Elektronsko potrdilo za znanost

Za uporabo vrste računalniških storitev za znanost potrebujete osebno elektronsko potrdilo (certifikat) za znanost. Za področje Slovenije je akreditirani izdajatelj SiGNET CA, ki je doma na IJS, uporabljate pa lahko tudi katerokoli drugo osebno potrdilo, ki so vam ga izdali pri katerem od akreditiranih izdajateljev pri http://www.igtf.org.

• Spletne strani izdajatelja SiGNET CA: SiGNET CA

• Navodila Slovenske nacionalne iniciative za grid SLING: http://www.sling.si/sling/uporabniki/overjanje-in-avtorizacija/

Korensko potrdilo

Najprej je priporočljivo, da prenesite korensko potrdilo SiGNET CA ter ga namestite v brskalink in/ali v shrambo operacijskega sistema. Korensko potrdilo najdete na strani http://signet-ca.ijs.si/ oz neposredno na povezavi http://signet-ca.ijs.si/pub/cacert/signet02cacert.crt

Pozor, pri nameščanju morate biti previdni in dejansko dedeliti zaupanje korenskemu potrdilu. Pri brskalniku Mozilla Firefox morate označiti vse tri kvadratke v dialogu za nameščanje. Če ste se zmotili, lahko izberete certifikat med nameščenimi korenskimi potrdili izdajateljev, izberete Uredi/Edit in dodate zaupanje.

Osebno elektronsko potrdilo (certifikat)

Overjanje

Ob prvi izdaji potrdila morate opraviti osebno overjanje. (Soba J314 oz. interna 3668 za dogovor.) Za overjanje potrebujete uradni osebni dokument s sliko (osebna izkaznica, vozniško dovoljenje, potni list). Ob overjanju morate predložiti tudi soglasje za zbiranje osebnih podatkov.

Overjanje lahko opravite tudi pri drugih overilnih točkah SLING po Sloveniji.

Zahtevek v ukazni vrstici

Potrdilo izdajatelj izda na osnovi zahtevka, ob katerem uporabnik ustvari osebni ključ, ki ga ne deli z izdajateljem ali drugimi uporabniki. Zahtevek za potrdilo SiGNET CA najlaže pripravite in oddate tudi iz ukazne vrstice (zahtevek X509) s primernimi orodji, npr. OpenSSL in curl. Priporočeno okolje je POSIX ali POSIX-like z nammeščenimi paketi OpenSSL in curl oz. libcurl, npr. GNU/Linux, *BSD, Mac OSX ali ustrezno okolje v MS Windows (GitBash ali Windows Subsystem for Linux) V tem primeru v spletni formular naložite zahtevek (Certification Service Request, CSR), osebni ključ pa shranite na svojem računalniku in ga kasneje po potrebi združite s potrdilom, ko vam ga izdajatelj izda. Priporočljiva pa je uporaba priročne skripte za izdelavo zahtevka (v okolju GNU/Linux oz. drugem POSIX kompatibilnem okolju), s katero lahko hitro in preprosto neposredno vložite zahtevek (brez uporabe brskalnika), omogoča pa tudi prevzem elektronskega potrdila in preoblikovanje v obliko, primerno za uvoz v brskalnike. Prosimo, da uporabite svoj uradni elektronski poštni naslov na IJS, ne svojega zasebnega naslova, saj bodo podatki v elektronskem potrdilu javno dostopni ob uporabi javne infrastrukture.

Zahtevek s spletnim formularjem

Zahtevek lahko ustvarite tudi s pomočjo spletnega formularja na https://signet-ca.ijs.si/pub/ - pri čemer novejši brskalniki ne podpirajo več metode za izdelavo ključa v formularju, zato ta pristop z njimi ne deluje. Če še uporabljate ta način, bodite pozorni, saj bo brskalnik ustvaril osebni ključ in ga shranil v profil, zato morate uporabiti isti brskalnik z istim profilom (običajno torej na istem računalniku), da boste lahko prevzeli potrdilo. Prosimo, da uporabite svoj uradni elektronski poštni naslov na IJS, ne svojega zasebnega naslova, saj bodo podatki v elektronskem potrdilu javno dostopni ob uporabi javne infrastrukture.

Prevzem osebnega potrdila

Ko bo vaše elektronsko potrdilo izdano (običano v treh delovnih dneh po vlogi, če ste overjanje že opravili), prejmete elektronsko obvestilo s povezavo za prevzem potrdila in dodatno elektronsko potrdilo, šifrirano za branje z vašim osebnim ključem.

