Introduction

L’intergiciel (middleware) utilisé par le service de calcul à haut débit (HTC) de la plateforme SCIGNE repose sur un ensemble d’outils utilisant un certficat X509 pour s’authentifier auprès des différents services (calcul, stockage). Ce certificat permet de simplifier et de sécuriser l’authentification aux différentes ressources constituant la grille de calcul internationale.

Ce document détaille l’obtention et la gestion de ce certificat dans le cadre de l’utilisation des ressources du service HTC, que ce soit celle de la plateforme SCIGNE ou des infrastructures EGI et WLCG.

Les certificats électroniques

Le certificat électronique est une carte d’identité numérique qui permet :

  • d’indiquer la qualité du possesseur du certificat (utilisateur, service ou machine) et la limite de validité des informations contenues ;

  • de s’authentifier et d’obtenir un certain nombre de privilèges sur un ensemble de services de la grille ;

  • d’assurer la confidentialité des échanges grâce au chiffrement des données ;

  • d’assurer la non-répudiation et l’intégrité des données grâce à la signature numérique.

Le certificat est délivré par une autorité de certification qui fait foi de tiers de confiance. Pour les personnels issus des établissements français (CEA, CNRS, INRA, INRIA, INSERM, Universités, …), les certificats sont émis par TCS. Chaque établissement a une manière spécifique de les délivrer :

  • En passant directement par le portail Renater

  • En mettant en place un portail dédié

Le CNRS dispose d’un portail dédié : SESAME.

Obtention d’un certificat

Pour obtenir un certificat utilisable avec le service de calcul à haut débit, deux étapes sont nécessaires. Tout d’abord, il faut en faire la demande auprès de l’autorité de certification, puis il faut s’enregistrer avec le certificat délivré auprès de l’organisation virtuelle (VO) vo.scigne.fr.

Demande de certificat

L’obtention d’un certificat CNRS n’est possible que pour les agents ayant un identifiant JANUS pointant vers une adresse e-mail dans un domaine géré par le CNRS. Si ce n’est pas le cas, il faut passer par la tutelle à qui appartient le nom de domaine. Par exemple, pour le personnel dont l’adresse est du type prenom.nom@unistra.fr, le nom de domaine est géré par l’Université de Strasbourg, il faut alors contacter l’Université pour obtenir un certificat.

Pour obtenir un certificat CNRS, il faut suivre les étapes suivantes :

  1. Se connecter au portail SESAME : https://sesame.cnrs.fr/

  2. Cliquer sur la zone « Gérer mes certificats »

  3. S’identifier à l’aide de vos identifiants CNRS. Pour cela, il faut sélectionner « CNRS - Personnels des unités » et passer à l’étape suivante. Il vous est alors demandé de vous identifier avec vos identifiants Janus.

  4. Commander un certificat en cliquant sur le bouton « Demander un nouveau certificat personnel »

  5. Choisir un mot de passe robuste pour protéger le certificat

  6. Le certificat généré est ensuite automatiquement téléchargé sur votre ordinateur.

Une fois que votre certificat a été récupéré, vous devez en assurer la sauvegarde et le séquestre. Il peut également être chargé dans le navigateur en suivant la procédure décrite dans la section Gestion du certificat électronique avec le navigateur.

Enregistrement auprès de la VO régionale

Afin de pouvoir effectuer des calculs sur la grille de la plateforme SCIGNE, il est nécessaire d’enregistrer votre certificat auprès de la VO vo.scigne.fr en vous rendant sur la page d’enregistrement. L’enregistrement au sein de la VO permet de vous attribuer un ensemble de droits sur la grille régionale de calcul. Une fois le formulaire rempli, vous recevrez un message électronique vous demandant de confirmer votre demande. Il est important de répondre à ce message pour pouvoir rejoindre la VO régionale.

Une fois que votre demande est validée, vous pouvez utiliser votre certificat pour accéder aux ressources de la grille régionale et effectuer des calculs.

