480 likes | 713 Views
Procedura rejestracji w usłudze Warsztaty promocyjne dla użytkowników Usługi Powszechnej Archiwizacji Michał Jankowski, Maciej Brzeźniak, PCSS. Agenda. Certyfikaty –podstawowe pojęcia Akceptowane CA Jak zostać naszym klientem?. Szyfrowanie asymetryczne. Klucz A. Klucz B. Ala ma kota.
E N D
Procedura rejestracji w usłudzeWarsztaty promocyjne dla użytkowników Usługi Powszechnej ArchiwizacjiMichał Jankowski,Maciej Brzeźniak, PCSS
Agenda • Certyfikaty –podstawowe pojęcia • Akceptowane CA • Jak zostać naszym klientem?
Szyfrowanie asymetryczne Klucz A Klucz B Ala ma kota 0Hgdasy6h9h1jq Ala ma kota szyfrowanie/deszyfrowanie deszyfrowanie/szyfrowanie
Klucze • Klucz prywatny: • używany tylko przez właściciela • należy go chronić i nikomu nie udostępniać • Dla bezpieczeństwa klucz prywatny powinien być chroniony hasłem • Klucz publiczny – dostępny dla wszystkich
Kup akcje.Kowalski Kup akcje.Kowalski e23redsttyk Kup akcje.Kowalski Podpis cyfrowy - idea Klucz prywatny Kluczpubliczny Kup akcje.Kowalski Kup akcje.Kowalski podpis weryfikacja
Certyfikat • Plik zawierający dane identyfikujące użytkownika (lub komputer, lub usługę) podpisany cyfrowo przez kogoś komu ufamy. • Analogia – certyfikat jest pewnego rodzaju dowodem osobistym pozwalającym ustalić tożsamość właściciela.
Urząd certyfikacji Certification Authority (CA) • Organizacja (lub osoba) wystawiająca certyfikaty. • Obowiązuje zasada zaufania – uznajemy, że dane centrum certyfikacji jest wiarygodne w ramach danej grupy, organizacji lub projektu • Każdy urząd ma ściśle zdefiniowaną politykę: komu i na jakich zasadach może wystawić certyfikat • Analogia – urząd miasta wystawiający dowody osobiste
Urząd rejestracjiRegistration Authority (RA) • Jednostka (lub osoba) weryfikująca wniosek o wystawienie certyfikatu (m.in. potwierdza tożsamość osoby składającej wniosek) • RA otrzymuje swoje uprawnienia od CA • Analogia: filia urzędu przyjmująca wnioski od obywateli i wydająca dokumenty wystawione przez inną jednostkę
PL GRID CA zaświadcza że niniejszy certyfikat należy do:Jan Kowalskidata ważności: 11.12.2011-12.12.2012 Certyfikat X509 • Certyfikat zawiera: • Unikalną nazwę użytkownika (maszyny, serwisu) • Datę ważności • Klucz publiczny • Powyższy tekst jest podpisany kluczem prywatnym CA
ALFA CA zaświadcza że, BETA CA ma prawo wystawiać certyfikatydata ważności: 11.12.2010-12.12.2015 Łańcuch certyfikatów • Certyfikat może zawierać łańcuch podpisów • Wystarczy, że ufamy CA na początku łańcucha BETA CA zaświadcza że niniejszy certyfikat należy do: Jan Kowalski, data ważności: 11.12.2011-12.12.2012
Do czego używamy certyfikatów? • Certyfikat klienta: • Identyfikuje użytkownika w systemie Kto wysyła do nas dane? • Certyfikat serwera: • Identyfikuje serwer Czy na pewno wysyłamy dane na zaufany serwer? • Klucze klienta i serwera pozwalają na inicjalizację szyfrowania między klientem a serwerem
