RDIG Certification authority
сертификаты
пользователю
информация

Иногда задаваемые вопросы

  1. Сертификаты, proxy-сертификаты, certification authorities — что все это такое?
  2. Я создал запрос, но не записал модуль открытого ключа. Помогите!
  3. Я пытаюсь загрузить PDF-форму бумажного запроса на сертификат, но Acrobat Reader выдаёт сообщение «There was an error opening this document. The file does not exist.» Что делать?
  4. Получил новый сертификат, но не могу получить доступа к ресурсам. Что делать?
  5. Сохранил сертификат, пришедший по электронной почте, в файл, но при попытке извлечь модуль открытого ключа OpenSSL ругается.
  6. Как проверить работу сертификата при использовании авторизации в протоколе SSL.
  7. Повторный импорт корневого сертификата RDIG CA в броузер.

Существует список устаревших вопросов: они уже неактуальны, но может быть кому-то помогут.

Иногда помогающие ответы

Сертификаты, proxy-сертификаты, certification authorities — что все это такое?

Объяснения про сертификаты и прочее.

Я создал запрос, но не записал модуль открытого ключа. Помогите!

Модуль вашего ключа может быть получен следующими командами (на выбор, должна срабатывать любая): 
$ openssl req -in <request-mail-file> -noout -modulus
$ openssl rsa -in <key-file> -noout -modulus
Для пользовательских сертификатов вторая из команд запросит пароль для вашего закрытого ключа — это именно тот пароль, который вы вводили при создании запроса.

Здесь

  • <request-mail-file> — это файл, который вы отправляли (или только хотите отправить) по почте после создания запроса на сертификат. Для пользовательских запросов он называется userreq.mail, для запросов на сертификат машины или сервиса — hostreq.mail.
  • <key-file> — это файл, содержащий ваш закрытый ключ. Для пользовательских запросов он называется userkey.pem, для запросов на сертификат машины или сервиса — hostkey.pem.

Я пытаюсь загрузить PDF-форму бумажного запроса на сертификат, но Acrobat Reader выдаёт сообщение «There was an error opening this document. The file does not exist.» Что делать?

Если вы используете Internet Explorer, то на данный момент существует только одно решение: сохранить файл на локальный диск и открыть его оттуда. Это известная ошибка, но как с ней бороться — пока неясно. Если кто-то знает, как это побороть, пожалуйста, напишите нам по адресу rdig-ca-support[at]grid.kiae.ru.

Если вы используйте другой броузер, то решение с сохранением в локальный файл также подойдёт. Однако, мы бы хотели узнать про такие случаи как можно быстрее: если вы столкнётесь с такой проблемой, пожалуйста, отправьте нам письмо по адресу rdig-ca-support[at]grid.kiae.ru с указанием типа и версии используемого вами броузера.

Получил новый сертификат, но не могу получить доступа к ресурсам. Что делать?

Предполагается, что вы зарегистрированы в виртуальной организации, ресурсы которой пытаетесь использовать. Если нет, то пройдите на страницу виртуальных организаций RDIG или на страницу виртуальных организаций CERN: там описана процедура регистрации. На этих же страницах можно проверить статус своего членства в виртуальных организациях.

Ниже находится список базовых тестов, которые необходимо произвести с вашими сертификатом и закрытым ключом (ключевой парой), чтобы получить некоторое техническое представление о ваших проблемах.

Если какой-то из тестов работает некорректно и справиться своими силами вы не в состоянии — шлите вывод всех тестов на адрес, указанный внизу страницы, будем разбираться.

Проверка совпадения компонентов ключевой пары

Запускаем пару команд 
$ openssl x509 -in ~/.globus/usercert.pem -noout -modulus
$ openssl rsa -in ~/.globus/userkey.pem -noout -modulus
Последняя из команд потребует ввода пароля для закрытого ключа. Обе команды должны выдать одинаковые результаты. Если это не так, то либо вы забыли обновить ваш сертификат (файл ~/.globus/usercert.pem), либо закрытый ключ (файл ~/.globus/userkey.pem).

Вот как выглядит этот тест для правильной ключевой пары: 

$ openssl x509 -in ~/.globus/usercert.pem -noout -modulus
Modulus=E5C05DFA7BF9827B2068979D5B85444CB8BB13DAFE65432E3⇒
D56191CECB5EA334FEB4DBB5630DCDBC9CB5B6DEC536D78AC3B44DD89⇒
56956352CE9F909FC6B2F671F0EBDED72E841697912A143DF787F0F84⇒
24E1C32E836FC9F5D85AC2CC4E3EB05ECE157F08A23B8C8AE0627B4EF⇒
FC647E6E37585B42474DB1DF80BAA41C39E7
$ openssl rsa -in ~/.globus/userkey.pem -noout -modulus
read RSA key
Enter PEM pass phrase:
Modulus=E5C05DFA7BF9827B2068979D5B85444CB8BB13DAFE65432E3⇒
D56191CECB5EA334FEB4DBB5630DCDBC9CB5B6DEC536D78AC3B44DD89⇒
56956352CE9F909FC6B2F671F0EBDED72E841697912A143DF787F0F84⇒
24E1C32E836FC9F5D85AC2CC4E3EB05ECE157F08A23B8C8AE0627B4EF⇒
FC647E6E37585B42474DB1DF80BAA41C39E7

Если вы получаете различные модули, то у вас не совпадают сертификат и закрытый ключ. Наиболее вероятен следующий сценарий. Ниже приводится пример беды с сертификатом пользователя. Для сертификатов узлов и сервисов нужно изменить только имена файлов: сами файлы называются hostcert.pem и hostkey.pem и располагаются они в директории ~/.globus/HOSTNAME для сертификата узла и в директории ~/.globus/SERVICE-HOSTNAME для сертификата сервиса. Здесь HOSTNAME — это доменное имя узла, а SERVICE — название сервиса.

Итак, иногда случается следующее.

  • Пользователь создавал новую ключевую пару и запрос, но в директории ~/.globus у него уже были файлы с сертификатом и закрытым ключом. И назывались они usercert.pem и hostcert.pem.
  • Сценарий не может переписать уже существующие файлы: он сделан так, чтобы никогда не трогать существующие файлы. Причина очевидна: на момент создания новой ключевой пары старая еще действует, поэтому лишить пользователя этой работающей пары будет свинством.
  • Поэтому сценарий создает файлы usercert.DATE.pem и userkey.DATE.pem, где DATE — это строка, составленная из текущих даты и времени (в формате YYYYMMDD-hhmmss, если это кого-то интересует).
  • Пользователь отправляет запрос и забывает про все.
  • Через некоторое время пользователю присылается сертификат, который он сохраняет в файл ~/.globus/usercert.pem. Но поместить в файл ~/.globus/userkey.pem содержимое нового закрытого ключа, парного к сертификату, пользователь забывает.
Исправить ситуацию можно: смотрим на содержимое директории ~/.globus и ищем там файл userkey.DATE.pem, где DATE совпадает с датой создания запроса. Копируем содержимое этого файла в userkey.pem, предварительно сохранив старый userkey.pem. Опять проверяем модули. При необходимости повторяем.

Проверка правильности создания proxy-сертификата

Запускаем команду 

$ grid-proxy-init -debug -verify

Правильный вариант работы этой команды выглядит так: 

$ grid-proxy-init -debug -verify

User Cert File: /home/user/.globus/usercert.pem
User Key File: /home/user/.globus/userkey.pem

Trusted CA Cert Dir: /etc/grid-security/certificates

Output File: /tmp/x509up_u<несколько цифр (ваш UID)>
Your identity: имя вашего сертификата, начинается с /C=RU/O=RDIG/OU=users/
Enter GRID pass phrase for this identity:
Creating proxy .............++++++++++++
................++++++++++++
 Done
Proxy Verify OK
Your proxy is valid until: текущая дата + десяток-два часов.

Проверка корректности Globus-аутентификации

Для этого теста вам потребуется Globus Gatekeeper, который обычно находится на Computing Element. Сам Computing Element должен поддерживать вашу виртуальную организацию.

Запускаем команду 

$ globusrun -a -r <доменное имя Computing Element>
Эта команда проводит аутентификацию для запуска задачи, но саму задачу не запускает.

Вот как отрабатывает эта команда в случае успешной аутентификации: 

$ globusrun -a -r ce.some.domain.org

GRAM Authentication test successful

Сохранил сертификат, пришедший по электронной почте, в файл, но при попытке извлечь модуль открытого ключа OpenSSL ругается.

Симптомы проблемы обычно таковы: при запуске команды 

openssl x509 -in ~/.globus/usercert.pem -noout -modulus
выдается ошибка 
unable to load certificate
8114:error:0906D06C:PEM routines:PEM_read_bio:no start
line:pem_lib.c:644:Expecting: TRUSTED CERTIFICATE

Такое может происходить если ваш почтовый агент при сохранении письма с сертификатом на диск некорректно разбил письмо на строки, или в начало строк добавились лишние пробелы, или вы неаккуратно копировали содержимое письма с экрана в файл методом copy-paste. Естественно, в вашем конкретном случае причина может быть совершенно иной.

Как бы то ни было, ваш сертификат (если он, конечно, действителен) доступен со страницы действительных сертификатов RDIG CA. И все что вам нужно сделать — это сохранить правильную копию вашего сертификата в файл на локальной машине.

Процедура получения копии вашего сертификата проста: вы ищете в списке ваш сертификат (например, по его DN) и следуете по соответствующей ссылке, которая будет иметь вид «http://ca.grid.kiae.ru/RDIG/certificates/show_cert.sh?НОМЕР_СЕРТИФИКАТА».

Пользуясь полученной ссылкой, вы можете загрузить ваш сертификат в любое удобное вам место. Например, если вы находитесь на машине с установленной утилитой GNU Wget, то запустив команду 

wget -O mycert.pem \
http://ca.grid.kiae.ru/RDIG/certificates/show_cert.sh?НОМЕР_СЕРТИФИКАТА
вы сохраните сертификат в текущий каталог, в файл mycert.pem. Замечание: наличие символов “\” в командах необязательно; в нашем случае он присутствует только для облегчения читаемости.

Если вы предпочитаете пользоваться утилитой cURL, то команда, проделывающая то же самое что и выше, будет выглядеть так: 

curl -o mycert.pem \
http://ca.grid.kiae.ru/RDIG/certificates/show_cert.sh?НОМЕР_СЕРТИФИКАТА

Если же вам более всего нравится утилита lftp, то вам поможет команда 

lftp -c 'get \
http://ca.grid.kiae.ru/RDIG/certificates/show_cert.sh?НОМЕР_СЕРТИФИКАТА \
-o mycert.pem'
Обратите, пожалуйста, внимание на одинарные кавычки — они важны.

Как проверить работу сертификата при использовании авторизации в протоколе SSL.

Иногда (в-основном для сертификатов узлов) необходимо проверить, работают ли сертификат и закрытый ключ в случае использования SSL-авторизации (когда сервер запрашивает проверку личности подсоединяющегося клиента).

Это можно сделать, импортировав сертификат и закрытый ключ в броузер, но это, во-первых, долго, а во-вторых, работает только для протоколов, которые понимает броузер.

Одним из универсальных решений является использование утилиты openssl в режиме SSL-клиента. Это делается так: 

openssl s_client -host <hostname> -port <portnum> \
-cert hostcert.pem -key hostkey.pem
Замечание: наличие символа “\” в команде не является обязательным; этот символ присутствует только для улучшения читабельности данного текста.

Ниже демонстрируются различные варианты развития событий для сервера rdig-registrar.sinp.msu.ru, который предоставляет VOMS-сервис и требует аутентификации клиента.

Вариант 1: клиент вообще не предоставил ключевой пары. 

$ openssl s_client -host rdig-registrar.sinp.msu.ru -port 8443
CONNECTED(00000003)
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=21:unable to verify the first certificate
verify return:1
1307:error:14094412:SSL routines:SSL3_READ_BYTES:⇒
sslv3 alert bad certificate:⇒
/usr/src/secure/lib/libssl/../../../crypto/openssl/ssl/s3_pkt.c:1053:⇒
SSL alert number 42
1307:error:140790E5:SSL routines:SSL23_WRITE:⇒
ssl handshake failure:⇒
/usr/src/secure/lib/libssl/../../../crypto/openssl/ssl/s23_lib.c:188:
Сообщения “sslv3 alert bad certificate” и “ssl handhake failure” говорят о том, что сервер захотел аутентифицировать клиента, но их этого ничего не вышло, поскольку (в нашем случае) клиент не указал ключевой пары. Последнее и говорит о том, что SSL-сервер использует аутентификацию клиента еще на стадии установки соединения. В противном случае SSL-соединение было бы успешно установлено, что говорило бы либо о полном отсутствии клиентской аутентификации, либо об аутентификации клиента при его обращении только к некоторым ресурсам сервера.

Вариант 2: клиент предоставил ключевую пару, но с ней что-то не так. В нашем случае сертификат был просрочен. 

$ openssl s_client -host rdig-registrar.sinp.msu.ru -port 8443 \
-cert hostcert.pem -key hostkey.pem
CONNECTED(00000003)
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=21:unable to verify the first certificate
verify return:1
95475:error:14094416:SSL routines:SSL3_READ_BYTES:⇒
sslv3 alert certificate unknown:⇒
/usr/src/secure/lib/libssl/../../../crypto/openssl/ssl/s3_pkt.c:1053:⇒
SSL alert number 46
95475:error:140790E5:SSL routines:SSL23_WRITE:⇒
ssl handshake failure:⇒
/usr/src/secure/lib/libssl/../../../crypto/openssl/ssl/s23_lib.c:188:
Как мы видим, происходит то же самое, что и в случае отсутствия сертификата.

А вот как будет реагировать OpenSSL на несовпадающие компоненты ключевой пары: 

$ openssl s_client -host rdig-registrar.sinp.msu.ru -port 8443 \
-cert hostcert.pem -key hostkey.pem
error setting private key
95810:error:0B080074:x509 certificate routines:X509_check_private_key:⇒
key values mismatch:⇒
/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/x509/x509_cmp.c:⇒
399:
Так прямо и ругается — “key values mismatch”

Вариант 3: клиент предоставил правильную ключевую пару. 

