Néha kérdések, orosz adat-intenzív grid tanúsítványkibocsátói

előzőa következő

Van egy lista a régebbi kérdéseket. lehet, hogy már elavult, de talán valaki tud segíteni.

Magyarázatok az igazolásokat, és így tovább.

a legfontosabb modul lehet beszerezni a következő parancsokkal (választani kell előidézni ilyen): A felhasználói tanúsítványokat a második parancs kérdést a jelszót a privát kulcs - ez a jelszó létrehozásakor megadott a kérelmet.

itt
  • - egy fájl, amit küld (vagy akar csak küldés) e-mail létrehozása után a tanúsítvány kérést. Egyedi kéréseket, hívta userreq.mail. Kérjenek igazolást vagy autószerviz - hostreq.mail.
  • - egy fájl, ami tartalmazza a saját kulcsot. Egyedi kéréseket, hívta userkey.pem. Kérjenek igazolást vagy autószerviz - hostkey.pem.

Feltételezzük, hogy Ön regisztrált egy virtuális szervezet, amelynek forrásait próbálják használni. Ha nem, akkor egy olyan oldalra virtuális szervezetek RDIG vagy egy oldal a virtuális szervezetek CERN. Leírja a regisztrációs folyamatot. Meg tudja nézni az állapotát a tagság egy virtuális szervezet ugyanazon az oldalon.

Az alábbiakban egy listát az alapvető vizsgálatokat kell elvégezni, az Ön tanúsítvány és a saját kulcs (pár), hogy néhány ötletet a technikai problémák.

Ellenőrzés alkatrészek megfelelő kulcspár

Fuss egy pár csapat

Az utolsó csapat, hogy adja meg a jelszót a privát kulcs. Mindkét csapat van, hogy ugyanazt az eredményt. Ha ez nem így van, vagy ha elfelejtette, hogy frissítse a tanúsítvány (fájl

/.globus/usercert.pem), egy privát kulcs (a fájl

Itt a vizsgálatot a helyes kulcspár:

Ha ön kap a különböző modulokat, hogy nem egyezik a tanúsítvány és privát kulcs. A legvalószínűbb forgatókönyv a következő. Az alábbiakban egy példa a bajok a felhasználói tanúsítványt. Igazolások házigazdák és szolgáltatásokat szeretne változtatni csak fájlnevek: a fájlok neve hostcert.pem és hostkey.pem és található a könyvtárban

/.globus/HOSTNAME szakértői tanúsítványt és a könyvtár

/.globus/SERVICE-HOSTNAME a szolgáltatás tanúsítványt. Itt HOSTNAME - a domain név a csomópont, és a SERVICE - a szolgáltatás nevét.

Így néha előfordul következő.
  • Felhasználók számára, hogy hozzon létre egy új kulcspár és kérelmet, de a könyvtárban
/.globus ő már volt a fájlokat egy tanúsítványt és a saját kulcsot. És ők hívták usercert.pem és hostcert.pem.
  • A szkript nem tudja felülírni a meglévő fájlokat: úgy lett megtervezve, hogy soha ne érjen a meglévő fájlokat. Az ok nyilvánvaló: abban az időben, létrehozva egy új kulcspár legidősebb aktív, tehát megfosztani a felhasználó ezt a pár működik brutalitás.
  • Ezért a script fájlokat hoz létre usercert.DATE.pem és userkey.DATE.pem, ahol DATE - álló jelsorozat az aktuális dátum és idő (ÉÉÉÉHHNN-óóppmm méret, ha valaki érdeklődik a).
  • A felhasználó elküld egy kérést, elfeledkezik mindenről.
  • Egy idő után, a felhasználó küldött igazolást, amely tartja a fájlban

    /.globus/usercert.pem. De a fájlban elhelyezni

    /.globus/userkey.pem tartalmát az új privát kulcspárt a tanúsítvány, a felhasználó elfelejti.

    • A helyzet orvoslására lehet: nézd meg a tartalmát egy könyvtárba

    /.globus és megnézzük ott userkey.DATE.pem file ahol időpont egybeesik azzal az időponttal a kérelmet. Másolja a tartalmát ezt a fájlt userkey.pem megmentésével régi userkey.pem. Ismét a bejelentkezéseket. Ha szükséges, ismételje meg.

    Ellenőrzése létrehozását proxy-bizonyítvány

    A helyes változat a parancs így néz ki:

    Validation Globus-hitelesítés

    Ehhez a vizsgálathoz szükség lesz Globus Gatekeeper, amely általában a Computing Element. Computing Element maga kell fenntartani a virtuális szervezet.

    Ez a parancs hitelesíti kezdeni egy feladatot, de a feladat nem magától fut.