Keyring • Keyring (brelok) to magazyn kluczy i certyfikatów, uporządkowany wg przeznaczenia: • Certyfikaty osobiste i klucze prywatne • Certyfikaty CA • Certyfikaty zaufanych stron/serwisów • Przykłady: • Windows (Panel Sterowania/Internet/Certyfikaty) • Firefox (Opcje/Szyfrowanie/Manager Certyfikatów) • Jeśli informacje zawarte w keyring nie wystarczają do identyfikacji serwisu zgłaszany jest alarm bezpieczeństwa • Keyrings mają preinstalowany zestaw certyfikatów ogólnie uznawanych CA (np. VeriSign, Commodo)
CA w PLATON-U4 • TERENA Certificate Service • Polish Grid CA (EUGridPMA) • PIONIER PKI
TERENA Certificate Service – dla kogo? • Wystawia certyfikaty kilku typów dla instytucji naukowych i edukacyjnych obsługiwanych przez NREN (w Polsce: PIONIER) • Personal Certificate: dla użytkowników, do podpisywania korespondencji elektronicznej i uwierzytelniania klienta względem serwera • e-Science Personal Certificate: j.w. w systemach typu Grid, spełnia zalecenia IGTF http://www.terena.org/activities/tcs/
TERENA TCS – wymagania Instytucja musi być na liście certyfikowanych! • Lista: https://tcs.pionier.gov.pl/customerlist/ • Aby znaleźć się na liście należy podpisać odpowiednią umowę z PCSS Wzór umowy znajduje się w materiałach Kontakt: Poznańskie Centrum Superkomputerowo-Siecioweul. Z. Noskowskiego 12/14, 61-704 Poznańfax. +48 61 8582032e-mail: tcs@pionier.gov.pl • Zostanie utworzone konto dla instytucji w portalu do składania wniosków
Polish Grid CA – dla kogo? • Wystawia certyfikaty dla niekomercyjnych użytkowników systemów typu Grid na terenie Polski http://www.man.poznan.pl/plgrid-ca/
PIONIER PKI – dla kogo? • Wystawia certyfikaty dla instytucji naukowych i edukacyjnych obsługiwanych przez PIONIER http://www.pki.pionier.net.pl
Jak zostać naszym klientem? • Wypełnić formularz zgłoszeniowy: • https://www.storage.pionier.net.pl/zgloszenie EWENTUALNIE: • Zgłosić się do najbliższej jednostki konsorcjum PLATON-U4 • lista kontaktowa:http://www.storage.pionier.net.pl/contact.html
Formularz zgłoszeniowy: • www.storage.pionier.net.pl/zgloszenie
Formularz rejestracyjny Na podstawie formularza zgłoszeniowego oceniona zostanie możliwość uzyskania dostępu do usługi Użytkownik zostanie poproszony o wypełnienie formularza rejestracyjnego profilu: dane instytucji dane kontaktowe osób w kwestiach formalno-prawnych i technicznych zapotrzebowanie na zasoby CA dla certyfikatów użytkowników 22
Parametry usługi Parametry usługi: • Ilość i możliwa lokalizacja replik • Tryb replikacji (synchroniczny/asynchroniczny) • Max. dostępną przestrzeń dla danych (soft i hard quota) • Max. liczbę plików i katalogów Parametry te będą określone w umowie o świadczenie usług. Wewnątrz systemu umowę odzwierciedla zestaw danych zwany kontraktem.
Obsługa po wprowadzeniu kontraktu • Zostaną przygotowane zasoby, a instytucji klienckiej podany zostanie adres dostępu do usługi • Osoba wyznaczona jako kontakt techniczny uzyska dostęp do formularza zgłoszeniowego dla użytkowników • Administrator systemu założy konta użytkownikom na podstawie zgłoszeń z formularza
Procedura rejestracji w usłudzeWarsztaty promocyjne dla użytkowników Usługi Powszechnej ArchiwizacjiDziękujemy za uwagę.PYTANIA?
