1 / 33

Witryna PIONIER PKI

CA w praktyce Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Gracjan Jankowski, Maciej Brzeźniak, PCSS. Witryna PIONIER PKI. http://www.pki.pionier.net.pl. Wygenerowanie żądania. Z poziomu głównej strony przechodzimy do Certyfikacja. Wygenerowanie żądania.

donny
Download Presentation

Witryna PIONIER PKI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. CA w praktyceWarsztaty promocyjne dla użytkowników Usługi Powszechnej ArchiwizacjiGracjan Jankowski,Maciej Brzeźniak, PCSS

  2. Witryna PIONIER PKI • http://www.pki.pionier.net.pl

  3. Wygenerowanie żądania Z poziomu głównej strony przechodzimy do Certyfikacja

  4. Wygenerowanie żądania Przechodzimy do podstrony obsługującej CA-WCSS-1

  5. Wygenerowanie żądania Formularz zgłoszeniowy:

  6. Uwierzytelnienie,wniosek do RA • Osoba pełniąca rolę RA, po przyjęciu i zweryfikowaniu wniosku zatwierdza oczekujące w kolejce żądanie.

  7. Instalacja certyfikatu • Instalacja polega na użyciu linka przysłanego przez CA po podpisaniu certyfikatu. • Link należy użyć na tej samej przeglądarce z której wysłano żądanie wystawienia certyfikatu.

  8. Instalacja certyfikatu • Po zainstalowaniu, certyfikat powinien się znaleźć na liście certyfikatów osobistych w przeglądarce. Klikamy: Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->Użytkownik Certyfikat dla Gracjan Jankowski podpisany przez PIONIER UWAGA: W praktyce firefox na podstawie DN użytkownika i CA stara się użyć możliwie „przyjaznej” nazwy.

  9. Zarządzanie certyfikatem Wyświetla szczegóły certyfikatu. Wgranie certyfikatu z kopii zapasowej (w formacie pkcs12) Zapis kopii zapasowej. (w formacie pkcs12, razem z kluczem prywatnym)

  10. Zarządzanie certyfikatem – kopia zapasowa • Kopia zawiera klucz prywatny użytkownika. • Podczas zapisu kopii musimy ustalić hasło zabezpieczające. • Hasło będzie potrzebne przy odtwarzaniu / importowaniu certyfikatu.

  11. Zarządzanie certyfikatem – eksport • Funkcja eksportu pozwala na zapisanie certyfikatu do pliku z pominięciem klucza prywatnego. • W oknie ze szczegółami certyfikatu wybieramy zakładkę „Szczegóły” a następnie klikamy przycisk „Eksportuj…”

  12. Formaty kluczy i certyfikatów w PLATON-U4 • Dodanie użytkownika do usługi wymaga podania certyfikatu w formacie pem. • Korzystanie z usługi przez sftp, sshfs lub grid-ftp z poziomu systemu Linux wymaga dostępu do klucza prywatnego w formacie pem. • Korzystanie z usługi z poziomu Windows z programów takich jak WinSCP, psftp, Filezilla wymaga klucza prywatnego w formacie ppk. • Korzystanie z poziomu przeglądarki z zainstalowanym certyfikatem nie wymaga dalszej konfiguracji.

  13. Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4 • Na systemie Windows, do automatycznej konwersji kopii zapasowej certyfikatu do pozostałych wymaganych formatów służy program KeyExtractor • Program można pobrać ze storny:https://www.storage.pionier.net.pl/wiki/index.php/Certyfikaty • Na systemie Linux, do konwersji kopii zapasowej certyfikatu na wymagane formaty należy użyć komendy openssl • Konkretne przykłady użycia komendy openssl znajdują się na stroniehttps://www.storage.pionier.net.pl/wiki/index.php/Certyfikatyw sekcji Eksport, import, konwersja -programy klienckie

  14. Konwersja kopii zapasowej do kluczy i certyfikatów dla PLATON-U4 • Program KeyExtractor zabezpiecza klucze prywatne tym samym kluczem, który był użyty do zapisu kopii zapasowej certyfikatu. • Program openssl pozwala na uzyskanie kluczy prywatnych, nie zabezpieczonych hasłem. • Program openssl jest dostępny również dla systemu Windows:http://slproweb.com/products/Win32OpenSSL.html

