1 / 48

Agenda

Procedura rejestracji w usłudze Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Michał Jankowski, Maciej Brzeźniak, PCSS. Agenda. Certyfikaty –podstawowe pojęcia Akceptowane CA Jak zostać naszym klientem?. Szyfrowanie asymetryczne. Klucz A. Klucz B. Ala ma kota.

kevina
Download Presentation

Agenda

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Procedura rejestracji w usłudzeWarsztaty promocyjne dla użytkowników Usługi Powszechnej ArchiwizacjiMichał Jankowski,Maciej Brzeźniak, PCSS

  2. Agenda • Certyfikaty –podstawowe pojęcia • Akceptowane CA • Jak zostać naszym klientem?

  3. Szyfrowanie asymetryczne Klucz A Klucz B Ala ma kota 0Hgdasy6h9h1jq Ala ma kota szyfrowanie/deszyfrowanie deszyfrowanie/szyfrowanie

  4. Klucze • Klucz prywatny: • używany tylko przez właściciela • należy go chronić i nikomu nie udostępniać • Dla bezpieczeństwa klucz prywatny powinien być chroniony hasłem • Klucz publiczny – dostępny dla wszystkich

  5. Kup akcje.Kowalski Kup akcje.Kowalski e23redsttyk Kup akcje.Kowalski Podpis cyfrowy - idea Klucz prywatny Kluczpubliczny Kup akcje.Kowalski Kup akcje.Kowalski podpis weryfikacja

  6. Certyfikat • Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy. • Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.

  7. Urząd certyfikacji Certification Authority (CA) • Organizacja (lub osoba) wystawiająca certyfikaty. • Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu • Każdy urząd ma ściśle zdefiniowaną politykę: komu i na jakich zasadach może wystawić certyfikat • Analogia – urząd miasta wystawiający dowody osobiste

  8. Urząd rejestracjiRegistration Authority (RA) • Jednostka (lub osoba) weryfikująca wniosek o wystawienie certyfikatu (m.in. potwierdza tożsamość osoby składającej wniosek) • RA otrzymuje swoje uprawnienia od CA • Analogia: filia urzędu przyjmująca wnioski od obywateli i wydająca dokumenty wystawione przez inną jednostkę

  9. PL GRID CA zaświadcza że niniejszy certyfikat należy do:Jan Kowalskidata ważności: 11.12.2011-12.12.2012 Certyfikat X509 • Certyfikat zawiera: • Unikalną nazwę użytkownika (maszyny, serwisu) • Datę ważności • Klucz publiczny • Powyższy tekst jest podpisany kluczem prywatnym CA

  10. ALFA CA zaświadcza że, BETA CA ma prawo wystawiać certyfikatydata ważności: 11.12.2010-12.12.2015 Łańcuch certyfikatów • Certyfikat może zawierać łańcuch podpisów • Wystarczy, że ufamy CA na początku łańcucha BETA CA zaświadcza że niniejszy certyfikat należy do: Jan Kowalski, data ważności: 11.12.2011-12.12.2012

  11. Do czego używamy certyfikatów? • Certyfikat klienta: • Identyfikuje użytkownika w systemie Kto wysyła do nas dane? • Certyfikat serwera: • Identyfikuje serwer Czy na pewno wysyłamy dane na zaufany serwer? • Klucze klienta i serwera pozwalają na inicjalizację szyfrowania między klientem a serwerem

  12. Keyring • Keyring (brelok) to magazyn kluczy i certyfikatów, uporządkowany wg przeznaczenia: • Certyfikaty osobiste i klucze prywatne • Certyfikaty CA • Certyfikaty zaufanych stron/serwisów • Przykłady: • Windows (Panel Sterowania/Internet/Certyfikaty) • Firefox (Opcje/Szyfrowanie/Manager Certyfikatów) • Jeśli informacje zawarte w keyring nie wystarczają do identyfikacji serwisu zgłaszany jest alarm bezpieczeństwa • Keyrings mają preinstalowany zestaw certyfikatów ogólnie uznawanych CA (np. VeriSign, Commodo)

  13. CA w PLATON-U4 • TERENA Certificate Service • Polish Grid CA (EUGridPMA) • PIONIER PKI

  14. TERENA Certificate Service – dla kogo? • Wystawia certyfikaty kilku typów dla instytucji naukowych i edukacyjnych obsługiwanych przez NREN (w Polsce: PIONIER) • Personal Certificate: dla użytkowników, do podpisywania korespondencji elektronicznej i uwierzytelniania klienta względem serwera • e-Science Personal Certificate: j.w. w systemach typu Grid, spełnia zalecenia IGTF http://www.terena.org/activities/tcs/

  15. TERENA TCS – wymagania Instytucja musi być na liście certyfikowanych! • Lista: https://tcs.pionier.gov.pl/customerlist/ • Aby znaleźć się na liście należy podpisać odpowiednią umowę z PCSS Wzór umowy znajduje się w materiałach Kontakt: Poznańskie Centrum Superkomputerowo-Siecioweul. Z. Noskowskiego 12/14, 61-704 Poznańfax. +48 61 8582032e-mail: tcs@pionier.gov.pl • Zostanie utworzone konto dla instytucji w portalu do składania wniosków

  16. Polish Grid CA – dla kogo? • Wystawia certyfikaty dla niekomercyjnych użytkowników systemów typu Grid na terenie Polski http://www.man.poznan.pl/plgrid-ca/

  17. PIONIER PKI – dla kogo? • Wystawia certyfikaty dla instytucji naukowych i edukacyjnych obsługiwanych przez PIONIER http://www.pki.pionier.net.pl

  18. Jak zostać naszym klientem? • Wypełnić formularz zgłoszeniowy: • https://www.storage.pionier.net.pl/zgloszenie EWENTUALNIE: • Zgłosić się do najbliższej jednostki konsorcjum PLATON-U4 • lista kontaktowa:http://www.storage.pionier.net.pl/contact.html

  19. Formularz zgłoszeniowy: • www.storage.pionier.net.pl/zgloszenie

  20. Rejonizacja obsługi użytkowników

  21. Formularz rejestracyjny Na podstawie formularza zgłoszeniowego oceniona zostanie możliwość uzyskania dostępu do usługi Użytkownik zostanie poproszony o wypełnienie formularza rejestracyjnego profilu: dane instytucji dane kontaktowe osób w kwestiach formalno-prawnych i technicznych zapotrzebowanie na zasoby CA dla certyfikatów użytkowników 22

  22. Parametry usługi Parametry usługi: • Ilość i możliwa lokalizacja replik • Tryb replikacji (synchroniczny/asynchroniczny) • Max. dostępną przestrzeń dla danych (soft i hard quota) • Max. liczbę plików i katalogów Parametry te będą określone w umowie o świadczenie usług. Wewnątrz systemu umowę odzwierciedla zestaw danych zwany kontraktem.

  23. Obsługa po wprowadzeniu kontraktu • Zostaną przygotowane zasoby, a instytucji klienckiej podany zostanie adres dostępu do usługi • Osoba wyznaczona jako kontakt techniczny uzyska dostęp do formularza zgłoszeniowego dla użytkowników • Administrator systemu założy konta użytkownikom na podstawie zgłoszeń z formularza

  24. Procedura rejestracji w usłudzeWarsztaty promocyjne dla użytkowników Usługi Powszechnej ArchiwizacjiDziękujemy za uwagę.PYTANIA?