Enregistrement auprès d’autres VOs

D’autres VOs sont disponibles et permettent d’accéder à des ressources de calcul et de stockage plus importantes. N’hésitez pas à contacter l’équipe support de la plateforme SCIGNE pour obtenir plus d’informations pour y accéder.

Vous trouverez ci-dessous la liste des VOs supportées et le lien pour s’incrire :

La liste globale des VOs existantes est disponible sur le portail des VOs. Si vous souhaitez que la plateforme supporte d’autres VOs, n’hésitez pas à contacter les administrateurs !

Renouvellement du certificat

Chaque année, vous allez recevoir un message électronique vous invitant à renouveler votre certificat, deux mois avant son expiration. Cette étape est réalisée en se connectant sur le site indiqué dans le message. Le certificat renouvelé n’a pas besoin d’être ré-enregistré auprès de la VO régionale.

Gestion du certificat électronique avec le navigateur

Le certificat est utilisé avec votre navigateur pour accéder aux sites sécurisés. Cette section décrit les méthodes pour importer et exporter les certificats depuis les navigateurs Firefox, Internet Explorer et Safari. La sauvegarde du certificat est importante afin de pouvoir le récupérer en cas de réinstallation de votre navigateur, ainsi que pour pouvoir l’utiliser avec d’autres logiciels (outils pour accéder au service HTC, client de messagerie, …).

Gestion du certificat avec Firefox

Cette section décrit l’importation et l’exportation d’un certificat avec le navigateur Firefox.

Importer un certificat

Pour importer votre certificat électronique vers Firefox, suivez les étapes suivantes.

  1. Allez dans le menu Édition > Préférences puis sélectionner Vie privée et sécurité > Afficher les certificats.

  2. Dans l’onglet Vos certificat, cliquez sur Importer….

  3. Une fenêtre s’ouvre vous permettant de sélectionner le fichier à importer. Une fois que vous avez sélectionné le fichier contenant le certificat, une boîte de dialogue apparaît pour vous demander le mot de passe principal de Sécurité personnelle.

  4. Une nouvelle fenêtre apparaît vous demandant le mot de passe protégeant le certificat. Entrez le mot de passe et validez en appuyant sur le bouton OK. Une fenêtre vous informe alors que la récupération des certificats et clés privées est réussie.

Exporter un certificat

Pour exporter votre certificat électronique depuis Firefox, suivez les étapes ci-dessous.

  1. Allez dans le menu Édition > Préférences puis sélectionner Vie privée et sécurité > Afficher les certificats.

  2. Dans l’onglet Vos certificats, sélectionnez le certificat à sauvegarder, puis cliquez sur Sauvegarder….

  3. Le logiciel demandera sous quel nom sera sauvegardé le certificat. Le certificat sera sauvegardé au format PKCS12 (extension .p12).

  4. Une boîte de dialogue apparaît ensuite pour vous demander votre mot de passe principal de Sécurité personnelle, puis par deux fois le mot de passe pour protéger votre certificat. Il est important d’avoir un mot de passe robuste et de ne pas le perdre.

  5. Une fois que vous avez validé les mots de passe, Firefox sauvegarde votre certificat à l’endroit indiqué.

Gestion du certificat avec Internet Explorer

Cette section décrit l’importation et l’exportation d’un certificat avec le navigateur Internet Explorer

Importer un certificat

Pour importer votre certificat électronique vers Internet Explorer, suivez les étapes suivantes.

  1. Allez dans Outils > Options Internet > Contenu > Certificats. Dans l’onglet Personnel, cliquez sur le bouton Importer… et passez la première page de l’assistant.

  2. Choisissez le certificat à importer en cliquant sur Parcourir puis en sélectionnant Échange d’informations personnelles dans le menu déroulant permettant de sélectionner le type de fichier.

  3. Entrez le mot de passe de protection du certificat et cliquez sur les cases Activer la protection renforcée et Marquer cette clé comme exportable.

