Gestion des certificats

Introduction

L’intergiciel (middleware) utilisé par le service de calcul à haut débit (grille de calcul) de la plateforme SCIGNE repose sur un ensemble d’outils utilisant un certficat X509 pour s’authentifier auprès des différents services (calcul, stockage). Ce certificat permet de simplifier et de sécuriser l’authentification aux différentes ressources constituant la grille de calcul internationale.

Ce document détaille l’obtention et la gestion de ce certificat dans le cadre de l’utilisation des ressources de grille, que ce soit celle de la plateforme SCIGNE ou des infrastructures EGI et WLCG.

Les certificats électroniques

Le certificat électronique est une carte d’identité numérique qui permet :

  • d’indiquer la qualité du possesseur du certificat (utilisateur, service ou machine) et la limite de validité des informations contenues ;
  • de s’authentifier et d’obtenir un certain nombre de privilèges sur un ensemble de services de la grille ;
  • d’assurer la confidentialité des échanges grâce au chiffrement des données ;
  • d’assurer la non-répudiation et l’intégrité des données grâce à la signature numérique.

Le certificat est délivré par une autorité de certification qui fait foi de tiers de confiance. Pour les personnels issus des établissements français (CEA, CNRS, INRA, INRIA, INSERM, Universités, …) les certificats sont délivrés par l’Infrastructure de Gestion de Clés (IGC) hébergée Ministère de l’Education nationale, de l’Enseignement supérieur et de la Recherche, à travers un service administré par RENATER.

Obtention d’un certificat

Pour obtenir un certificat utilisable avec le service de calcul à haut débit, deux étapes sont nécessaires. Tout d’abord, il faut en faire la demande auprès de l’autorité de certification, puis il faut s’enregistrer avec le certificat délivré auprès de l’organisation virtuelle (VO) vo.scigne.fr (et également vo.sbg.in2p3.fr pour les utilisateurs de l’IPHC).

Demande de certificat

La demande du certificat se fait en six étapes.

  1. Vérifier les consignes d’obtention de certificat GRID-FR
  2. Récupérer le certificat de l’autorité de certification (AC) pour qu’elles soient reconnues par votre navigateur en se connectant sur la page des ACs GRID2-FR (si vous ne l’avez pas encore fait). En effet, les navigateurs comme Firefox, Internet Explorer ou Safari n’intégrent pas par défaut les certificats de l’AC du ministère. Il faut donc les charger manuellement et indiquer à son navigateur qu’ils sont de confiance.
  3. Demander un certificat utilisateur par l’onglet Request a Certificate en remplissant le formulaire en ligne. Les personnes des laboratoires CNRS (UMR, …) doivent effectuer leur demande en renseignant leur adresse e-mail. Si c’est votre première demande, contactez l’équipe support de la plateforme SCIGNE pour vous accompagner.
  4. Une fois la demande effectuée, vous allez recevoir une demande de confirmation par messagerie. Il es nécessaire de confirmer votre demande en répondant à ce courrier électronique.
  5. Une fois votre demande confirmée, elle sera validée par l’autorité d’enregistrement. Un message électronique vous préviendra de cette validation, de la création de votre certificat et de la marche à suivre pour le récupérer.
  6. Récupérer et sauvegarder votre certificat en suivant la procédure décrite dans la section.

Enregistrement auprès de la VO régionale

Afin de pouvoir effectuer des calculs sur la grille régionale, il est nécessaire d’enregistrer votre certificat auprès de la VO vo.scigne.fr en vous rendant sur la page d’enregistrement. L’enregistrement au sein de la VO permet de vous attribuer un ensemble de droits sur la grille régionale de calcul. Une fois le formulaire rempli, vous recevrez un message électronique vous demandant de confirmer votre demande. Il est important de répondre à ce message pour pouvoir rejoindre la VO régionale.

Pour les utilisateurs de l’IPHC, la VO vo.sbg.in2p3.fr est également disponible. Pour vous inscrire à cette VO, rendez-vous sur la page d’enregistrement de cette VO.