  25. Suplement 1 Gdzie zamówić usługę: lista kontaktowa

  26. Gdzie zamówić usługę • Zamówienie usługi możliwe jest w jednym z dziesięciu ośrodków na terenie Polski biorących udział w projekcie • Białystok - Politechnika Białostocka, Centrum Komputerowych Sieci Rozległychplaton-u4-req@biaman.pl • Częstochowa - Politechnika Częstochowska, Instytut Informatyki Teoretycznej i Stosowanej, PCz platon-u4-req@icis.pcz.pl • Gdańsk - Politechnika Gdańska, Centrum Informatyczne Trójmiejskiej Akademickiej Sieci Komputerowej TASKplaton-u4-req@task.gda.pl • Kielce – Politechnika Świętokrzyskaplaton-u4-req@tu.kielce.pl

  27. Gdzie zamówić usługę • Kraków – Akademia Górniczo-Hutnicza, Akademickie Centrum Komputerowe CYFRONET AGHplaton-u4-req@cyfronet.pl • Lublin - Uniwersytet Marii Curie-Skłodowskiej w Lublinie, LubMAN UMCSplaton-u4-req@umcs.lublin.pl • Łódź - Politechnika Łódzka, Centrum Komputerowe PŁ, Miejska Sieć Komputerowa LODMANplaton-u4-req@man.lodz.pl • Poznań – Instytut Chemii Bioorganicznej PAN,Poznańskie Centrum Superkomputerowo-Sieciowe PCSSplaton-u4-req@man.poznan.pl

  28. Gdzie zamówić usługę • Warszawa – Uniwersytet Warszawski,Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego, ICMplaton-u4-req@net.icm.edu.pl • Wrocław - Politechnika Wrocławska, Wrocławskie Centrum Sieciowo-Superkomputerowe, WCSS platon-u4-req@kdm.wcss.wroc.pl

  29. Suplement 2 Szczegółowe procedury uzyskiwania certyfikatów Dane kontaktowe CA i RA

  30. TERENA TCS –procedura krok 1 Wypełnienie wniosku elektronicznego • Login, hasło i adres strony WWW z formularzem można uzyskać u osoby odpowiedzialnej z danej instytucji • Wspierane przeglądarki: Internet Explorer lub Firefox • Pomoc w wypełnieniu: https://tcs.pionier.gov.pl/manual2/personal/https://tcs.pionier.gov.pl/manual2/personal_eScience/

  31. TERENA TCS –procedura krok 2 Weryfikacja wniosku • Potwierdzenie złożenia wniosku przychodzi e-mailem do wnioskodawcy • Należy wydrukować potwierdzenie i podpisać • Należy zgłosić się z potwierdzeniem u osoby odpowiedzialnej w ciągu 30 dni w celu potwierdzenia tożsamości (potrzebny dowolny dowód tożsamości ze zdjęciem) • RA (PCSS) weryfikuje i akceptuje wniosek

  32. TERENA TCS –procedura krok 3 Wystawienie certyfikatu • TERENA TCS wystawia certyfikat • Wnioskodawca otrzyma e-mailem link do strony gdzie może certyfikat pobrać (tą samą przeglądarką, w której wypełniał formularz!)

  33. TERENA TCS –procedura krok 4 Posługiwanie się certyfikatem • Klucz prywatny i certyfikat znajdują się w keyring i są natychmiastowo dostępne dla przeglądarki • Należy wyeksportować i przekonwertować klucz i certyfikat do plików w celu: • założenia konta w usłudze PLATON-U4 • użycia w innych programach dostępowych • SFTP: WinSCP, sftp • WebDAV: klient wbudowany

  34. TERENA TCSLista instytucji certyfikowanych

  35. TERENA TCSLista instytucji certyfikowanych

  36. TERENA TCSLista instytucji certyfikowanych

  37. TERENA TCSLista instytucji certyfikowanych

  38. TERENA TCSLista instytucji certyfikowanych

  39. TERENA TCSLista instytucji certyfikowanych

  40. TERENA TCSLista instytucji certyfikowanych

  41. TERENA TCSLista instytucji certyfikowanych

  42. TERENA TCSLista instytucji certyfikowanych

  43. Polish Grid CA – procedura krok 1 Żądanie certyfikatu • Na maszynie z Globus Toolkit i zainstalowanym certyfikatem PL Grid CA wydajemy polecenie:grid-cert-request –ca(wybieramy CA: /CN=Polish Grid CA/O=GRID/C=PL, podajemy nazwę swojej instytucji, imię i nazwisko oraz hasło, wygenerowane pliki trafią do ~/.globus) • Na maszynie z openSSL wydajemy polecenie:openssl req -new -newkey rsa:1024 -subj'/C=PL/O=GRID/O=<instytucja>/CN=<imię nazwisko>' -keyout userkey.pem -out usercert_request.pem(w poleceniu podmieniamy <instytucja> oraz <imię nazwisko>, podajemy hasło) • Wysyłamy plik usercert_request.pem e-mailem na adres plgrid-ca@man.poznan.pl