  4. Sélectionnez le magasin de certificats et terminer en passant à l’écran suivant.

  5. Une nouvelle fenêtre s’ouvre. Elle vous permet de choisir le niveau de sécurité. Cliquez sur Définir le niveau de sécurité… et choisissez Haut. Le prochain écran vous demande un mot de passe. Utilisez un mot de passe robuste pour protéger votre certificat et terminez l’importation en cliquant sur Terminer.

Exporter un certificat

Pour exporter votre certificat électronique depuis Internet Explorer, suivez les étapes ci-dessous.

  1. Allez dans Outils > Options Internet > Contenu > Certificats.

  2. Dans l’onglet Personnel, sélectionnez votre certificat.

  3. Cliquez sur Exporter et passez la première page de l’assistant.

  4. Choisissez l’option Oui, exporter la clé privée, puis cliquez sur Suivant.

  5. Choisissez l’exportation au format PKCS #12 et cochez les deux premières cases.

  6. Vous devez alors saisir deux fois le mot de passe de chiffrement du certificat. Il est recommandé de choisir un mot de passe robuste.

  7. Choisissez enfin l’emplacement et le nom du fichier et confirmez au niveau du récapitulatif. Votre certificat est sauvegardé avec l’extension .pfx (un fichier au format PKCS12 peut avoir les extensions .p12 ou .pfx).

Gestion du certificat avec Safari

Cette section décrit l’importation et l’exportation d’un certificat avec le navigateur Safari

Importer un certificat

Pour importer votre certificat électronique vers Safari, suivez les étapes suivantes.

  1. Double-cliquez sur le fichier de certificat que vous souhaitez importer. Le Trousseau d’accès s’ouvre et vous demande si vous souhaitez ajouter le certificat au trousseau. Sélectionnez le trousseau session et cliquez sur le bouton Ajouter.

  2. Une fenêtre s’ouvre vous demandant le mot de passe protégeant le certificat. Entrez le mot de passe et cliquez sur le bouton OK. Le certificat est alors importé.

  3. Vous pouvez vérifier que le certificat est bien installé en cliquant dans la catégorie Mes Certificats du Trousseau d’accès.

Exporter un certificat

Pour exporter votre certificat électronique depuis Safari, suivez les étapes ci-dessous.

  1. Sélectionnez Applications > Utilitaires > Trousseau d’accès.

  2. Cliquez dans la catégorie Mes Certificats, puis sélectionnez le certificat à exporter.

  3. Sélectionnez fichier > Exporter, puis saisissez le nom du fichier à créer, son emplacement (Bureaupar défaut) et le format PKCS12.

  4. Saisissez le mot de passe de chiffrement et validez pour sauvegarder votre certificat.

Gestion du certificat en ligne de commande

L’utilisation des logiciels pour accéder à la grille de calcul (gestion des calculs et du stockage) nécessite un certificat électronique de type X509. Ce certificat se compose des fichiers userkey.pem (clé privée) et usercert.pem (clé publique) qui doivent être placés dans le répertoire $HOME/.globus. Ils sont générés à partir du fichier PKCS12 sauvegardé depuis le navigateur en utilisant l’outil en ligne de commande openssl. Dans l’exemple ci-dessous, nous supposons que le certificat a été enregistré sous le nom cert.p12. La génération de la clé privée et de la clé publique est réalisée avec les commandes suivantes :

$ openssl pkcs12 -nocerts -in cert.p12 -out ~/.globus/userkey.pem
$ openssl pkcs12 -clcerts -nokeys -in cert.p12 -out ~/.globus/usercert.pem
$ chmod 400 ~/.globus/userkey.pem
$ chmod 400 ~/.globus/usercert.pem
$ ls ~/.globus
-r-------- 1 user group 1935 Feb 16  2010 usercert.pem
-r-------- 1 user group 1920 Feb 16  2010 userkey.pem

La commande chmod est utilisée pour restreindre l’accès aux certificats au seul utilisateur.

Documentation complémentaire

Les documentations suivantes peuvent être consultées pour approfondir le sujet :