Ime strani: nsc / Elektronsko potrdilo za znanost

Elektronsko potrdilo za znanost

Za uporabo vrste računalniških storitev za znanost potrebujete osebno elektronsko potrdilo (certifikat) za znanost. Za področje Slovenije je akreditirani izdajatelj SiGNET CA, ki je doma na IJS, uporabljate pa lahko tudi katerokoli drugo osebno potrdilo, ki so vam ga izdali pri katerem od akreditiranih izdajateljev pri http://www.igtf.org.

Za delo z elektronskimi potrdili priporočamo brskalnik Mozilla Firefox.

Če boste uporabili drug brskalnik, uporabite skripto za izdelavo zahtevka (spodaj), sicer ne boste mogli prevzeti potrdila.

Korensko potrdilo

Najprej je priporočljivo, da prenesite korensko potrdilo SiGNET CA ter ga namestite v brskalink in/ali v shrambo operacijskega sistema. Korensko potrdilo najdete na strani http://signet-ca.ijs.si/ oz neposredno na povezavi http://signet-ca.ijs.si/pub/cacert/signet02cacert.crt

Pozor, pri nameščanju morate biti previdni in dejansko dedeliti zaupanje korenskemu potrdilu. Pri brskalniku Mozilla Firefox morate označiti vse tri kvadratke v dialogu za nameščanje. Če ste se zmotili, lahko izberete certifikat med nameščenimi korenskimi potrdili izdajateljev, izberete Uredi/Edit in dodate zaupanje.

Osebno elektronsko potrdilo (certifikat)

Overjanje

Ob prvi izdaji potrdila morate opraviti osebno overjanje. (Soba J314 oz. interna 3668 za dogovor.) Za overjanje potrebujete uradni osebni dokument s sliko (osebna izkaznica, vozniško dovoljenje, potni list). Ob overjanju morate predložiti tudi soglasje za zbiranje osebnih podatkov.

Zahtevek s spletnim formularjem

Potrdilo izdajatelj izda na osnovi zahtevka, ob katerem uporabnik ustvari osebni ključ, ki ga ne deli z izdajateljem ali drugimi uporabniki. Zahtevek lahko ustvarite s pomočjo spletnega formularja na https://signet-ca.ijs.si/pub/ - pri čemer priporočamo uporabo brskalnika Mozilla Firefox. Pozor, brskalnik bo ustvaril osebni ključ in ga shranil v profil, zato morate uporabiti isti brskalnik z istim profilom (običajno torej na istem računalniku), da boste lahko prevzeli potrdilo Prosimo tudi, da uporabite svoj uradni elektronski poštni naslov na IJS, ne svojega zasebnega naslova, saj bodo podatki v elektronskem potrdilu javno dostopni ob uporabi javne infrastrukture.

Zahtevek v ukazni vrstici

Zahtevek za potrdilo SiGNET CA lahko pripravite in oddate tudi iz ukazne vrstice (zahtevek X509) s primernimi orodji, npr. OpenSSL. V tem primeru v spletni formular naložite zahtevek (Certification Service Request, CSR), osebni ključ pa shranite na svojem računalniku in ga kasneje po potrebi združite s potrdilom, ko vam ga izdajatelj izda. Priporočljiva pa je uporaba priročne skripte za zahtevke (v okolju GNU/Linux oz. drugem POSIX kompatibilnem okolju), s katero lahko hitro in preprosto neposredno vložite zahtevek (brez uporabe brskalnika).

Prevzem osebnega potrdila

Ko bo vaše elektronsko potrdilo izdano (običano v treh delovnih dneh po vlogi, če ste overjanje že opravili), prejmete elektronsko obvestilo s povezavo za prevzem potrdila in dodatno elektronsko potrdilo, šifrirano za branje z vašim osebnim ključem.

Če ste zahtevek vložili z brskalnikom (Mozilla Firefox), odprite povezavo v istem brskalniku. Če brskalnik prikaže opozorilo "This certificate can not be installed because you do not own the corresponding private key.", ste uporabili napačen brskalnik ali napačen profil, saj brskalnik ne najde vašega zasebnega ključa.

Če ste zahtevek vložili z ročno izdelanim zahtevkom ali preko skripte, prenesite potrdilo neposredno (Save as na povezavo ali z orodjem za prenos datotek, npr. wget.) V tem primeru dobite datoteko v formatu PEM (oz. .pem), ki jo skupaj z osebnim ključem že lahko uporabljate.

Priprava potrdila

Ko sprejmete potrdilo z brskalnikom, bo sprva nameščeno v varni shrambi brskalnika (ali, pri nekaterih brskalnikih, namizja oz. operacijskega sistema). Elektronsko potrdilo morate za uporabo z vmesniki grid izvoziti in preoblikovati v obliko pem. Datoteko izvozite tako, ta kliknete na gumb za meni, izberete Nastavitve/Preferences -> Napredno/Advanced -> Ogled certifikatov/View certificates). V dialogu pod SiGNET CA izberete svoj osebni certifikat in spodaj izberete Izvozi/Backup.

Dobili boste datoteko v formatu PKCS12 (tudi DER oz. .p12). V format PEM jo lahko predelate na ukazni vrstici z orodji OpenSSL ali pa uporabite priročno skripto za predelavo elektronskih potrdil.

Primer ročne pretvorbe:

openssl pkcs12 -in usercert.p12 -clcerts -nokeys -out usercert.pem
openssl pkcs12 -in usercert.p12 -nocerts -nodes -out userkey.pem
chmod 400 userkey.pem
chmod 644 usercert.pem
mv userkey.pem ~/.arc/
mv usercert.pem ~/.arc/

Potrdilo ohranite v brskalniku, ker ga boste potrebovali za prijavo na nekatere spletne storitve.

Ko sprejmete potrdilo, ki ste vložili s pomočjo ročno pripravljenega zahtevka ali skripte, ga morate prenesti še v brskalnik. Večina brskalnikov lahko neposredno uvozi potrdila v formatu PEM, vendar morate zružiti potrdilo in osebni ključ:

cat janez_kranjski.crt janez_kranjski.key > janez_kranjski.pem

Nastalo datoteko lahko uvozite z orodjem za upravljanje s potrdili v brskalniku, namizju ali operacijskem sistemu. Pri brskalniku Mozilla Firefox lahko to storite Datoteko izvozite tako, ta kliknete na gumb za meni, izberete Nastavitve/Preferences -> Napredno/Advanced -> Ogled certifikatov/View certificates). V dialogu pod SiGNET CA izberete svoj osebni certifikat in spodaj izberete Uvozi/Import. Po potrebi premenite format v Certificate files.

V primeru, da vaše okolje formata ne sprejme, ga lahko predelate v PKCS12 oz. DER:

openssl x509 -outform DER -in janez_kranjski.pem -out  janez_kranjski.p12

Veljavnost, podaljšanje in druga potrdila

Potrdilo velja leto dni. Po preteku veljavnosti morate vložiti nov zahtevek s spletnim formularjem ali lastnim generiranim zahtevkom, saj je treba v podaljšanem certifikatu uporabiti nov osebni ključ. Overjanja pri podaljšanju potrdila ni treba ponavljati.

Ko imate osebno potrdilo, lahko vložite tudi zahtevek za elektronsko potrdilo za strežnik ali storitve, če ga potrebujete. (Za javno dostopne storitve, ki niso namenjene zgolj znanstveni srenji, sicer priporočamo potrdila Arnes TCS.)

Povezave

Orodja