Εγγραφή για πρόσβαση στις υποδομές του Grid

Απόκτηση ψηφιακού πιστοποιητικού

Η πιστοποίηση χρηστών και διακομιστών (γενικά οντοτήτων ή end entities) στα πλαίσια μίας υποδομής δημοσίου κλειδιού (Public Key Infrastructure) όπως είναι και η υποδομή HellasGrid PKI γίνεται από μία κεντρική υπηρεσία την Αρχή Πιστοποίησης (Α.Π.). Σε μία τέτοια ηλεκτρονική υποδομή όλες οι εμπλεκόμενες οντότητες (χρήστες, μηχανήματα, οργανισμοί), πιστοποιούν την αυθεντικότητά μεταξύ τους με την χρήση ψηφιακών πιστοποιητικών που έχει υπογράψει η Αρχή Πιστοποίησης. Για να ταυτοποιηθεί η ταυτότητα μίας οντότητας και να υπογραφεί έτσι ένα ψηφιακό πιστοποιητικό απαραίτητη είναι η παρεμβολή μίας Αρχής Ταυτοποίησης (Α.Τ.) η οποία αναλαμβάνει την ταυτοποίηση των οντοτήτων.

Στη γενική περίπτωση η διαδικασία έχει ως εξής. Ο χρήστης παράγει ένα ζεύγος ιδιωτικού (private) και δημοσίου (public) κλειδιού με κάποια αποδεκτή από την Αρχή Πιστοποίησης ασφαλή μέθοδο και αποστέλλει το δημόσιο κλειδί στην Αρχή Πιστοποίησης. Εν συνεχεία η ταυτότητα του χρήστη επικυρώνεται μέσα από μία πρόσωπο με πρόσωπο συνάντηση με την Αρχή Ταυτοποίησης η οποία κατόπιν επιτυχούς ταυτοποίησης ενημερώνει την Αρχή Πιστοποίησης να προβεί στην υπογραφή του δημοσίου κλειδιού. Η Αρχή Πιστοποίησης χρησιμοποιώντας το δικό της private κλειδί υπογράφει το δημόσιο κλειδί του χρήστη και έτσι παράγει ένα ψηφιακό πιστοποιητικό που επιστρέφει στον χρήστη. Η τελική οντότητα μπορεί εν συνεχεία να χρησιμοποιεί το ιδιωτικό κλειδί μαζί με το ψηφιακό πιστοποιητικό για να επικοινωνεί ασφαλώς ή/και κρυπτογραφικά με άλλες οντότητες της PKI υποδομής.

  !  Στα παρακάτω δίνονται αναλυτικές οδηγίες για την απόκτηση ψηφιακού πιστοποιητικού από την Α.Π. HellasGrid CA όπως αυτές καταγράφηκαν με τη χρήση ενός Mozilla based browser (συγκεκριμένα για τα screenshots έχει χρησιμοποιηθεί ο Camino 1.5.4 σε MAC OS X 10.5.1). Η διαδικασία αυτή διαφέρει στο ελάχιστο (ίσως και καθόλου) από την διαδικασία που θα ακολουθήσει ένας χρήστης της Α.Π. που χρησιμοποιεί Internet Explorer, Mozilla based, Safari ή Opera ως default web browser.

  !  Προτού κάποιος ξεκινήσει με την διαδικασία απόκτησης ψηφιακού πιστοποιητικού όπως αυτή περιγράφεται παρακάτω πρέπει να βεβαιωθεί 1) ότι ο υπολογιστής που θα χρησιμοποιήσει για να διεκπεραιώσει την διαδικασία δεν είναι δημόσιας χρήσης και 2) ότι έχει αποδεχτεί τα πιστοποιητικά των Αρχών Πιστοποίησης HellasGrid Root CA και HellasGrid CA. Εφόσον πληρούνται και οι 2 αυτές προϋποθέσεις ο ενδιαφερόμενος μπορεί να προσπεράσει την παράγραφο Εισαγωγή και αποδοχή πιστοποιητικών Αρχών Πιστοποίησης και να προχωρήσει απευθείας στην Αίτηση για ψηφιακό πιστοποιητικό.