Une fois que votre demande est validée, vous pouvez utiliser votre certificat pour accéder aux ressources de la grille régionale et effectuer des calculs.

Enregistrement auprès d’autres VOs

D’autres VOs sont disponibles et permettent d’accéder à des ressources de calcul et de stockage plus importantes. N’hésitez pas à contacter l’équipe support de la plateforme SCIGNE pour obtenir plus d’informations pour y accéder.

Vous trouverez ci-dessous la liste des VOs supportées et le lien pour s’incrire :

La liste globale des VOs existantes est disponible sur le portail des VOs. Si vous souhaitez que la plateforme supporte d’autres VOs, n’hésitez pas à contacter les administrateurs !

Renouvellement du certificat

Chaque année, vous allez recevoir un message électronique vous invitant à renouveler votre certificat, deux mois avant son expiration. Cette étape est réalisée en se connectant sur le site indiqué dans le message. Le certificat renouvelé n’a pas besoin d’être ré-enregistré auprès de la VO régionale.

Gestion du certificat électronique avec le navigateur

Le certificat est utilisé avec votre navigateur pour accéder aux sites sécurisés. Cette section décrit les méthodes pour importer et exporter les certificats depuis les navigateurs Firefox, Internet Explorer et Safari. La sauvegarde du certificat est importante afin de pouvoir le récupérer en cas de réinstallation de votre navigateur, ainsi que pour pouvoir l’utiliser avec d’autres logiciels (outils pour accéder à la grille, logiciel de messagerie, …).

Gestion du certificat avec Firefox

Cette section décrit l’importation et l’exportation d’un certificat avec le navigateur Firefox.

Importer un certificat

Pour importer votre certificat électronique vers Firefox, suivez les étapes suivantes.

  1. Allez dans le menu Édition > Préférences puis sélectionner Vie privée et sécurité > Afficher les certificats.
  2. Dans l’onglet Vos certificats, sélectionnez le certificat à sauvegarder, puis cliquez sur Importer….
  3. Une fenêtre s’ouvre vous permettant de sélectionner le fichier à importer. Une fois que vous avez sélectionné le fichier contenant le certificat, une boîte de dialogue apparaît pour vous demander le mot de passe principal de Sécurité personnelle.
  4. Une nouvelle fenêtre apparaît vous demandant le mot de passe protégeant le certificat. Entrez le mot de passe et validez en appuyant sur le bouton OK. Une fenêtre vous informe alors que la récupération des certificats et clés privées est réussie.

Exporter un certificat

Pour exporter votre certificat électronique depuis Firefox, suivez les étapes ci-dessous.

  1. Allez dans le menu Édition > Préférences puis sélectionner Vie privée et sécurité > Afficher les certificats.
  2. Dans l’onglet Vos certificats, sélectionnez le certificat à sauvegarder, puis cliquez sur Sauvegarder….
  3. Le logiciel demandera sous quel nom sera sauvegardé le certificat. Le certificat sera sauvegardé au format PKCS12 (extension .p12).
  4. Une boîte de dialogue apparaît ensuite pour vous demander votre mot de passe principal de Sécurité personnelle, puis par deux fois le mot de passe pour protéger votre certificat. Il est important d’avoir un mot de passe robuste et de ne pas le perdre.
  5. Une fois que vous avez validé les mots de passe, Firefox sauvegarde votre certificat à l’endroit indiqué.

Gestion du certificat avec Internet Explorer

Cette section décrit l’importation et l’exportation d’un certificat avec le navigateur Internet Explorer

Importer un certificat

Pour importer votre certificat électronique vers Internet Explorer, suivez les étapes suivantes.

  1. Allez dans Outils > Options Internet > Contenu > Certificats. Dans l’onglet Personnel, cliquez sur le bouton Importer… et passez la première page de l’assistant.
  2. Choisissez le certificat à importer en cliquant sur Parcourir puis en sélectionnant Échange d’informations personnelles dans le menu déroulant permettant de sélectionner le type de fichier.
  3. Entrez le mot de passe de protection du certificat et cliquez sur les cases Activer la protection renforcée et Marquer cette clé comme exportable.
  4. Sélectionnez le magasin de certificats et terminer en passant à l’écran suivant.
  5. Une nouvelle fenêtre s’ouvre. Elle vous permet de choisir le niveau de sécurité. Cliquez sur Définir le niveau de sécurité… et choisissez Haut. Le prochain écran vous demande un mot de passe. Utilisez un mot de passe robuste pour protéger votre certificat et terminez l’importation en cliquant sur Terminer.

Exporter un certificat

Pour exporter votre certificat électronique depuis Internet Explorer, suivez les étapes ci-dessous.

  1. Allez dans Outils > Options Internet > Contenu > Certificats.
  2. Dans l’onglet Personnel, sélectionnez votre certificat.
  3. Cliquez sur Exporter et passez la première page de l’assistant.
  4. Choisissez l’option Oui, exporter la clé privée, puis cliquez sur Suivant.
  5. Choisissez l’exportation au format PKCS #12 et cochez les deux premières cases.
  6. Vous devez alors saisir deux fois le mot de passe de chiffrement du certificat. Il est recommandé de choisir un mot de passe robuste.
  7. Choisissez enfin l’emplacement et le nom du fichier et confirmez au niveau du récapitulatif. Votre certificat est sauvegardé avec l’extension .pfx (un fichier au format PKCS12 peut avoir les extensions .p12 ou .pfx).

Gestion du certificat avec Safari

Cette section décrit l’importation et l’exportation d’un certificat avec le navigateur Safari

Importer un certificat

Pour importer votre certificat électronique vers Safari, suivez les étapes suivantes.

  1. Double-cliquez sur le fichier de certificat que vous souhaitez importer. Le Trousseau d’accès s’ouvre et vous demande si vous souhaitez ajouter le certificat au trousseau. Sélectionnez le trousseau session et cliquez sur le bouton Ajouter.
  2. Une fenêtre s’ouvre vous demandant le mot de passe protégeant le certificat. Entrez le mot de passe et cliquez sur le bouton OK. Le certificat est alors importé.
  3. Vous pouvez vérifier que le certificat est bien installé en cliquant dans la catégorie Mes Certificats du Trousseau d’accès.

Exporter un certificat

Pour exporter votre certificat électronique depuis Safari, suivez les étapes ci-dessous.

  1. Sélectionnez Applications > Utilitaires > Trousseau d’accès.
  2. Cliquez dans la catégorie Mes Certificats, puis sélectionnez le certificat à exporter.
  3. Sélectionnez fichier > Exporter, puis saisissez le nom du fichier à créer, son emplacement (Bureaupar défaut) et le format PKCS12.
  4. Saisissez le mot de passe de chiffrement et validez pour sauvegarder votre certificat.

Gestion du certificat en ligne de commande

L’utilisation des logiciels pour accéder à la grille de calcul (gestion des calculs et du stockage) nécessite un certificat électronique de type X509. Ce certificat se compose des fichiers userkey.pem (clé privée) et usercert.pem (clé publique) qui doivent être placés dans le répertoire $HOME/.globus. Ils sont générés à partir du fichier PKCS12 sauvegardé depuis le navigateur en utilisant l’outil en ligne de commande openssl. Dans l’exemple ci-dessous, nous supposons que le certificat a été enregistré sous le nom cert.p12. La génération de la clé privée et de la clé publique est réalisée avec les commandes suivantes :

$ openssl pkcs12 -nocerts -in cert.p12 -out ~/.globus/userkey.pem
$ openssl pkcs12 -clcerts -nokeys -in cert.p12 -out ~/.globus/usercert.pem
$ chmod 400 ~/.globus/userkey.pem
$ chmod 400 ~/.globus/usercert.pem
$ ls ~/.globus
-r-------- 1 user group 1935 Feb 16  2010 usercert.pem
-r-------- 1 user group 1920 Feb 16  2010 userkey.pem

La commande chmod est utilisée pour restreindre l’accès aux certificats au seul utilisateur.