Tags:
, view all tags

Instalação de uma CA local

Description

Instalação de uma CA local para testes. Em uma máquina de teste (um node, por exemplo): 
mkdir Globus-Simple-CA
cd /tmp/
wget http://physics.bu.edu/pacman/sample_cache/tarballs/pacman-latest.tar.gz
tar -xvzf pacman-latest.tar.gz
cd pacman-*
source setup.sh
cd $HOME/Globus-Simple-CA
VDTSETUP_AGREE_TO_LICENSES=y
export VDTSETUP_AGREE_TO_LICENSES
pacman -trust-all-caches -get http://vdt.cs.wisc.edu/vdt_200_cache:Globus-Simple-CA
su
source setup.sh
globus/setup/globus/setup-simple-ca -default -nonroot
O último comando executado como root. A unica resposta fora do default foi 
cn=Gridunesp, ou=simpleCA-node82.grid,ou=GridUNESP,o=Grid

Ao que parece o subject passa a ser /O=Grid/OU=GridUNESP/OU=simpleCA-node82.grid/CN=Gridunesp . Como usuário local novamente, 

exit
globus/setup/globus_simple_ca_4d90e26c_setup/setup-gsi -default -nonroot
Os certificados ficam instalados em Globus-Simple-CA/globus/share/certificates . Precisaremos distribuir o arquivo com extensão .0 dentro desse diretório para que os certificados assinados por nós possam ser reconhecidos em outros lugares. No caso iremos copiar para o TRUSTED_CA de um gatekeeper (no nosso exemplo a osg-ce.sprace.org.br): 
su -
cp -i   /home/mdias/Globus-Simple-CA/globus/share/certificates/4d90e26c.0 /opt/osg-1.0.0/globus/TRUSTED_CA/.
cp -i /home/mdias/Globus-Simple-CA/globus/share/certificates/4d90e26c.signing_policy /opt/osg-1.0.0/globus/TRUSTED_CA/.
O próximo passo seria mapear este DN na configuração do GUMS.

Os usuários (no exemplo jane ) farão pedidos de certificados assim: 

source /home/mdias/Globus-Simple-CA/setup.sh
Para assinar certificados, torne-se root: 
su -
cp /home/jane/.globus/usercert_request.pem .globus/simpleCA/.
source /home/mdias/Globus-Simple-CA/setup.sh
cd .globus/simpleCA/
grid-ca-sign -in ./usercert_request.pem -out ./usercert.pem
cp /root/.globus/simpleCA/usercert.pem /home/jane/.globus/usercert.pem
onde no final copiamos para o diretório da usuária.

Para certificados de máquina, procedemos da seguinte maneira: 

su -
source /home/mdias/Globus-Simple-CA/setup.sh
grid-cert-request -host access.sprace.org.br
os certificados ficam em /home/mdias/Globus-Simple-CA/globus/etc/ . Logo para assinar o certificado: 
grid-ca-sign -in /home/mdias/Globus-Simple-CA/globus/etc/hostcert_request.pem -out hostsigned.pem
Os certificados devem ser instalados na máquina: 
cp /home/mdias/Globus-Simple-CA/globus/etc/hostkey.pem
cp /root/.globus/simpleCA/hostsigned.pem /etc/grid-security/hostcert.pem

Updates

Fulano em dd/mm/aaaa

Coloca o que fez.

Ciclano em dd/mm/aaaa

Mais comentarios

-- MarcoAndreFerreiraDias - 13 Sep 2009

Edit | Attach | Print version | History: r3 < r2 < r1 | Backlinks | Raw View | Raw edit | More topic actions...
Topic revision: r2 - 2009-09-13 - MarcoAndreFerreiraDias
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2025 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback

antalya escort bursa escort eskisehir escort istanbul escort izmir escort