 

Εισαγωγή και αποδοχή πιστοποιητικών Αρχών Πιστοποίησης

Για να αποδεχτεί ο χρήστης τα ψηφιακά πιστοποιητικά των Αρχών Πιστοποίησης HellasGrid CA και HellasGrid Root CA θα πρέπει στο σύνδεσμο https://access.hellasgrid.gr να επιλέξει τους 2 συνδέσμους με όνομα "εισαγωγή" που βρίσκονται στην μαρκαρισμένη περιοχή στη παρακάτω εικόνα.

Με την επιλογή κάθε συνδέσμου εμφανίζεται ένα νέο παράθυρο στην οθόνη όπου ζητείται από τον χρήστη να ορίσει τα trust settings για την Αρχή Πιστοποίησης. Εκεί θα πρέπει να επιλέξει και τα 3 checkboxes όπως φαίνεται και στο παρακάτω σχήμα.

trust-settings.png

Εφόσον ο χρήστης έχει αποδεχτεί και πλέον εμπιστεύεται τις Αρχές Πιστοποίησης HellasGrid CA και HellasGrid Root CA μπορεί να προχωρήσει στην Αίτηση για ψηφιακό πιστοποιητικό.

 

Αίτηση για ψηφιακό πιστοποιητικό

Ο χρήστης που επιθυμεί να αποκτήσει ψηφιακό πιστοποιητικό από την Α.Π. HellasGrid CA θα πρέπει να επιλέξει στη σελίδα https://access.hellasgrid.gr τον 1ο σύνδεσμο που είναι μαρκαρισμένος και στο παρακάτω σχήμα.

Στην επόμενη σελίδα ο χρήστης θα πρέπει να εισάγει τα στοιχεία του και κατόπιν να επιλέξει 'Καταχώρηση'. Εφόσον ο χρήστης είχε στο παρελθόν πιστοποιητικό από την Α.Π. HellasGrid CA και το email account που είχε χρησιμοποιηθεί για την πιστοποίησή του είναι ενεργό ο χρήστης μπορεί να συμπληρώσει την εν λόγω email διεύθυνση στο πλαίσιο Υπάρχοντες Χρήστες και να επιλέξει 'Αναζήτηση'. Οι δύο αυτές επιλογές φαίνονται μαρκαρισμένες στο παρακάτω σχήμα

Η επόμενη σελίδα στην οποία κατευθύνεται ο χρήστης τον ενημερώνει ότι του έχει αποσταλεί ένα αυτοματοποιημένο email για την επιβεβαίωση του email λογαριασμού όπως φαίνεται και στο παρακάτω σχήμα.

Το αυτοματοποιημένο e-mail που έχει σταλεί μοιάζει με αυτό της παρακάτω εικόνας και για να συνεχιστεί η διαδικασία ο χρήστης θα πρέπει να ακολουθήσει τον σύνδεσμο που δίνεται εντός του email.

Ακολουθώντας το σύνδεσμο ανοίγει ένα νέο παράθυρο browser στο οποίο δίνονται δύο επιλογές σχετικά με τον τύπο της αίτησης που πρόκειται να υποβληθεί.

Οι επιλογές που δίνονται τώρα στο χρήστη είναι είτε να δημιουργήσει το private κλειδί και το public request εντός του browser που χρησιμοποιεί είτε στο User Interface όπου έχει λογαριασμό. Στον οδηγό αυτό θα ακολουθήσουμε την πρώτη επιλογή (δηλαδή δημιουργία των private και public κλειδιών εντός του browser) κάτι που μπορεί να κάνει και ο χρήστης επιλέγοντας τον πρώτο από τους δύο μαρκαρισμένους συνδέσμους στην παρακάτω εικόνα.