    Itt van, hogy dolgozzanak ki a parancsot az esetben sikeres hitelesítés:

    Tünetei a probléma általában a következő: ha a csapat indítási

    Bárhogy legyen is a helyzet, a bizonyítvány (ha persze érvényes) elérhető az oldal érvényes tanúsítvány RDIG CA. Csak annyit kell tennie -, hogy fenntartsa a megfelelő példányát a tanúsítványt egy fájlba a helyi gépen.

    Ezzel a kapcsolatot, akkor töltse le a tanúsítványt bármely megfelelő hely az Ön számára. Például, ha egy gép egy telepített segédprogram GNU Wget. majd futás a parancs

    menteni az igazolást az aktuális könyvtárban, a mycert.pem fájlt. Megjegyzés: A jelenléte a karakterek „\” a parancs opcionális; esetünkben ez jelenleg csak az olvashatóság.

    Ha inkább használható eszköz, göndör. akkor a csapat nem ugyanaz, mint fent, úgy nézne ki:

    Ha a legtöbb, mint lftp segédprogramot. akkor segítsen a csapatnak

    Felhívjuk a figyelmet, hogy az egységes idézetek - ezek fontosak.

    Ezt meg lehet tenni importálásával a tanúsítvány és a legfontosabb, hogy a böngésző, de ez először, hosszú idő, másrészt, csak akkor működik, protokollok, amely megérti a böngésző.

    Egy univerzális megoldás az, hogy az OpenSSL segédprogram SSL-kliens módban. Ez úgy történik, az alábbiak szerint:

    Megjegyzés: A jelenléte a „\” karakter a csapat nem kötelező; ez a szimbólum csak akkor van jelen, hogy javítsa a szöveg érthetőségét.

    Az alábbiakban látható a különböző forgatókönyvek rdig-registrar.sinp.msu.ru szerver, amely VOMS-szolgáltatást igényel ügyfélhitelesítés.

    1. lehetőség: Az ügyfél nem biztosítja a kulcspárt.

    Bejegyzések „SSLv3 riasztási rossz bizonyítvány” és a „ssl handhake hiba” azt sugallja, hogy szerver hitelesítéséhez az ügyfél akar, de ez nem működik, mert (a mi esetünkben) az ügyfél nem rendelkezik a kulcspár. Az utolsó, és azt mondja, hogy az SSL-szerver használ ügyfélhitelesítés újabb hívás felépítési fázisában. Egyébként az SSL-kapcsolat sikeres lesz, amely arra utalna, vagy teljes hiánya ügyfél hitelesítés vagy ügyfélhitelesítés amikor kezelése csak bizonyos szerver erőforrásait.

    2. lehetőség: az ügyfél megadta a kulcspárt, de ez valami rossz. Ebben az esetben a tanúsítvány lejárt.

    Amint látjuk, ugyanaz történik, mint a hiánya esetén a tanúsítványt.

    De hogyan fog reagálni OpenSSL nem illő elemek kulcspár:

    Tehát jobb, káromkodás - „billentyűt értékek mismatch”

    3. lehetőség: az ügyfél megadta a megfelelő kulcspár.

    Itt minden rendben van, a kulcspár megfelelő és a kiszolgáló megbízható hitelesítésszolgáltató, aki aláírta a tanúsítványt. Csapatmunka „OpenSSL s_client” megszakította a kombinációja a Ctrl-C billentyűket, de általánosságban elmondható, hogy az ülés megy, és az üzemeltető léphetett olyan parancsokat, amelyek átadták a szerverre és ott dolgozták fel.

    Az alábbiakban bemutatunk néhány népszerű böngészők.

    Mozilla Firefox

    a gyorsítótár törlése a böngésző gomb található a menüben «Advanced» → «Hálózat» és «Extra» → «Hálózat», ill.

    Safari MacOS

    A böngésző segítségével a rendszer tanúsítványtárolót, így manipulálni a főtanúsítvány futtatásához szükséges a közüzemi «kulcstartó Access», amely megtalálható «alkalmazások» mappát → «Kommunikáció».

    A gyorsítótár törlése az alábbiak szerint: a Safari preferenciák a fül kiválasztásához «Advanced» és ott jelölje elem mellett «megjelenítése Develop menü menüsorban» (persze, ha a jelző nincs telepítve). Ezt követően, csak válassza ki a menüpont «Develop» → «Üres Caches».

    Internet Explorer

    Törölje a cache a böngésző, nyomja meg a Ctrl-Shift-Del, válassza ki a pop-up ablak, válassza a „Temporary Internet Files”, és törölje a többi pontot, majd kattintson az „Eltávolítás”.

    előzőa következő