Difference: JakZdobycCertyfikatGRIDdlaLHCB (1 vs. 2)

Revision 22011-05-01 - MariuszWitek

Line: 1 to 1
 
META TOPICPARENT name="OprogramowanieLHCb"
Added:
>
>
Opis jak uzyskac certyfikat lub go przedluzyc itp znajduje sie na stronie http://egee.grid.cyfronet.pl/for-users/certyfikaty-gridowe-x.509 Ponizsze informacje sa przydatne ale niektore z nich moga byc nieaktualne.
 To jest opis procedury uzyskiwania certifikatu wirtualnej organizacji (VO) LHCb. Jezeli znajdziesz w nim jakies bledy, albo niescislosci (swiat sie zmienia) zmodyfikuj prosze ten artykul o swoje uwagi - moze uszczedzisz czasu nastepnym osobom.

Revision 12009-01-22 - MariuszWitek

Line: 1 to 1
Added:
>
>
META TOPICPARENT name="OprogramowanieLHCb"
To jest opis procedury uzyskiwania certifikatu wirtualnej organizacji (VO) LHCb. Jezeli znajdziesz w nim jakies bledy, albo niescislosci (swiat sie zmienia) zmodyfikuj prosze ten artykul o swoje uwagi - moze uszczedzisz czasu nastepnym osobom.

Grid to struktura obliczeniowa stworzona na potrzeby eksperymentow przy LHC umozliwiajace zdalne wykonanie zazwyczaj wielu zadan na rozsianych gdzies po swiecie komputerach. Jest zorganizowany w taki sposob, ze kazdy osrodek ktory daje mozliwosc innym wykorzystywania swoich komputerow wybiera ktorym VO (wirtualnym organizacjom) i ile chce zasobow udostepnic. To na ktorych komputerach zostanie wykonane zlecone przez nas zadanie zalezy od tego, jaki certyfikat posiadamy. Majac certyfikat VO lhcb mozemy wykorzystywac wszystkie komputery dla niej przeznaczone, a do tego mozna liczyc, ze jest na nich zainstalowane potrzebne nam oprogramowanie wink

Poniewaz majac taki certyfikat i haslo do niego mozna by calkiem sporo namieszac na powiedzmy 1000 komputerach dostep do nich jest dosyc limitowany. Instytucje o nazwie CA (chyba CertificationAutority) maja zadbac, o to, zeby pozniejsze zamieszanie mozna bylo powiazac z wlascicielem certyfikatu. I to wlasnie CA generuja certyfikat. "Nasze" (najblizsze w tym regionie) CA jest bodajze w Poznaniu, osoba odpowiedzialna za weryfikacje tozsamosci w IFJ jest p. Ozieblo. On skontaktuje sie z wami, albo osoba, ktora podacie w formularzu jako "supervisor", zeby potwierdzic, ze wygenerowaliscie certyfikat i jestescie "zaufani".

Pierwsza czesc opisanej procedury jest wspolna dla wszystkich VO (zazwyczaj do zaimportowania certyfikatu do przegladarki), kolejne moga sie roznic dla VO innego niz LHCb, a czasem nawet nie sa wymagane.

No to zaczynamy:

1.Stworzenie konta: Najpierw potrzebujecie jakiegos konta shellowego na UI - UserInterface - czyli maszynie z ktorej uzytkownik gridu moze wysylac polecenia przyjecia do przetworzenia np 100 zadan. Generalnie sa do naszej dyspozycji dwie takie maszyny: ui.cyf-kr.edu.pl i fwe01.ifj.edu.pl. Zeby dzialac na cyfronetowym UI trzeba sobie zalozyc konto na zeusie, albo aresie (nie pamietam ktory daje dostep do ui) - wypelnic formularz, zebrac podpisy i dostarczyc jakos do cyfronetu. Nie pamietam szczegolow, ale idea jest taka zeby zakladac na IFJ-towym UI - fwe01.ifj.edu.pl Na drugim z nich kontami zarzadza Tadeusz Szymocha (Mozna tez skontaktowac sie z Mariuszem Witkiem).

Tak naprawde, zalozenie konta moze poczekac, bo wygenerowac request mozna na wiekszosci maszyn, ale dobrym pomyslem jest najpierw zalozenie konta na UI, aby pozniej nie przenosic plikow z certyfikatami.