$ openssl s_client -host rdig-registrar.sinp.msu.ru -port 8443 \
-cert hostcert.pem -key hostkey.pem
CONNECTED(00000003)
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
   i:/C=RU/O=RDIG/CN=Russian Data-Intensive Grid CA
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIFSjCCBDKgAwIBAgICAzgwDQYJKoZIhvcNAQEFBQAwRTELMAkGA1UEBhMCUlUx
DTALBgNVBAoTBFJESUcxJzAlBgNVBAMTHlJ1c3NpYW4gRGF0YS1JbnRlbnNpdmUg
R3JpZCBDQTAeFw0wNzA5MDQxMDU2MzZaFw0wODA5MDMxMDU2MzZaMGwxCzAJBgNV
BAYTAlJVMQ0wCwYDVQQKEwRSRElHMQ4wDAYDVQQLEwVob3N0czEUMBIGA1UECxML
c2lucC5tc3UucnUxKDAmBgNVBAMTH2hvc3QvcmRpZy1yZWdpc3RyYXIuc2lucC5t
c3UucnUwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBANd/SHRtVN4ZFK0lTC6Q
SDWD+7xbxb3jUpA1wWIAZNJaJ9977RQAfiLqpMfEtBM7i8aWnkPpb8MHD0NA4y+q
V70oTQmpDyJdStASzNbe2tyxNG/RNR5YkziyOXvVw8qeyq+DO0DLRV4jywkHUo7l
13RKGvPE0VWb6AkRRNcXtz9ZAgMBAAGjggKfMIICmzAMBgNVHRMBAf8EAjAAMA4G
A1UdDwEB/wQEAwID+DARBglghkgBhvhCAQEEBAMCBFAwHQYDVR0OBBYEFNFJxf53
+NzwpuYTcmQQ11xleTZmMG0GA1UdIwRmMGSAFLca+X3+0h5hqamMIWiLfmCMuXBZ
oUmkRzBFMQswCQYDVQQGEwJSVTENMAsGA1UEChMEUkRJRzEnMCUGA1UEAxMeUnVz
c2lhbiBEYXRhLUludGVuc2l2ZSBHcmlkIENBggEAMD0GA1UdEgQ2MDSBFHJkaWct
Y2FAZ3JpZC5raWFlLnJ1hhxodHRwOi8vY2EuZ3JpZC5raWFlLnJ1L1JESUcvMD8G
CCsGAQUFBwEBBDMwMTAvBggrBgEFBQcwAoYjaHR0cDovL2NhLmdyaWQua2lhZS5y
dS9SRElHL2NhLmh0bWwwNgYDVR0fBC8wLTAroCmgJ4YlaHR0cDovL2NhLmdyaWQu
a2lhZS5ydS9SRElHL2NhY3JsLnBlbTBLBgNVHSAERDBCMEAGCysGAQQBgax7AQEB
MDEwLwYIKwYBBQUHAgEWI2h0dHA6Ly9jYS5ncmlkLmtpYWUucnUvUkRJRy9wb2xp
Y3kvMCsGCWCGSAGG+EIBAgQeFhxodHRwOi8vY2EuZ3JpZC5raWFlLnJ1L1JESUcv
MBYGCWCGSAGG+EIBCAQJFgdwb2xpY3kvMBgGCWCGSAGG+EIBBAQLFgljYWNybC5w
ZW0wIAYJYIZIAYb4QgEDBBMWEWNnaS1iaW4vY2hlY2tyZXY/MFQGCWCGSAGG+EIB
DQRHFkVJc3N1aWVkIGJ5IFJESUcgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHksIGh0
dHA6Ly9jYS5ncmlkLmtpYWUucnUvUkRJRy8wDQYJKoZIhvcNAQEFBQADggEBAMGR
QA1jkQwHeQlel8ITURFWNvjaflTP4yBuH+01mtI+42XHgEwTqo3RE1+Fw+a4k4/L
AGGGD8XFqZSHQRsTrN3bxj2TfM/91ln4T633lf/zCKmBRWIlA/urey0143chJnhZ
Kdz34APPMeTFKk/zf8VBIpWjuYfN6hiLk9YxjAT2VRndH0I455zusl6gRwMY64f1
PxTeBgDEHP/NIr1sFkv9lO+ha4Svg9wDY/gagnR6/pHaxuB85yofOh3xuNbT/gvY
0ncbGPM9ZWn1zlnE7JlPjhUexRdfOrmNkAdju/aKYaha4z7hBPr77SK7+Phtw8WO
5Ds+acIPylhyWrnuoOs=
-----END CERTIFICATE-----
subject=/C=RU/O=RDIG/OU=hosts/OU=sinp.msu.ru/CN=host/rdig-registrar.sinp.msu.ru
issuer=/C=RU/O=RDIG/CN=Russian Data-Intensive Grid CA
---
Acceptable client certificate CA names
/C=JP/O=AIST/OU=GRID/CN=Certificate Authority
/C=AU/O=APACGrid/OU=CA/CN=APACGrid/emailAddress=camanager@vpac.org
/C=TW/O=AS/CN=Academia Sinica Grid Computing Certification Authority
/C=AM/O=ArmeSFo/CN=ArmeSFo CA
/C=AT/O=AustrianGrid/OU=Certification Authority/CN=Certificate Issuer
/C=BE/O=BELNET/OU=BEGrid/CN=BEGrid CA/emailAddress=gridca@belnet.be
/DC=org/DC=balticgrid/CN=Baltic Grid Certification Authority
/C=BR/O=ICPEDU/O=UFF BrGrid CA/CN=UFF Brazilian Grid Certification Authority
/C=CH/O=CERN/OU=GRID/CN=CERN CA
/DC=ch/DC=cern/CN=CERN Root CA
/DC=ch/DC=cern/CN=CERN Trusted Certification Authority
/DC=cz/DC=cesnet-ca/CN=CESNET CA
/DC=CN/DC=Grid/CN=Root Certificate Authority at CNIC
/C=FR/O=CNRS/CN=CNRS
/C=FR/O=CNRS/CN=CNRS-Projets
/C=FR/O=CNRS/CN=GRID-FR
/C=CY/O=CyGrid/O=HPCL/CN=CyGridCA
/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein PCA Grid - G01
/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein Server CA Grid - G01
/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein User CA Grid - G01
/DC=net/DC=ES/O=ESnet/OU=Certificate Authorities/CN=ESnet Root CA 1
/DC=org/DC=DOEGrids/OU=Certificate Authorities/CN=DOEGrids CA 1
/C=EE/O=Grid/CN=Estonian Grid Certification Authority
/DC=gov/DC=fnal/O=Fermilab/OU=Certificate Authorities/CN=Kerberized CA
/C=DE/O=GermanGrid/CN=GridKa-CA
/C=IE/O=Grid-Ireland/CN=Grid-Ireland Certification Authority
/C=CA/O=Grid/CN=Grid Canada Certificate Authority
/C=CA/O=Grid/CN=Grid Canada CA
/C=GR/O=HellasGrid/CN=HellasGrid CA
/C=GR/O=HellasGrid/OU=Certification Authorities/CN=HellasGrid Root CA 2006
/C=GR/O=HellasGrid/OU=Certification Authorities/CN=HellasGrid CA 2006
/C=CN/O=HEP/CN=gridca-cn/emailAddress=gridca@ihep.ac.cn
/C=IT/O=INFN/CN=INFN Certification Authority
/C=IT/O=INFN/CN=INFN CA
/C=IL/O=IUCC/CN=IUCC/emailAddress=ca@mail.iucc.ac.il
/C=JP/O=KEK/OU=CRC/CN=KEK GRID Certificate Authority
/C=PT/O=LIP/OU=LISCC/CN=LIP Certification Authority
/C=PT/O=LIPCA/CN=LIP Certification Authority
/C=JP/O=National Research Grid Initiative/OU=CGRD/CN=NAREGI CA
/C=HU/O=NIIF/OU=Certificate Authorities/CN=NIIF Root CA
/C=NL/O=NIKHEF/CN=NIKHEF medium-security certification auth
/O=Grid/O=NorduGrid/CN=NorduGrid Certification Authority
/C=PK/O=NCP/CN=ncp.edu.pk
/C=PL/O=GRID/CN=Polish Grid CA
/C=RU/O=RDIG/CN=Russian Data-Intensive Grid CA
/C=HU/O=KFKI RMKI CA/CN=KFKI RMKI CA
/C=RU/O=DataGrid/CN=Russian DataGrid CA
/DC=CN/DC=Grid/DC=SDG/CN=Scientific Data Grid CA
/DC=ORG/DC=SEE-GRID/CN=SEE-GRID CA
/C=HR/O=edu/OU=srce/CN=SRCE CA
/C=CH/O=SwissSign/CN=SwissSign CA (RSA IK May 6 1999 18:00:58)/⇒
emailAddress=ca@SwissSign.com
/CN=SwissSign Bronze CA/emailAddress=bronze@swisssign.com/O=SwissSign/C=CH
/CN=SwissSign Silver CA/emailAddress=silver@swisssign.com/O=SwissSign/C=CH
/CN=SWITCH CA/emailAddress=switch.ca@switch.ch/O=Switch⇒
 - Teleinformatikdienste& fuer Lehre und Forschung/C=CH
/CN=SWITCH Personal CA/emailAddress=switch.personal.ca@switch.ch/O=SWITCH⇒
- Teleinformatikdienste fuer Lehre und Forschung/C=CH
/C=CH/O=SWITCH - Teleinformatikdienste fuer Lehre und Forschung/CN=SWITCH⇒
Personal CA/emailAddress=switch.personal.ca@switch.ch
/CN=SWITCH Server CA/emailAddress=switch.server.ca@switch.ch/O=SWITCH⇒
- Teleinformatikdienste fuer Lehre und Forschung/C=CH
/C=CH/O=SWITCH - Teleinformatikdienste fuer Lehre und Forschung/CN=SWITCH⇒
Server CA/emailAddress=switch.server.ca@switch.ch
/C=SI/O=SiGNET/CN=SiGNET CA/emailAddress=signet-ca@ijs.si
/C=SI/O=SiGNET/CN=SiGNET CA
/C=SK/O=SlovakGrid/CN=SlovakGrid CA
/C=ES/O=DATAGRID-ES/CN=DATAGRID-ES CA
/C=TR/O=TRGrid/CN=TR-Grid CA
/C=UK/O=eScience/OU=Authority/CN=CA/⇒
EmailAddress=ca-operator@grid-support.ac.uk
/C=UK/O=eScienceCA/OU=Authority/CN=CA
/C=UK/O=eScienceRoot/OU=Authority/L=Root/CN=CA
/DC=es/DC=irisgrid/CN=IRISGridCA
---
SSL handshake has read 7733 bytes and written 1831 bytes
---
New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : EDH-RSA-DES-CBC3-SHA
    Session-ID: 47299B213AB76BA221566098234987234987E494E54630BFAC1F61AEFA098BD7
    Session-ID-ctx:
    Master-Key: ABCADFE266201905409823048232378691239876123424AFBAE8⇒
55E3E7DE90A5ABC1A88FD5AFA41BD34382108230984F
    Key-Arg   : None
    Start Time: 1193909025
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
^C
Здесь все в порядке, ключевая пара правильная и сервер доверяет Certification Authority, который подписал сертификат. Работа команды “openssl s_client” была прервана сочетанием клавиш Control-C, но, вообще говоря, сеанс мог бы продолжаться и оператор мог бы ввести какие-то команды, которые бы были переданы на сервер и, возможно, там обработаны.