Če ste zahtevek vložili preko skripte, lahko skripto po navidilih v obvestilu uporabite tudi za prevzem potrdila. Pri tem morate navesti ime datoteke, v kateri se je ob pripravi vlogi shranil ključ.

Če ste zahtevek vložili z ročno izdelanim zahtevkom prenesite potrdilo neposredno (Save as na povezavo ali z orodjem za prenos datotek, npr. wget.) V tem primeru dobite datoteko v formatu PEM (oz. .pem), ki jo skupaj z osebnim ključem že lahko uporabljate.

Če ste zahtevek vložili z brskalnikom (Mozilla Firefox), odprite povezavo v istem brskalniku. Če brskalnik prikaže opozorilo "This certificate can not be installed because you do not own the corresponding private key.", ste uporabili napačen brskalnik ali napačen profil, saj brskalnik ne najde vašega zasebnega ključa.

Priprava potrdila

Ko prejmete potrdilo s skripto, se vam ob zagonu izpišejo imena datotek za potrdilo in ključ v formatu PEM ter za oboje združeno v datoteko za uvoz v brskalnik (format DER/PKCS12, končnica .p12). Pri uporabi skripte torej pretvorba ni potrebna, vse potrebne oblike so že na voljo.

Ko sprejmete potrdilo z brskalnikom, bo sprva nameščeno v varni shrambi brskalnika (ali, pri nekaterih brskalnikih, namizja oz. operacijskega sistema). Elektronsko potrdilo morate za uporabo z vmesniki grid izvoziti in preoblikovati v obliko pem. Datoteko izvozite tako, ta kliknete na gumb za meni, izberete Nastavitve/Preferences -> Napredno/Advanced -> Ogled certifikatov/View certificates). V dialogu pod SiGNET CA izberete svoj osebni certifikat in spodaj izberete Izvozi/Backup.

Dobili boste datoteko v formatu PKCS12 (tudi DER oz. .p12). V format PEM jo lahko predelate na ukazni vrstici z orodji OpenSSL ali pa uporabite priročno skripto za predelavo elektronskih potrdil.

Primer ročne pretvorbe:

openssl pkcs12 -in usercert.p12 -clcerts -nokeys -out usercert.pem
openssl pkcs12 -in usercert.p12 -nocerts -nodes -out userkey.pem
chmod 400 userkey.pem
chmod 644 usercert.pem
mv userkey.pem ~/.arc/
mv usercert.pem ~/.arc/

Potrdilo ohranite v brskalniku, ker ga boste potrebovali za prijavo na nekatere spletne storitve.

Ko sprejmete potrdilo, ki ste vložili s pomočjo ročno pripravljenega zahtevka ali skripte, ga morate prenesti še v brskalnik. Večina brskalnikov lahko neposredno uvozi potrdila v formatu PEM, vendar morate zružiti potrdilo in osebni ključ:

cat janez_kranjski.crt janez_kranjski.key > janez_kranjski.pem

Nastalo datoteko lahko uvozite z orodjem za upravljanje s potrdili v brskalniku, namizju ali operacijskem sistemu. Pri brskalniku Mozilla Firefox lahko to storite Datoteko izvozite tako, ta kliknete na gumb za meni, izberete Nastavitve/Preferences -> Napredno/Advanced -> Ogled certifikatov/View certificates). V dialogu pod SiGNET CA izberete svoj osebni certifikat in spodaj izberete Uvozi/Import. Po potrebi premenite format v Certificate files.

V primeru, da vaše okolje formata ne sprejme, ga lahko predelate v PKCS12 oz. DER:

openssl x509 -outform DER -in janez_kranjski.pem -out  janez_kranjski.p12

Veljavnost, podaljšanje in druga potrdila

Potrdilo velja leto dni. Po preteku veljavnosti morate vložiti nov zahtevek s spletnim formularjem ali lastnim generiranim zahtevkom, saj je treba v podaljšanem certifikatu uporabiti nov osebni ključ. Overjanja pri podaljšanju potrdila ni treba ponavljati.

Ko imate osebno potrdilo, lahko vložite tudi zahtevek za elektronsko potrdilo za strežnik ali storitve, če ga potrebujete. (Za javno dostopne storitve, ki niso namenjene zgolj znanstveni srenji, sicer priporočamo potrdila Arnes TCS.)

Povezave

• Spletne strani izdajatelja SiGNET CA: SiGNET CA

• Navodila Slovenske nacionalne iniciative za grid SLING: http://www.sling.si/sling/uporabniki/overjanje-in-avtorizacija/

• http://www.igtf.org

• Arnes TCS

Orodja

• skripta za izdelavo zahtevka

• skripta za predelavo elektronskih potrdil