Suplement 1 Gdzie zamówić usługę: lista kontaktowa
Gdzie zamówić usługę • Zamówienie usługi możliwe jest w jednym z dziesięciu ośrodków na terenie Polski biorących udział w projekcie • Białystok - Politechnika Białostocka, Centrum Komputerowych Sieci Rozległychplaton-u4-req@biaman.pl • Częstochowa - Politechnika Częstochowska, Instytut Informatyki Teoretycznej i Stosowanej, PCz platon-u4-req@icis.pcz.pl • Gdańsk - Politechnika Gdańska, Centrum Informatyczne Trójmiejskiej Akademickiej Sieci Komputerowej TASKplaton-u4-req@task.gda.pl • Kielce – Politechnika Świętokrzyskaplaton-u4-req@tu.kielce.pl
Gdzie zamówić usługę • Kraków – Akademia Górniczo-Hutnicza, Akademickie Centrum Komputerowe CYFRONET AGHplaton-u4-req@cyfronet.pl • Lublin - Uniwersytet Marii Curie-Skłodowskiej w Lublinie, LubMAN UMCSplaton-u4-req@umcs.lublin.pl • Łódź - Politechnika Łódzka, Centrum Komputerowe PŁ, Miejska Sieć Komputerowa LODMANplaton-u4-req@man.lodz.pl • Poznań – Instytut Chemii Bioorganicznej PAN,Poznańskie Centrum Superkomputerowo-Sieciowe PCSSplaton-u4-req@man.poznan.pl
Gdzie zamówić usługę • Warszawa – Uniwersytet Warszawski,Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego, ICMplaton-u4-req@net.icm.edu.pl • Wrocław - Politechnika Wrocławska, Wrocławskie Centrum Sieciowo-Superkomputerowe, WCSS platon-u4-req@kdm.wcss.wroc.pl
Suplement 2 Szczegółowe procedury uzyskiwania certyfikatów Dane kontaktowe CA i RA
TERENA TCS –procedura krok 1 Wypełnienie wniosku elektronicznego • Login, hasło i adres strony WWW z formularzem można uzyskać u osoby odpowiedzialnej z danej instytucji • Wspierane przeglądarki: Internet Explorer lub Firefox • Pomoc w wypełnieniu: https://tcs.pionier.gov.pl/manual2/personal/https://tcs.pionier.gov.pl/manual2/personal_eScience/
TERENA TCS –procedura krok 2 Weryfikacja wniosku • Potwierdzenie złożenia wniosku przychodzi e-mailem do wnioskodawcy • Należy wydrukować potwierdzenie i podpisać • Należy zgłosić się z potwierdzeniem u osoby odpowiedzialnej w ciągu 30 dni w celu potwierdzenia tożsamości (potrzebny dowolny dowód tożsamości ze zdjęciem) • RA (PCSS) weryfikuje i akceptuje wniosek
TERENA TCS –procedura krok 3 Wystawienie certyfikatu • TERENA TCS wystawia certyfikat • Wnioskodawca otrzyma e-mailem link do strony gdzie może certyfikat pobrać (tą samą przeglądarką, w której wypełniał formularz!)