Повторный импорт корневого сертификата RDIG CA в броузер

В 2015 году был продлён срок действия корневого сертификата RDIG CA, поэтому возникла необходимость его повторного импорта в Web-броузеры.

Сама процедура импорта довольно проста:

  1. удаляем импортированный ранее корневой сертификат;
  2. очищаем кеш броузера;
  3. импортируем корневой сертификат заново.
После этого необходимо проверить, что новый сертификат имеет срок действия с 9 августа 2005 года по 3 августа 2025 года.

Ниже находятся инструкции для некоторых популярных броузеров.

Mozilla Firefox

Корневые сертификаты в Firefox зарыты достаточно глубоко. Если у вас английский интерфейс, то путь из меню настроек таков: «Advanced» → «Certificates» → «View Certificates» → «Authorities». Если русский, то «Дополнительные» → «Сертификаты» → «Просмотр сертификатов» → «Центры сертификации».

Кнопка очистки кеша броузера находится в меню «Advanced» → «Network» или «Дополнительные» → «Сеть» соответственно.

Safari для MacOS

Этот броузер использует системное хранилище сертификатов, поэтому для манипуляций с корневым сертификатом вам необходимо запустить утилиту «Keychain Access», которую можно найти в папке «Applications» → «Utilities».

Очистка кеша происходит следующим образом: в настройках Safari нужно выбрать вкладку «Advanced» и там установить флажок около пункта «Show Develop menu in menu bar» (если, конечно, флажок уже не установлен). После этого достаточно выбрать пункт меню «Develop» → «Empty Caches».

Internet Explorer

Корневые сертификаты, устанавливаемые пользователем, находятся во вкладке «Содержание», на которой необходимо нажать кнопку «Сертификаты» и выбрать закладку «Промежуточные центры сертификации».

Чтобы очистить кеш броузера, необходимо нажать сочетание клавиш Ctrl-Shift-Del, выбрать в появившемся окне пункт «Временные файлы Интернета» и снять выделение с остальных пунктов, после чего нажать кнопку «Удалить».

 Вопросы, предложения, пожелания? Пишите: rdig-ca-support[at]grid.kiae.ru