  15. KeyExtractor – Przykład użycia • Przed użyciem programu KeyExtractor, zapisujemy do pliku kopię zapasową certyfikatu. Firefox->Opcje->Zaawansowane->Szyfrowanie->Wyświetl certyfikaty->Użytkownik ->[certyfikat na liście]->Kopia zapasowa …

  16. KeyExtractor – Przykład użycia • Zapis kopii wymaga ustanowienia hasła zabezpieczającego. • Hasło to będzie potrzebne przy konwersji.

  17. KeyExtractor – Przykład użycia • Ze stronyhttps://www.storage.pionier.net.pl/wiki/index.php/Certyfikatypobieramy paczkę KeyExtractor.zip • Po rozpakowaniu program jest gotowy do uruchomienia. • Program uruchamiamy plikiem KeyExtractor.exe

  18. KeyExtractor – Przykład użycia • Po uruchomieniu program KeyExtractor oczekuje na podanie hasła i wskazanie pliku z kopią zapasową certyfikatu.

  19. KeyExtractor – Przykład użycia • Po zatwierdzeniu wprowadzonych danych, należy wskazać katalog w którym zostaną zapisane klucze i certyfikat w wymaganych formatach.

  20. KeyExtractor – Przykład użycia • Widok katalogu z zapisanymi kluczami i certyfikatem

  21. KeyExtractor – Przykład użycia Pliki utworzone przez KeyExtractor • usercert.pemcertyfikat użytkownika potrzebny do założenia konta w usłudze • userkey.pemklucz prywatny do użycia pod systemem Linux • userkey.ppkklucz prywatny do użycia pod systemem Windows

  22. TCS https://tcs.pionier.gov.pl/

  23. TCS Dla przykładu, pracownik PCSS-u odnajduje swoją instytucję na liście.

  24. TCS • TCS wystawia certyfikaty do różnych celów • Użytkownik usługi PLATON-U4 potrzebuje „Terrena Personal Certificate”

  25. TCS

  26. TCS

  27. TCS • Po wysłaniu formularza dostaniemy link do wniosku który należy wydrukować, podpisać i wraz z dokumentem potwierdzającym tożsamość przedstawić RA • CA, po podpisaniu certyfikatu prześle link do instalatora certyfikatu • Link do instalatora musi być użyty z tej samej przeglądarki z której wygenerowano żądanie wystawienia certyfikatu

  28. Polish Grid CA • https://plgrid-ca.pl/

  29. Polish Grid CA • Użytkownik usługi PLATON-U4 potrzebuje certyfikatu osobistego

  30. Polish Grid CA

  31. Polish Grid CA – Lista RA • Aktualna lista RA: http://www.man.poznan.pl/plgrid-ca/ra-list.html • 1. POZNAN • PCSS • 2. KRAKOW • Cyfronet • 3. WARSAW • INS/ICM • Warsaw Technical University • ObsertwatoriumAstronimiczne Uniwersytetu Warszawskiego • 4. Czestochowa • Technical University of Czestochowa • 5. Szczecin • Szczecin University of Technology • 6. Gdansk • AcademicComputer Centre in Gdansk TASK • 7. Bialystok • Bialystok Technical University

  32. Polish Grid CA – Lista RA • 8. Lodz • Technical University of Lodz • 9. Zielona Gora • University of Zielona Gora • 10. Lublin • UMCS • 11. Opole • Opole University • 12. Wroclaw • WCSS • 13. Katowice

  33. CA4U • W trakcie opracowywania • Założenia • Maksymalne uproszczenie procedury pozyskiwania, uwierzytelniania i instalacji certyfikatu i skojarzonych kluczy • Wniosek składany przez internet • Uwierzytelnienie przez sprawdzenie czy osoba która wypełniła formularz rzeczywiście pracuje w deklarowanej jednostce i czy podany adres email jest poprawny • Wysłanie na adres e-mail linka do instalatora który instaluje w systemie wszystkie pliki potrzebne do korzystania z PLATON-U4

More Related