  44. Polish Grid CA – procedura krok 2 Weryfikacja wniosku • Potwierdzamy osobiście tożsamość w RA • lista RA: • http://www.man.poznan.pl/plgrid-ca/ra-list.html)

  45. Polish Grid CA – procedura krok 3 Wystawienie certyfikatu • CA wystawia certyfikat i odsyła go e-mailem • typowo certyfikat umieszczany jest w ~/.globus/usercert.pem

  46. Polish Grid CA –procedura krok 4 Posługiwanie się certyfikatem • Certyfikat i klucz są w formacie gotowym do założenia konta w PLATON-U4 i do użycia przez GridFTP • Należy przekonwertować i zaimportować certyfikat i klucz w celu użycia w innych programach dostępowych • SFTP: WinSCP, sftp • WebDAV: przeglądarka, klient wbudowany

  47. 1. PoznańRA - Paweł Wolniewicz - PSNC - (tel. 61 8582052)RA - Mirosław Kupczyk - PSNC - (tel. 61 8582052)C=PL, O=GRID, O=PSNC C=PL, O=GRID, O=IBCH C=PL, O=GRID, O=PUT-CS 2. KrakówRA - Andrzej Oziębło - CyfronetRA - Patryk Lasoń - CyfronetC=PL, O=GRID, O=Cyfronet C=PL, O=GRID, O=INP C=PL, O=GRID, O=AGH C=PL, O=GRID, O=PolSl C=PL, O=GRID, O=CMUJ 3. WarszawaRA - Adam Padee - INS/ICMC=PL, O=GRID, O=INS C=PL, O=GRID, O=ICM RA - Marian Krause - Warsaw Technical University C=PL, O=GRID, O=Warsaw Univeristy of TechnologyRA - Rafał Moderski - Obsertwatorium Astronimiczne Uniwersytetu WarszawskiegoC=PL, O=GRID, O=OAUW RA - Janusz Oleniacz - Warsaw Technical University C=PL, O=GRID, O=Warsaw University of Technology Faculty of Physics 4. CzęstochowaRA - Konrad Karczewski - Technical University of CzestochowaC=PL, O=GRID, O=Technical University of Czestochowa 5. Szczecin RA - Seweryn Niemiec - Szczecin University of Technology C=PL, O=GRID, O=Szczecin University of Technology 6. Gdansk RA - Rafał Tylman - Academic Computer Centre in Gdansk TASKC=PL, O=GRID, O=Academic Computer Centre in Gdansk TASK 7. Bialystok RA - Tomasz Lukaszuk - Bialystok Technical University C=PL, O=GRID, O=Bialystok Technical University 8. Lodz RA - Tomasz Berner - Technical University of Lodz C=PL, O=GRID, O=Technical University of Lodz 9. Zielona Gora RA - Przemyslaw Baranowski - University of Zielona Gora C=PL, O=GRID, O=University of Zielona Gora 10. Lublin RA - Andrzej Bobyk - UMCS C=PL, O=GRID, O=UMCS 11. Opole RA - Andrzej Czainski - Opole University C=PL, O=GRID, O=Opole University 12. Wroclaw RA - Pawel Dziekonski - WCSS C=PL, O=GRID, O=WCSS 13. Gliwice RA - Piotr Tarnowski RA - Maciej Uhlig C=PL, O=GRID, O=US Polish Grid CAEstablished RA list and DN formats

  48. PIONIER PKI - procedura • Opis jest na stronie:http://www.pki.pionier.net.pl/index.php?c=static_sites&sid=14

More Related