В связи с различными обстоятельствами эти вопросы больше не должны волновать большинство почтенной публики. По-настоящему волнующие вопросы находятся здесь.

Иногда задаваемые, но уже неактуальные вопросы

1. Нужно ли обновлять старые сертификаты от Russian DataGrid CA сейчас или можно подождать окончания срока их действия?

Иногда помогающие ответы

Нужно ли обновлять старые сертификаты от Russian DataGrid CA сейчас или можно подождать окончания срока их действия?

• Если вы намереваетесь работать с gLite, то обязательно нужно: старые сертификаты не воспринимаются сервисами gLite, которые написаны на Java. Это связано с тем, что gLite trustmanager совершенно не умеет работать с RSA-ключами длиннее 2048 бит, а корневой сертификат Russian DataGrid CA имеет длину 4096 бит. Эта ошибка присутствует как минимум в gLite <= 1.4.

• Если у вас сертификат узла, который предоставляет какие-то Java-based сервисы (например, Tomcat), то обновлять сертификат нужно.

  Примером такого сервиса является Secure R-GMA, который живёт на MON BOX. Характерным проявлением ошибки является наличие строк типа

  javax.net.ssl.SSLHandshakeException:⇒
  java.security.cert.CertificateException:⇒
  CA cert [CN=Russian DataGrid CA,O=DataGrid,C=RU] not found,⇒
  rejecting certificate for [CN=host/se.keldysh.ru,O=DataGrid,C=RU]
  	at com.sun.net.ssl.internal.ssl.BaseSSLSocketImpl.a(DashoA12275)
  	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.a(DashoA12275)
  	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.a(DashoA12275)
  	at com.sun.net.ssl.internal.ssl.SunJSSE_az.a(DashoA12275)
  	at com.sun.net.ssl.internal.ssl.SunJSSE_az.a(DashoA12275)
  	at com.sun.net.ssl.internal.ssl.SunJSSE_ax.a(DashoA12275)
  	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.a(DashoA12275)
  	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.j(DashoA12275)
  	at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake⇒
  (DashoA12275)
  	at org.edg.security.trustmanager.tomcat.TryAuthentication.main⇒
  (TryAuthentication.java:166)
  Caused by: java.security.cert.CertificateException:⇒
  CA cert [CN=Russian DataGrid CA,O=DataGrid,C=RU] not found,⇒
  rejecting certificate for [CN=host/se.keldysh.ru,O=DataGrid,C=RU]
  	at org.edg.security.trustmanager.ProxyCertPathValidator.check⇒
  (ProxyCertPathValidator.java:205)
  	at org.edg.security.trustmanager.CRLFileTrustManager.⇒
  checkClientTrusted(CRLFileTrustManager.java:114)
  	at org.edg.security.trustmanager.CRLFileTrustManager.⇒
  checkServerTrusted(CRLFileTrustManager.java:161)
  	at com.sun.net.ssl.internal.ssl.JsseX509TrustManager.⇒
  checkServerTrusted(DashoA12275)
  

  у Java-клиента, который пытается использовать ваш сервис. (Длинные сообщения об ошибках были разнесены на несколько строк, добавленные переносы строк обозначены символом «⇒».)

• Если у вас сертификат узла, который общается с VOMSS-серверами (например при обновлении grid-mapfile), то его сертификат нужно обновить, поскольку сертификаты от Russian DataGrid CA не будут работать с VOMSS. Типичным симптомом неспособности соединиться с VOMSS-сервером явлется выдача утилиты edg-mkgridmap следующего вида:

  voms search(https://lcg-voms.cern.ch:8443/voms/<...>):
  SSL negotiation failed:
  error:1406D0CB:SSL routines:GET_SERVER_HELLO:peer error no cipher               
  

  Такие сообщения опять же связаны с ошибкой в gLite trustmanager.

• В других случаях получать новый сертификат в RDIG CA до истечения текущего сертификата от Russian DataGrid CA не обязательно.