Πριν την παραγωγή του ζεύγους ιδιωτικού/δημοσίου κλειδιού θα εμφανιστεί ένα μήνυμα όμοιο με αυτό της παρακάτω εικόνας που ενημερώνει τον χρήστη ότι η παραλαβή του πιστοποιητικού (μετά την υπογραφή του δημοσίου κλειδιού) μπορεί να γίνει μόνο από τον ίδιο υπολογιστή και τον ίδιο πρόγραμμα περιήγησης (browser).

Αφότου ο χρήστης επιλέξει 'OK' στο παραπάνω παράθυρο μπορεί να προχωρήσει στην παραγωγή του ζεύγους κλειδιών. Στην επόμενη σελίδα που εμφανίζεται (όμοια με αυτή του παρακάτω σχήματος) ο χρήστης επιλέγει το μέγεθος του κλειδιού. Αυτό θα πρέπει να είναι ίσο είτε με 1024bits είτε με 2048bits. Εν συνεχεία ο χρήστης πρέπει να επιλέξει 'Αποστολή'. Το δημόσιο κλειδί αυτομάτως αποστέλλεται στην Αρχή Πιστοποίησης για να υπογραφεί.

  !  Εφόσον δεν έχει οριστεί στο παρελθόν ένα password για το software security device του browser αυτό θα ζητηθεί σε αυτό το σημείο. Καλό είναι να χρησιμοποιηθεί ένας κωδικός που να περιέχει γράμματα, αριθμούς και άλλα σύμβολα έτσι ώστε η δύναμη του κωδικού να είναι τουλάχιστον 90%.

Κατόπιν αποστολής του δημοσίου κλειδιού στην Α.Π. ο χρήστης κατευθύνεται αυτόματα στην επόμενη σελίδα όπου ενημερώνεται ότι η αίτηση έχει καταχωρηθεί και ότι θα πρέπει τώρα να επισκεφτεί την Αρχή ταυτοποίησης που εξυπηρετεί το ίδρυμά του για να προχωρήσει στην διαδικασία ταυτοποίησης.

Το ίδιο κείμενο αποστέλλεται αυτομάτως στο χρήστη και με email όπως δείχνει και η παρακάτω εικόνα

Διαδικασία ταυτοποίησης

Μία πλήρης λίστα με τις Αρχές Ταυτοποίησης που εξυπηρετούν τους χρήστες της υποδομής HellasGrid είναι διαθέσιμη στο σύνδεσμο https://access.hellasgrid.gr/about_ca.

Μέσα σε 7 ημέρες από την υποβολή της αίτησης ο χρήστης πρέπει να επισκεφτεί την Αρχή Ταυτοποίησης που εξυπηρετεί τους χρήστες του Ιδρύματός του και να προσκομίσει τα παρακάτω έγγραφα:

  1. την αστυνομική ταυτότητα ή το διαβατήριο,
  2. κάποιο έγγραφο που να πιστοποιεί την σχέση του με το ίδρυμα,
  3. πιστά αντίγραφα των παραπάνω δύο εγγράφων και
  4. την εκτύπωση του αυτοματοποιημένου e-mail που λαμβάνει κατά την επιτυχή καταχώρηση της αίτησης

Εάν ο χρήστης έχει πιστοποιητικό από την Α.Π. HellasGrid CA το οποίο είναι έγκυρο μέχρι και την ημερομηνία καταχώρησης της αίτησης δεν χρειάζεται να επισκεφτεί την Αρχή Ταυτοποίησης με την προϋπόθεση ότι η τελευταία φορά που προσκόμισε τα απαραίτητα έγγραφα ήταν μέσα στα προηγούμενα τρία (5) χρόνια.

Κατάσταση αίτησης

Στο αυτοματοποιημένο e-mail που αποστέλλεται στον χρήστη κατά την επιτυχή καταχώρηση της αίτησης υπάρχει ένας σύνδεσμος που δίνει την κατάσταση προόδου της αίτησης

Ο χρήστης ακολουθώντας το σύνδεσμο αυτό μπορεί να παρακολουθήσει την εξέλιξη της αίτησής του όπως φαίνεται στο παρακάτω σχήμα.