1. Dokladny opis mozna znalezc na stronie http://zeus27.cyf-kr.edu.pl/user_management/cert_info.php

Generujemy request Idziemy na: http://zeus27.cyf-kr.edu.pl/user_management/reqconf.cgi i wypelniamy formularz.

UWAGA!!! Podawajcie prosze WIARYGODNY adres e-mail. Taki, ktory zawsze dziala. Certyfikat zostanie wyslany e-mailem na ten adres, i ze wzgledow bezpieczenstwa (paranoi) jesli serwer pocztowy odbije maila (np. nie przyjmie, bo chwilowo nie dziala) to certyfikat nie jest ponownie wysylany. Co gorzej, jest juz zarejestrowany, wiec bedzie problem z generowaniem innego, tak jak (jak sie okazuje) problemem jest, zeby wyslac go ponownie. Jak ktos nie ma dobrego maila, moge wyslac zaproszenie do zalozenia sobie konta na gmailu. Piszcie.

Wypelniony formularz oferuje nam podejrzenie zawartosci, albo sciagniecie skryptu ktory wygeneruje nam i wysle request o certyfikat we wlasciwym formacie. Nie wyreczajcie skryptu - wygenerujcie certyfikat za jego pomoca, a nie wlasnymi slowami wink - choc pieknie automat, ktory przyjmuje te maile moze sie nie zachwycic wasza inwencja...

Skrypt sciagamy NAJLEPIEJ na wlasnie zalozone konto shellowe na UI. (nie bedzie sie trzeba martwic przenoszenie i zabezpieczanie wygenerowych plikow). Uruchamiamy. Podajemy haslo, KTOREGO NIE ZAPISUJEMY, ALE I NIE ZAPOMINAMY. (jak stracicie haslo, to za nie odpowiadacie, a jak zapomnicie, to nikt (NIKT!!!) go nie przypomni. jedyne wyjscie to ponowna generacja certyfikatu = klopoty i zamieszanie)

Co sie dzieje? - zostanie utworzony katalog ~/.globus z plikami kluczy - zostanie wys“©©any mail do ypoziebl@cyf-kr.edu.pl z daniem utworzenia certyfikatu - w cigu kilku dni powinnimy otrzyma odpowied mailow z za“©©“„ĒÄ…“„Ączonym certyfikatem - który naley zapisa w pliku usercert.pem, w katalogu .globus (zapisac certyfikat najlatwiej chyba jest w taki sposob: - Otwieramy w jednym terminalu polaczenie ssh z fwe01, - vi ~/.globus/usercert.pem naciskamy a (tryb edycji) Teraz zaznaczamy (linux) albo kopiujemy (windows) tekst certyfikatu poczawszy od linijki (razem z wymienionymi) ----BEGINaz do --END--- z innego okna (np programu pocztowego) i wklejamy do wlasciwego okienka z uruchomionym vi (srodkowy klawisz (linux) albo prawy - windows) - naciskamy ESC w q (zapisujemy zmiany) - a teraz trzeba jeszcze zadbac, zeby utworzony plik mial wlasciwe zabezpieczenia przed modyfikacja: chmod 0444 ~/.globus/usercert.pem chmod 0400 ~/.globus/userkey.pem

Teraz mozna sprawdzi czy certyfikat dzia“©©a wykonujc (na UI) polecenie: grid-proxy-init Po tylko nam znanego podaniu hasla powinnismy dostac informacje o wygenerowaniu proxy z odpowiednia waznoscia..

Uzyteczne informacje: Pod tym adresem mozna znalezc informacje o tym, jak np.: sprawdzic waznosc certyfikatu (trzeba co rok dopilowac, zeby nie wygasl), jak przedluzyc waznosc certyfikatu, jak wyesportowac certyfikat do przegladarki... http://egee.grid.cyfronet.pl/for-users/certyfikaty-gridowe-x.509

Z tej wlasnie instrukcji polecam skorzystac zeby wyesportowac certyfikat do uzywanej przegladarki (kazdej uzywane przegladarki, jesli uzywacie kilku na roznych komputerach). I przejsc do procedury rejestracji w LHCb vo. (lub innej, bo wlasnie tutaj drogi w roznych vo zaczynaja sie rozchodzic i opis przestaje byc ogolny)

to be continued wink

-- MariuszWitek - 22 Jan 2009

 
This site is powered by the TWiki collaboration platform Powered by Perl This site is powered by the TWiki collaboration platformCopyright © 2008-2019 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback