トップ 新規 編集 差分 一覧 Farm ソース 検索 ヘルプ PDF RSS ログイン

Globus SimpleCA導入方法

[グリッド]

Globusを使う際,ユーザやホストの認証のために,「信頼の要」となるCA(Certification Authority)が必要です.外部のCAを使うとお金がかかったり面倒だったりするので,シンプルなCAソフトウェアを使って自前でCAを設立しちゃいましょう.

※通例,CAは機関毎に必要です.本講座であれば講座用CAが一つあれば十分と思います.

Globus SimpleCAの導入

必要なもの

  • CAソフトウェアをインストールする計算機(以下,CA機と呼ぶ)が1台必要です.
    • 既にGlobus Toolkitをインストール済みの計算機がよいです.
  • CAを運用していく管理者が一人必要です.
    • Globus Toolkitのインストールを経験した人がよいです.
    • 管理者の作業1:ユーザからの電子署名申請メールを受理し,電子署名コマンドを実行して,電子署名された証明書をユーザに返送する.各ユーザ・各ホスト毎に年1回行うことになると思います.
    • 管理者の作業2:電子署名申請メール・署名済み証明書のバックアップを取る.

CAソフトウェアの導入 on CA機 by CA管理者

CAソフトウェアには,Globus Toolkitの中に入っているSimpleCAパッケージを使います.

CA機へのSimpleCAの導入手順は 外部の解説サイト を参照してください.抜粋すると,基本的には,globus ユーザになって

> $GLOBUS_LOCATION/setup/globus/setup-simple-ca

を実行し質問に答えていくだけです.CA管理者として電子署名する際のパスフレーズを忘れないようにしてください

~globus/.globus/simpleCA/globus_simple_ca_ハッシュ番号_setup-x.xx.tar.gz

が今回設立したCAの配布用パッケージなので,講座全体で共有できる場所(このwikiなど)に置くようにします.

CAの配布用パッケージの導入 on 各Globus機 by 各Globus管理者

各Globus機では以下を行って配布用パッケージを導入し,今回設立したCAの情報を登録します.

globus ユーザになって

> $GLOBUS_LOCATION/sbin/gpt-build globus_simple_ca_ハッシュ番号_setup-x.xx.tar.gz gcc32dbg

に続いて,root になって

# $GLOBUS_LOCATION/setup/globus_simple_ca_ハッシュ番号_setup/setup-gsi -default

です.このsetup-gsi にて,BaseDNの規定値が誤っている場合があります:

...
(1) Base DN for user certificates
        [ ou=,  ou=GT3 Tutorial, o=Globus ] ←ココ
(2) Base DN for host certificates
        [  ou=GT3 Tutorial, o=Globus ] ←ココ
...

間違った値の場合には,"1"or"2"を入力し,正しいBaseDNを手作業で入力してください.

電子署名申請書の作成 on 各Globus機 by 各Globus管理者orユーザ

grid-cert-request コマンドを使ってください.使い方は -help オプションを付ければわかると思います(※Globus Toolkitの全コマンドは -help オプションが利用可能です).

ホスト証明書の場合
ホストのrootで以下を実行する
# grid-cert-request -host hogehoge.fugafuga.org

すると以下が作成される。

  • /etc/grid-security/hostcert_request.pem
  • /etc/grid-security/hostkey.pem
ユーザ証明書の場合
Globusで/bin/dateユーザ証明書の作成を参照

電子署名 on CA機 by CA管理者

電子署名申請メールが届いたら,CA機にscp転送し,globus ユーザとして sshログインしましょう.電子署名申請書のファイル名を「hogehoge_request.pem」とすると,

> grid-ca-sign -in hogehoge_request.pem -out hogehoge.pem
(電子署名パスフレーズを入力)

で電子署名を行えます.無事電子署名できたら,「hogehoge.pem」を申請者に返送しましょう.

  • 電子署名申請メールと署名済み証明書は次の名前で整理しておくと管理しやすいです.
    • ユーザ証明書の場合:申請者のメールアドレス
    • ホスト証明書の場合:ホスト名(ファイル名はhostcert_request.pem, hostcert.pem)
    • LDAP証明書の場合:ホスト名(ファイル名はldapcert_request.pem, ldapcert.pem)

参考サイト

最終更新時間:2009年11月13日 03時32分48秒