Όταν η κατάσταση της αίτησης γίνει "signed" το πιστοποιητικό είναι έτοιμο και ένα νέο αυτοματοποιημένο e-mail που περιέχει το σύνδεσμο παραλαβής του ψηφιακού πιστοποιητικού της μορφής του παρακάτω σχήματος αποστέλλεται στο χρήστη.

 

Παραλαβή και αποδοχή του ψηφιακού πιστοποιητικού

Ο χρήστης για να κατεβάσει το υπογεγραμμένο ψηφιακό πιστοποιητικό θα πρέπει να χρησιμοποιήσει τον ίδιο υπολογιστή και το ίδιο πρόγραμμα περιήγησης (browser) από το οποίο είχε υποβάλλει την αίτηση του.

Για να κατεβάσει και να εγκαταστήσει το πιστοποιητικό του ο χρήστης θα πρέπει να ακολουθήσει το σύνδεσμο από το αυτοματοποιημένο email που λαμβάνει και τον ενημερώνει ότι έχει υπογραφεί το ψηφιακό πιστοποιητικό του. Επιπρόσθετα θα πρέπει από το web interface όπου κατευθύνεται να αποδεχτεί το πιστοποιητικό του.

Το ψηφιακό πιστοποιητικό και το private κλειδί βρίσκονται αποθηκευμένα και προστατευμένα στο software security device του browser. Από εκεί ο χρήστης μπορεί να τα εξάγει σε p12 ή pfx format αναλόγως τι τύπου browser χρησιμοποιεί και να τα μεταφέρει στο User Interface ή σε άλλες εφαρμογές (π.χ. mail client).

Αίτηση για απόκτηση λογαριασμού σε User Interface

Οι χρήστες της HellasGrid υποδομής μπορούν να κάνουν αίτηση για απόκτηση λογαριασμού (account) σε κάποιο από τα User Interface από το https://access.hellasgrid.gr ακολουθώντας το μαρκαρισμένο σύνδεσμο που φαίνεται στο παρακάτω σχήμα

ui-request-1.png

Στην επόμενη σελίδα που εμφανίζεται και στο παρακάτω σχήμα ο χρήστης θα πρέπει να επιλέξει την πόλη στην οποία βρίσκεται, να αποδεχτεί την πολιτική πρόσβασης και τους κανόνες χρήσης της υποδομής HellasGrid και να επιλέξει 'Αποστολή' για να υποβάλλει την αίτηση.

Εάν η πόλη στην οποία εργάζεται ο χρήστης δεν βρίσκεται ανάμεσα στις διαθέσιμες επιλογές τότε θα πρέπει να επιλέξει την Αθήνα.

ui-request.png

Εγγραφή στο South Eastern European Virtual Organization

Για να μπορέσει ένας χρήστης να χρησιμοποιήσει πόρους του Grid θα πρέπει να είναι εγγεγραμμένος σε τουλάχιστον ένα Virtual Organization ή VO. Οι χρήστες της HellasGrid υποδομής μπορούν να εγγραφούν στο SEE VO που συγκεντρώνει ερευνητές από το South Eastern European region από το https://access.hellasgrid.gr ακολουθώντας το μαρκαρισμένο σύνδεσμο του παρακάτω σχήματος.

Στη νέα σελίδα ο χρήστης θα πρέπει να αποδεχτεί την πολιτική πρόσβασης και τους κανόνες χρήσης της υποδομής HellasGrid και να επιλέξει 'Αποστολή' όπως φαίνεται και στο παρακάτω σχήμα.

Κατόπιν εγγραφής στο SEE VO ένα ενημερωτικό email αποστέλλεται στο χρήστη από τον VO admin.

