Registrierungsstelle für Grid-Zertifikate

Wer Dienste im Grid in Anspruch nehmen will, benötigt dafür ein sogenanntes Zertifikat. Dies ist ein digitales Dokument, welches die Identität des Nutzers bezeugt. Zertifikate werden von Certificate Authorities (CAs) ausgestellt. Für den Grid-Bereich gibt es in Deutschland nur 2 CAs, eine in Karlsruhe am GridKA und eine in Hamburg beim DFN.

Damit Nutzer aus Paderborn einfach ein Zertifikat erhalten können, betreibt das PC² eine Registrierungsstelle. Diese nimmt Zertifikatsanträge entgegen, bezeugt die Identität des Antragstellers und leitet die Anträge an die CA des DFN weiter.

Bitte beachten Sie, dass "normale" DFN-Zertifikate, z.B. für verschlüsselten Mail-Austausch, im Grid keine Gültigkeit haben. Da der Grid-Bereich einer eigenen Policy unterliegt, müssen hierfür getrennt Zertifikate beantragt werden.

Um ein Zertifikat für das D-Grid zu beantragen, steht Ihnen eine vom DFN-Verein betriebene Web-Seite zur Verfügung. Bitte lesen Sie zunächst folgende Hinweise:

Wichtige Hinweise zum Ausfüllen des Web-Formulars:

  • Nutzen Sie für das Beantragen nur ihren eigenen Recher, da während der Prozedur der private Schlüssel ihres Zertifikats im verwendeten Browser gespeichert wird!
  • Klicken Sie zunächst auf Nutzer -> Beantragen eines Zertifikats
  • Wählen Sie dann "Zertifikatantrag für Nutzer"
  • Unter "Abteilung" tragen sie den Namen ihrer Einrichtung innerhalb der Universität ein. "Universität Paderborn" steht automatisch in allen über dieses Formular beantragten Zertifikaten. Angehörige des PC² tragen hier bitte "PCPC" ein.
  • Sie müssen Ihre eMail-Adresse doppelt eingeben. Normalerweise sind beide Eingaben identisch. Die erste Adresse dient der Identifizierung und ist im Zertifikat vermerkt; an die zweite Adresse wird Ihnen das Zertifikat zugestellt.

Hier kommen Sie zu dem Web-Formular:

DFN Grid User CA Web Interface für Registrierungsstelle UPB

Hier können sie sowohl neue Zertifikate beantragen, als auch die Root-Zertifikate für die Grid-CA-Hierarchie herunterladen. Nachdem Sie ein Zertifikat über die Webseite beantragt haben, wenden sie sich mit dem ausgedruckten und unterschriebenen Antrag, sowie ihrem Personalausweis bitte an:

  • Bernard Bauer, Raum  F0.335, Tel. 05251-60-6284, oder
  • Holger Nitsche, Raum  F0.343, Tel. 05251-60-6303

Bitte vereinbaren Sie vorher einen Termin per Mail: grid-ra<nospam>upb.de.

Wie geht es nach dem Ausfüllen weiter?

  • Nach dem Abschicken des Antrags müssen Sie sich persönlich bei der RA identifizieren (siehe oben)
  • Das fertige Zertifikat wird ihnen an die angegebene eMail-Adresse zugeschickt
  • Sie müssen es dann mit dem Browser importieren, den Sie zum Beantragen des Zertifikats verwendet haben
  • Nur so kann der private Schlüssel mit dem Zertifikat kombiniert werden
  • Aus dem Zertifikatsspeicher des Browsers können sie das Zertifikat exportieren, um es z.B. mit Unicore zu verwenden

Beantragen von Server-Zertifikaten

Zum Beantragen von Server-Zertifikaten müssen Sie zunächst lokal eine sogenannte Request-Datei vorbereiten. Diese wird über das Web-Interface zur RA hochgeladen. Das weitere vorgehen entspricht dann dem obigen vorgehen für User-Zertifikate.

Die Datei kann z.B. mit dem OpenSSL Toolkit erstellt werden. Verwenden Sie bitte diese openssl-grid-upb.cnf Datei. Folgende Schritte müssen durchgeführt werden: 

openssl req -newkey rsa:2048 -config openssl-grid-upb.cnf \
            -sha1 -keyout key.pem -out req.pem

Damit wird ein neuer Schlüssel und ein Request generiert. Der private Teil des Schlüssels wird in key.pem gespeichert, der Request in req.pem. Den privaten Schlüssen müssen sie sicher aufbewahren, den Request müssen Sie über folgende Webseite an die RA schicken:

DFN Grid Server CA Web Interface für Registrierungsstelle UPB

Wenn Sie das Zertifikat per Mail bekommen haben, können sie es mit folgendem Befehl zu einer PKCS12-Datei zusammenbauen:

openssl pkcs12 -export -inkey key.pem -in cert.pem \
               -certfile ca-cert-chain.pem -out key-cert.p12

Die Datei ca-cert-chain.pem enthält dabei das Zertifikat der CA, welches Sie ebenfalls über die oben angegebene Webseite downloaden können.

HPC Systems & Services