| Zertifizierungsstelle GridKa-CA im Forschungszentrum Karlsruhe (GermanGrid) |
|---|
| Mitglied bei
EUGridPMA
|
| Die Zertifizierungsstelle GridKa-CA im Forschungszentrum Karlsruhe ist Mitglied
der European Grid Policy Management Authority
(EuGridPMA), eine internationale Organisation,
der derzeit circa 30 Länder angehören. Enge Bindungen und Vertrauensstellungen
bestehen weltweit mit der Asia-Pacific
Region (APGridPMA) und der
Americas Grid PMA (TAGPMA),
verbunden über die International
Grid Trust Federation (IGTF). Minimale Anforderungen
an eine Zertifizierungsstelle, sowie das Durchlaufen eines Akkreditierungsverfahren sind die
Voraussetzungen für eine Vertrauensstellung zwischen den verschiedenen
Zertifizierungsstellen.
Die GridKa-CA ist seit 2002 international für wissenschaftliche Projekte anerkannt. Sie stellt Standard X.509 Zertifikate für Benutzer, Rechner und Applikationen in ganz Deutschland aus. |
| ROOT CA Zertifikat der GridKa-CA |
|---|
| Validity Not Before: Jun 11 13:45:54 2003 GMT Not After : Jun 10 13:45:54 2014 GMT |
| Das neue Root Zertifikat der GridKa-CA mit dem selben Hash-Wert dd4b34ea steht hier zum
Download per copy/paste bereit dd4b34ea.0.
Sie können das Zertifikat nach abgeschlossenen Tests wieder direkt in Ihren Browser importieren |
| Bitte löschen Sie vorher das alte GridKa-CA Root Zertifikat in Ihrem Browser |
| Import new GermanGrid Root CA into your Browser |
| Fingerprint des ROOT CA Zertifikats |
|---|
| SHA1 Fingerprint=AF:A0:D1:16:FB:E6:E9:44:9B:22:01:8A:6E:0D:AC:23:A7:DC:CD:A7 |
| MD5 Fingerprint=74:7A:9E:7B:6B:03:5A:FA:FC:BF:70:FB:DD:E9:95:0B |
| Certification Revocation Lists (CRL) |
|---|
| Die Widerrufsliste in PEM-Format: gridka-crl.pem Die Widerrufsliste in DER-Format: gridka-crl.der Für den Import in den Browser: gridka-crl.crl |
| Certificate Policy (CP) und Certification Practice Statement (CPS) |
|---|
| In der Certificate Policy und dem Certification Practice Statement werden die Vorgehensweise und Randbedingungen beschrieben, wann, wie und für wen ein Zertifikat von der Zertifizierungsstelle ausgestellt wird. |
| Hier finden Sie die aktuelle CP/CPS: Version 1.5 gültig seit Juni 2008 |
| Ältere Versionen: Version 1.4 Version 1.3 Version 1.2 Version 1.1 Version 1.0 Version 0.2 Version 0.1 . |
| Wer erhält ein Zertifikat? |
|---|
| Benutzer- und Rechnerzertifikate werden für Teilnehmer der folgenden Projekte, Experimente und Organisationen in Deutschland ausgestellt: |
| Hochenergiephysik Experimente: | Alice Atlas BaBar CDF CMS COMPASS D0 LHCb |
| Internationale/Nationale Projekte: | LHC Computing Grid Project, EGEE, D-GRID, NorduGrid |
| Organisationen: | Liste von Organisationen |
| Wie erzeugt man einen Zertifikats Request? |
|---|
| 1.) über die Weboberfläche der GridKa-CA |
| Die Webseite kann von allen registrierten Organisationen verwendet werden. Bitte nehmen Sie anschliessend Kontakt zu Ihrem RA-Administrator auf. |
| 2.) auf einem Rechner mit OpenSSL Installation: |
| - Perl Skript zum einfachen Erstellen des Request Files (Vielen Dank an Harry Enke) |
| Download Perl Skript |
| Aufruf: |
perl openssl_generate_user_req.pl -u "<Vorname> <Nachname>" -i "<Organisationskürzel>" -r "<RA_Mailadresse>" |
| <Vorname> <Nachname>: Ihr Vorname und Nachname, durch "blank" getrennt. |
| <Organisationskürzel>: Ihr Organisationskürzel (OU), siehe Liste |
| <RA_Mailadresse>: Mailadresse des Verantwortlichen, siehe Liste |
| oder |
| - Request File mit openssl Kommandos erstellen |
| Beschreibung |
| 3.) auf einem Rechner mit globus/gLite Installation |
| Eine Beschreibung finden Sie hier. |
| Was macht man mit dem Request? |
|---|
| Wurde der Request file über die GridKa-CA Oberfläche erzeugt und liegt dem RA-Administrator eine Ausweiskopie vor, so
wird der Request vom RA-Administrator geprüft und genehmigt. Anschliessend wird das Zertifikat von der GridKa-CA ausgestellt und
an der Weboberfläche zum Download bereitgestellt. Über jeden dieser erfolgten Schritte werden Sie per Mail informiert.
Der Download des Zertifikats ist zudem Passwort geschützt. Das Passwort erhalten Sie in der Mail. Wichtig: Bitte verwenden Sie den gleichen Browser in der gleichen Version auf dem gleichen Rechner sowohl zum Erstellen des Requestfiles, als auch zum Download des Zertifikats. |
| Wurde der Request über openssl oder grid-cert-request erzeugt können Sie diesen sowohl an der Weboberfläche der GridKa-CA als PEM Format hochladen, als auch den signierten Request File per Mail an die GridKa-CA schicken. |
| Für Organisationen die an dem Online Genehmigungsverfahren noch nicht teilnehmen ist gegenüber unserer GridKa-CA immer noch die Zusammengehörigkeit zwischen Person und Zertifikat nachzuweisen und ein Identifizierungsverfahren festgelegt, das auch in der Policy unserer Zertifizierungsstelle beschrieben ist. Dieses sieht vor, dass Zertifikate nur mit Genehmigung des Verantwortlichen der entsprechenden Institution ausgestellt werden. Schicken Sie bitte deshalb eine Kopie ihres Personalausweises mit der handschriftlichen Unterschrift des Verantwortlichen per Post an die folgende Adresse: |
| Forschungszentrum Karlsruhe |
| IWR |
| Zertifizierung |
| Hermann-von-Helmholtz-Platz 1 |
| 76344 Eggenstein-Leopoldshafen |
| Konfigurationsdateien für Grid Security Infrastructure |
|---|
| download GridKa GSI RPM |
| beinhaltet folgende Dateien: |
| /etc/grid-security/certificates/dd4b34ea.0 /etc/grid-security/certificates/dd4b34ea.crl_url /etc/grid-security/certificates/dd4b34ea.info /etc/grid-security/certificates/dd4b34ea.namespaces /etc/grid-security/certificates/dd4b34ea.signing_policy /etc/grid-security/globus-host-ssl.conf /etc/grid-security/globus-user-ssl.conf /etc/grid-security/grid-security.conf |
| Verwendung von Openssl |
| Schlüssel und Request mit Openssl erzeugen |
| openssl-gridka.cnf |
| Bei Problemen mit der CA wenden Sie sich bitte an die GridKa-CA. |