Ολοκλήρωση διαδικασίας

Εξαγωγή ψηφιακού πιστοποιητικού και προσωπικού κλειδιού

Για να εξάγετε το ψηφιακό πιστοποιητικό θα πρέπει να πάτε στην καρτέλα ρυθμίσεων του browser και να επιλέξετε Πιστοποιητικά (Certificates). Στην καρτέλα 'Προσωπικά Πιστοποιητικά' θα πρέπει να εμφανίζεται το προσωπικό σας πιστοποιητικό που είναι υπογεγραμμένο από την Α.Π. HellasGrid. Αφού το μαρκάρετε θα πρέπει να επιλέξετε Εξαγωγή (ή Backup).

Σε αυτό το σημείο θα σας ζητηθεί να εισάγετε ένα όνομα αρχείου. Χρησιμοποιείστε το όνομα mycertificate.

Το αρχείο που θα εξαχθεί από τον browser θα πρέπει να έχει κατάληξη ή .

Μεταφορά και εγκατάσταση ψηφιακού πιστοποιητικού και προσωπικού κλειδιού στο User Interface

Το αρχείο που μόλις φτιάξατε χρειάζεται να το μεταφέρετε στο User Interface και να το τοποθετήσετε εντός το προσωπικού σας καταλόγου.

Αν αυτή είναι η πρώτη φορά που μεταφέρετε αρχείο προς το user interface και δεν είστε σίγουροι τι χρειάζεται να κάνετε σας παρακαλούμε να ακολουθήσετε τις σύντομες οδηγίες.

Αφότου μεταφέρετε το αρχείο στο User Interface θα χρειαστεί να εκτελέσετε μία σειρά από εντολές για την εξαγωγή του προσωπικού και δημοσίου κλειδιού. Για το σκοπό αυτό στο σημείο αυτό θα χρειαστεί να κάνετε login όπως περιγράφεται εδώ.

Αφότου κάνετε επιτυχώς login μπορείτε να δείτε όλα τα αρχεία του προσωπικού σας καταλόγου με την εντολή list ως εξής:

ls -a

 

Το όρισμα χρησιμοποιείται ώστε να μας εμφανίστουν και τα αρχεία ή φάκελοι που το όνομά τους ξεκινάει με το χαρακτήρα '.' (κρυφά αρχεία).

Ανάμεσα στα αποτελέσματα της θα πρέπει να βρίσκεται και το αρχείο . Αν δεν υπάρχει τότε χρειάζεται να επιστρέψετε στο βήμα της μεταφοράς του αρχείου.

Επίσης, εάν ο κατάλογος δεν υπάρχει στα αποτελέσματα της θα πρέπει πρώτα να τον φτιάξετε χρησιμοποιώντας την ακόλουθη εντολή:

mkdir .globus

Εφόσον έχετε βεβαιωθεί ότι το αρχείο και ο κατάλογος υπάρχουν ανάμεσα στα αποτελέσματα της μπορείτε να προχωρήσετε στην εκτέλεση των παρακάτω 4 εντολών μέσω των οποίων θα φτιαχτούν 2 νέα αρχεία, το (προσωπικό κλειδί) και το (ψηφιακό πιστοποιητικό) αρχεία.

Σημειώστε ότι κατά την εκτέλεση της πρώτης εντολής θα σας ζητηθεί η καταχώρηση ενός νέου κωδικού απαραίτητου για την κρυπτογράφηση του αρχείου. Καθώς είναι νέος κωδικός θα χρειαστεί να εισαχθεί και δεύτερη φορά για λόγους επιβεβαίωσης.

openssl pkcs12 -nocerts -in mycertificate.p12 -out .globus/userkey.pem
chmod 600 .globus/userkey.pem
openssl pkcs12 -clcerts -nokeys -in mycertificate.p12 -out .globus/usercert.pem
chmod 644 .globus/usercert.pem

