud Meeting WP6 Lyon 31/01/01
6
Certificats Globus et DataGrid France
ca-signing-policy.conf# EACL entry #1|
access_id_CA X509
'/[email protected]/CN=CNRS-Test/OU=UREC/O=CNRS/C=FR'
pos_rights globus CA:sign
cond_subjects globus
' "/*/OU=UREC/O=CNRS/C=FR""/*/OU=ISN/O=CNRS/C=FR""/*/OU=LPC/O=CNRS/C=FR" '
grid-mapfile" /CN=Sophie Nicoud/[email protected]/OU=UREC/O=CNRS/C=FR" griduser
" /CN=Yannick Legre/[email protected]/OU=LPC/O=CNRS/C=FR" yannick
…
Et la liste de révocation ?