TERENA TCS –procedura krok 4 Posługiwanie się certyfikatem • Klucz prywatny i certyfikat znajdują się w keyring i są natychmiastowo dostępne dla przeglądarki • Należy wyeksportować i przekonwertować klucz i certyfikat do plików w celu: • założenia konta w usłudze PLATON-U4 • użycia w innych programach dostępowych • SFTP: WinSCP, sftp • WebDAV: klient wbudowany
Polish Grid CA – procedura krok 1 Żądanie certyfikatu • Na maszynie z Globus Toolkit i zainstalowanym certyfikatem PL Grid CA wydajemy polecenie:grid-cert-request –ca(wybieramy CA: /CN=Polish Grid CA/O=GRID/C=PL, podajemy nazwę swojej instytucji, imię i nazwisko oraz hasło, wygenerowane pliki trafią do ~/.globus) • Na maszynie z openSSL wydajemy polecenie:openssl req -new -newkey rsa:1024 -subj'/C=PL/O=GRID/O=<instytucja>/CN=<imię nazwisko>' -keyout userkey.pem -out usercert_request.pem(w poleceniu podmieniamy <instytucja> oraz <imię nazwisko>, podajemy hasło) • Wysyłamy plik usercert_request.pem e-mailem na adres plgrid-ca@man.poznan.pl
Polish Grid CA – procedura krok 2 Weryfikacja wniosku • Potwierdzamy osobiście tożsamość w RA • lista RA: • http://www.man.poznan.pl/plgrid-ca/ra-list.html)
Polish Grid CA – procedura krok 3 Wystawienie certyfikatu • CA wystawia certyfikat i odsyła go e-mailem • typowo certyfikat umieszczany jest w ~/.globus/usercert.pem
Polish Grid CA –procedura krok 4 Posługiwanie się certyfikatem • Certyfikat i klucz są w formacie gotowym do założenia konta w PLATON-U4 i do użycia przez GridFTP • Należy przekonwertować i zaimportować certyfikat i klucz w celu użycia w innych programach dostępowych • SFTP: WinSCP, sftp • WebDAV: przeglądarka, klient wbudowany
1. PoznańRA - Paweł Wolniewicz - PSNC - (tel. 61 8582052)RA - Mirosław Kupczyk - PSNC - (tel. 61 8582052)C=PL, O=GRID, O=PSNC C=PL, O=GRID, O=IBCH C=PL, O=GRID, O=PUT-CS 2. KrakówRA - Andrzej Oziębło - CyfronetRA - Patryk Lasoń - CyfronetC=PL, O=GRID, O=Cyfronet C=PL, O=GRID, O=INP C=PL, O=GRID, O=AGH C=PL, O=GRID, O=PolSl C=PL, O=GRID, O=CMUJ 3. WarszawaRA - Adam Padee - INS/ICMC=PL, O=GRID, O=INS C=PL, O=GRID, O=ICM RA - Marian Krause - Warsaw Technical University C=PL, O=GRID, O=Warsaw Univeristy of TechnologyRA - Rafał Moderski - Obsertwatorium Astronimiczne Uniwersytetu WarszawskiegoC=PL, O=GRID, O=OAUW RA - Janusz Oleniacz - Warsaw Technical University C=PL, O=GRID, O=Warsaw University of Technology Faculty of Physics 4. CzęstochowaRA - Konrad Karczewski - Technical University of CzestochowaC=PL, O=GRID, O=Technical University of Czestochowa 5. Szczecin RA - Seweryn Niemiec - Szczecin University of Technology C=PL, O=GRID, O=Szczecin University of Technology 6. Gdansk RA - Rafał Tylman - Academic Computer Centre in Gdansk TASKC=PL, O=GRID, O=Academic Computer Centre in Gdansk TASK 7. Bialystok RA - Tomasz Lukaszuk - Bialystok Technical University C=PL, O=GRID, O=Bialystok Technical University 8. Lodz RA - Tomasz Berner - Technical University of Lodz C=PL, O=GRID, O=Technical University of Lodz 9. Zielona Gora RA - Przemyslaw Baranowski - University of Zielona Gora C=PL, O=GRID, O=University of Zielona Gora 10. Lublin RA - Andrzej Bobyk - UMCS C=PL, O=GRID, O=UMCS 11. Opole RA - Andrzej Czainski - Opole University C=PL, O=GRID, O=Opole University 12. Wroclaw RA - Pawel Dziekonski - WCSS C=PL, O=GRID, O=WCSS 13. Gliwice RA - Piotr Tarnowski RA - Maciej Uhlig C=PL, O=GRID, O=US Polish Grid CAEstablished RA list and DN formats
PIONIER PKI - procedura • Opis jest na stronie:http://www.pki.pionier.net.pl/index.php?c=static_sites&sid=14