Για να γίνει έλεγχος της σωστής εγκατάστασης του πιστοποιητικού, η παρακάτω εντολή δείχνει τις ημερομηνίες ισχύος του πιστοποιητικού:

openssl x509 -dates -noout -in .globus/usercert.pem

 

Οδηγίες για υπάρχοντες χρήστες

Αίτηση για ανανέωση ψηφιακού πιστοποιητικού

Τα πιστοποιητικά που υπογράφονται από την Α.Π. HellasGrid έχουν διάρκεια ζωής 1 έτους. Ένα μήνα πρωτού λήξει το ισχύον πιστοποιητικό η Α.Π. HellasGrid αποστέλει μέσω ηλεκτρονικού ταχυδρομείου υπενθύμιση η οποία επαναλαμβάνεται κάθε 10 ημέρες ώστε εγκαίρως να υποβληθεί αίτηση ανανέωσης του πιστοποιητικού.

Εφόσον το ισχύον πιστοποιητικό βρίσκεται εντός του browser για να προχωρήσει αίτηση ανανέωσης θα χρειαστεί ο χρήστης να επισκεφτεί το σύνδεσμο https://access.hellasgrid.gr/account, να επιλέξει "Ανανέωση πιστοποιητικού" και κατόπιν να δημιουργήσει νέο κλειδί εντός του browser που χρησιμοποιεί ακολουθώντας την πρώτη επιλογή. Το πιστοποιητικό του χρήστη θα υπογραφεί χωρίς ο χρήστης να χρειαστεί να επισκεφτεί την Αρχή Ταυτοποίησης του Ιδρύματός του (εφόσον βέβαια δεν έχουν παρέλθει 5 χρόνια από την τελευταία πρόσωπο με πρόσωπο ταυτοποίησή του).

Εφόσον το ισχύον πιστοποιητικό δεν βρίσκεται εντός του browser ή έχει λήξει η ισχύς του η ενδεδειγμένη διαδικασία για τον χρήστη είναι να επισκεφτεί το σύνδεσμο https://access.hellasgrid.gr/register/registration_form και να εισάγει στο πεδίο "Αναζήτηση email" το λογαριασμό email που έχει χρηχιμοποιήσει αρχικά κατά τη δημιουργία λογαριασμού στο https://access.hellasgrid.gr. Για να υπογραφεί το πιστοποιητικό ο χρήστης απαραίτητα θα πρέπει να επισκεφτεί την Αρχή Ταυτοποίησης του Ιδρύματός του και να προσκομίσει τα απαραίτητα έγγραφα.

Εισαγωγή σε browser ψηφιακού πιστοποιητικού και προσωπικού κλειδιού

Για να εισάγετε το πιστοποιητικό σας σε ένα browser θα χρειαστείτε το αρχείο. Αυτό μπορείτε να το ανακατασκευάσετε από τα αρχεία και με την παρακάτω εντολή:

openssl pkcs12 -export -in ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem -out mycertificate.p12

Παρακάτω σας παρουσιάζουμε τη διαδικασία εισαγωγής για τον Firefox browser. Από τις ρυθμίσεις του browser θα πρέπει να επιλέξετε την καρτέλα advanced έπειτα την κατρέλα Encryption και στη συνέχεια να επιλέξετε View Certificates. Κάτω από την καρτέλα Your Certificates μπορείτε να δείτε τα πιστοποιητικά που έχετε ήδη εγκατεστημένα στο browser. Για να εισάγετε ένα νέο πιστοποιητικό θα πρέπει να επιλέξετε Import και κάνοντας browse το filesystem του υπολογιστή σας να εντοπίσετε και να επιλέξετε το αρχείο. Κατόπιν θα σας ζητηθεί το master password του software security device του browser και το password που χρησιμοποιήσατε για να κάνετε encrypt το p12 αρχείο. Εφόσον τα εισάγετε σωστά το προσωπικό σας πιστοποιητικό μαζί με το private κλειδί που το συνοδεύει είναι πλέον εγκατεστημένο στο browser.

 
Με εικόνες