CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS 1
Witryna PIONIER PKI http://www.pki.pionier.net.pl 6
Wygenerowanie żądania Z poziomu głównej strony przechodzimy do Certyfikacja 15
Wygenerowanie żądania Przechodzimy do podstrony obsługującej CA-WCSS-1 16
Formularz zgłoszeniowy: Wygenerowanie żądania 18
Uwierzytelnienie, wniosek do RA Osoba pełniąca rolę RA, po przyjęciu i zweryfikowaniu wniosku zatwierdza oczekujące w kolejce żądanie. 20
Instalacja certyfikatu Instalacja polega na użyciu linka przysłanego przez CA po podpisaniu certyfikatu. Link należy użyć na tej samej przeglądarce z której wysłano żądanie wystawienia certyfikatu. 22
Instalacja certyfikatu Po zainstalowaniu, certyfikat powinien się znaleźć na liście certyfikatów osobistych w przeglądarce. Klikamy: Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->użytkownik Certyfikat dla Gracjan Jankowski podpisany przez PIONIER UWAGA: W praktyce firefox na podstawie DN użytkownika i CA stara się użyć możliwie przyjaznej nazwy. 23
Zarządzanie certyfikatem Wyświetla szczegóły certyfikatu. Wgranie certyfikatu z kopii zapasowej (w formacie pkcs12) Zapis kopii zapasowej. (w formacie pkcs12, razem z kluczem prywatnym) 24
Zarządzanie certyfikatem kopia zapasowa Kopia zawiera klucz prywatny użytkownika. Podczas zapisu kopii musimy ustalić hasło zabezpieczające. Hasło będzie potrzebne przy odtwarzaniu / importowaniu certyfikatu. 25
Zarządzanie certyfikatem eksport Funkcja eksportu pozwala na zapisanie certyfikatu do pliku z pominięciem klucza prywatnego. W oknie ze szczegółami certyfikatu wybieramy zakładkę Szczegóły a następnie klikamy przycisk Eksportuj 26
Formaty kluczy i certyfikatów w PLATON-U4 Dodanie użytkownika do usługi wymaga podania certyfikatu w formacie pem. Korzystanie z usługi przez sftp, sshfs lub grid-ftp z poziomu systemu Linux wymaga dostępu do klucza prywatnego w formacie pem. Korzystanie z usługi z poziomu Windows z programów takich jak WinSCP, psftp, Filezilla wymaga klucza prywatnego w formacie ppk. Korzystanie z poziomu przeglądarki z zainstalowanym certyfikatem nie wymaga dalszej konfiguracji. 28
Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4 Na systemie Windows, do automatycznej konwersji kopii zapasowej certyfikatu do pozostałych wymaganych formatów służy program KeyExtractor Program można pobrać ze storny: https://www.storage.pionier.net.pl/wiki/index.php/certyfikaty Na systemie Linux, do konwersji kopii zapasowej certyfikatu na wymagane formaty należy użyć komendy openssl Konkretne przykłady użycia komendy openssl znajdują się na stronie https://www.storage.pionier.net.pl/wiki/index.php/certyfikaty w sekcji Eksport, import, konwersja -programy klienckie 29
Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4 Program KeyExtractor zabezpiecza klucze prywatne tym samym kluczem, który był użyty do zapisu kopii zapasowej certyfikatu. Program openssl pozwala na uzyskanie kluczy prywatnych, nie zabezpieczonych hasłem. Program openssl jest dostępny również dla systemu Windows: http://slproweb.com/products/win32openssl.html 30
KeyExtractor Przykład użycia Przed użyciem programu KeyExtractor, zapisujemy do pliku kopię zapasową certyfikatu. Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->użytkownik ->[certyfikat na liście]->kopia zapasowa 31
KeyExtractor Przykład użycia Zapis kopii wymaga ustanowienia hasła zabezpieczającego. Hasło to będzie potrzebne przy konwersji. 32
KeyExtractor Przykład użycia Ze strony https://www.storage.pionier.net.pl/wiki/index.php/certyfikaty pobieramy paczkę KeyExtractor.zip Po rozpakowaniu program jest gotowy do uruchomienia. Program uruchamiamy plikiem KeyExtractor.exe 33
KeyExtractor Przykład użycia Po uruchomieniu program KeyExtractor oczekuje na podanie hasła i wskazanie pliku z kopią zapasową certyfikatu. 34
KeyExtractor Przykład użycia Po zatwierdzeniu wprowadzonych danych, należy wskazać katalog w którym zostaną zapisane klucze i certyfikat w wymaganych formatach. 35
KeyExtractor Przykład użycia Widok katalogu z zapisanymi kluczami i certyfikatem 36
KeyExtractor Przykład użycia Pliki utworzone przez KeyExtractor usercert.pem certyfikat użytkownika potrzebny do założenia konta w usłudze userkey.pem klucz prywatny do użycia pod systemem Linux userkey.ppk klucz prywatny do użycia pod systemem Windows 37
https://tcs.pionier.gov.pl/ TCS 39
TCS Dla przykładu, pracownik PCSS-u odnajduje swoją instytucję na liście.
TCS TCS wystawia certyfikaty do różnych celów Użytkownik usługi PLATON-U4 potrzebuje Terrena Personal Certificate
TCS
TCS
TCS Po wysłaniu formularza dostaniemy link do wniosku który należy wydrukować, podpisać i wraz z dokumentem potwierdzającym tożsamość przedstawić RA CA, po podpisaniu certyfikatu prześle link do instalatora certyfikatu Link do instalatora musi być użyty z tej samej przeglądarki z której wygenerowano żądanie wystawienia certyfikatu
https://plgrid-ca.pl/ Polish Grid CA
Polish Grid CA Użytkownik usługi PLATON-U4 potrzebuje certyfikatu osobistego
Polish Grid CA
Polish Grid CA Lista RA Aktualna lista RA: http://www.man.poznan.pl/plgrid-ca/ra-list.html 1. POZNAN PCSS 2. KRAKOW 3. WARSAW Cyfronet INS/ICM 4. Czestochowa 5. Szczecin 6. Gdansk 7. Bialystok Warsaw Technical University Obsertwatorium Astronimiczne Uniwersytetu Warszawskiego Technical University of Czestochowa Szczecin University of Technology Academic Computer Centre in Gdansk TASK Bialystok Technical University
Polish Grid CA Lista RA 8. Lodz Technical University of Lodz 9. Zielona Gora University of Zielona Gora 10. Lublin UMCS 11. Opole Opole University 12. Wroclaw WCSS 13. Katowice
W trakcie opracowywania Założenia CA4U Maksymalne uproszczenie procedury pozyskiwania, uwierzytelniania i instalacji certyfikatu i skojarzonych kluczy Wniosek składany przez internet Uwierzytelnienie przez sprawdzenie czy osoba która wypełniła formularz rzeczywiście pracuje w deklarowanej jednostce i czy podany adres email jest poprawny Wysłanie na adres e-mail linka do instalatora który instaluje w systemie wszystkie pliki potrzebne do korzystania z PLATON-U4