¿Como usar el certificado con globus?


Una vez que el certificado ha sido descargado al navegador hay que seguir una serie de pasos para poder usarlo con globus:

Exportar el certificado con formato PKCS#12

Estas instrucciones describen como exportar su certificado desde su navegador web. Esto es necesario por dos razones:

En primer lugar para tener una copia de su certificado y de su copia privada por si le ocurre algo a la copia almacenada en su navedor (por si cambia de versión de navegador y su nueva versión no preserva la clave, por si tiene problemas con el ordenador, etc).

En segundo lugar es necesario exportar su certificado y clave privada para poder acceder al interface de trabajo con IRISGrid. Las instrucciones siguientes le indicarán cómo extraer el certificado y la clave como un conjunto en formato PKCS#12, que suele guardarse en un fichero con extensión .p12.

Navegadores basados en Mozilla

Lo primero que debe hacer es acceder al gestor de certificados. A continuación se detalla cómo acceder a dicho gestor desde diferentes navegadores

Mozilla

  • Ir a Preferences (Menú Edit en Linux/Windows, Menú Mozilla en MAC OS)
  • Bajo "Privacy & Security" ir a "Certificates"
  • Seleccionar "Manage Certificates...

Firefox

  • Ir a Preferences (Menú Edit en Linux/Windows, Menú Firefox en MAC OS)
  • Bajo "Advanced" ir a "Certificates"
  • Seleccionar "Manage Certificates...

Galeon

  • Ir a Edit > Preferences
  • Ir a "Privacy"
  • Seleccionar "Manage Certificates...

Una vez que se ha abierto el administrador de certificados (Certificate Manager):

  • Elija su certificado y pulse sobre "Backup"
  • Introduzca un nombre para el fichero, por ejemplo irisgrid-cert-backup.p12
  • Introduzca la clave para acceder al servicio de seguridad de su navegador (el sitio donde su navegador guarda internamente las claves)
  • Introduzca una clave para protejer el fichero de backup

El fichero de backup (por ejemplo irisgrid-cert-backup.p12) será creado.

Internet Explorer

  • Ir a Tools - Internet Options - Content - Certificates - Personal (Card)
  • Seleccionar el certificado de IRISGrid
  • Seleccionar export
  • Seleccionar la opción: include private key
  • Selecciona: use stronger security
  • Deseleccionar la opción: delete private key after export
  • Introducir una clave para proteger las credendciales exportadas
  • Elegir un nombre para el fichero, por ejemplo irisgrid-cert-backup

Esto creará un fichero con extensión .pfx que contiene su certificado y clave privada protegidas por la clave que ha proporcionado

Notas generales

La clave de acceso al sistema de seguridad de su navegador es totalmente local a su navegador y si usted no dispone de esa clave no podrá exportar su certificado.

Extraer la clave privada

Antes de leer este párrafo le recomendamos visite la sección de utilidades de la pkIRISGrid. Puede usar el programa pkcs12toglobus.sh para realizar estos pasos de forma automática.

Para este paso usted necesita openssl o alguna otra herramienta como grid-pkcs12

Si usa openssl para convertir el fichero al formato PEM: (reemplace irisgrid-cert-backup.p12 o irisgrid-cert-backup.pfx por el nombre de su fichero exportado)

> openssl pkcs12 -in irisgrid-cert-backup.p12 -out blah.pem -clcerts
Enter Import Password:
MAC verified OK
Enter PEM pass phrase:
Verifying password - Enter PEM pass phrase:

Ahora el fichero PEM mantiene su certificado y su clave privada. Necesita separarlos en dos ficheros de la siguiente forma

cp blah.pem usercert.pem
cp blah.pem userkey.pem

En el fichero con su certificado debe borrar la sección que habla de la clave privada. Para ello debe eliminar las líneas entre ---- BEGIN RSA PRIVATE KEY ---- y ---- END RSA PRIVATE KEY ----

En el fichero userkey.pem borre todo salvo lo contenido entre esas dos líneas. Debe quedarse también con las dos líneas

Ahora debe asegurarse de que nadie va a tener acceso a esos ficheros. Para ello basta con cambiar los permisos de los mismos

> chmod 0400 userkey.pem
> chmod 0444 usercert.pem

Para comprobar si todo ha ido bien puede probar con el comando grid-proxy-init en el directorio temporal actual

> grid-proxy-init -certdir .
Enter PEM pass phrase:
..+++++
..........+++++
> grid-proxy-info -all
subject : /DC=es/DC=irisgrid/CN=prueba@rediris.es
issuer : /DC=es/DC=irisgrid/CN=CA
type : full
strength : 512 bits
timeleft : 11:59:55

Si esto ha funcionado puede mover los dos ficheros a su directorio ~/.globus

ANTENCION: Si usted ya tenía credenciales válidas en su directorio .globus (por ejemplo de otra CA), sálvela primero en otra localización

Instalar su certificado de usuario y probar IRISGrid

Debe configurar su entorno en su fichero de configuración .profile mediante la variable GLOBUS_LOCATION=/usr/local/globus y ejecutando el script /usr/local/globus/etc/globus-user-env.sh. Por ejemplo:

$ export GLOBUS_LOCATION=/usr/local/globus
$ source /usr/local/globus/etc/globus-user-env.sh

Una vez que estas variables han sido tomadas por su entorno usted puede crear un certificado proxy que actúe como un punto único de autenticación para IRISGrid. Para ello ejecute:

$ grid-proxy-init

Copie el Nombre distintivo asociado al subject que le devuelve el comando grid-proxy-init y pidale a su administrador de globus que añada ese identificador al fichero gridmap al que usted tenga derecho.

Finalización de pkIRISGrid CA