Инструкция по созданию запроса на сертификат

Исходные предположения

Предполагается, что вы прошли процедуру заполнения заявки на получение нового сертификата, в результате которой у вас появились файл сценария для создания запроса и бумажная форма.

Процедура создания запроса

Для создания запроса на сертификат вам будет необходимо запустить ранее сохраненный файл сценария на вашей локальной машине и следовать его инструкциям. Чтобы запустить сценарий, вам понадобятся UNIX-совместимая рабочая среда и установленный пакет OpenSSL. Выполнить сценарий можно командой

$ sh <new_cert.sh>

Первый экран: информация о закрытом ключе

Сначала сценарий выдаст вам информацию о том, куда будет сохранен ваш закрытый ключ:

------------------------------------------------------------------------
Creating the cryptographic keypair for your certificate. The file named
   /home/test/.globus/userkey.pem
will contain your private key. This file must not be shared with anyone
and must be kept in a safe place. Never transfer your private key using
plain communication channels (email, telnet sessions, ftp and so on).

Choose strong password for your private key. Remember, CP/CPS states
that the password should be at least 15 characters long.

If you will forget your password no one will help you: your
certificate will become useless.

                           NEVER USE EMPTY PASSWORD!
              NEWER STORE YOUR PASSWORD ALONG WITH THE PRIVATE KEY!
------------------------------------------------------------------------
Press [Enter]...

Если вы генерируете запрос на сертификат узла или сервиса, то предупреждений про пароль не будет и первая порция информации будет выглядеть примерно так:

------------------------------------------------------------------------
Creating the cryptographic keypair for your certificate. The file named
   /home/test/.globus/testhost.ru/hostkey.pem
will contain your private key. This file must not be shared with anyone
and must be kept in a safe place. Never transfer your private key using
plain communication channels (email, telnet sessions, ftp and so on).

------------------------------------------------------------------------
Press [Enter]...

Второй экран: ввод пароля закрытого ключа

После нажатия клавиши «Enter» будет сгенерирован закрытый ключ:

Generating a 1024 bit RSA private key
........++++++
................................++++++
unable to write 'random state'
writing new private key to '/home/test/.globus/userkey.pem'
Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:

Если пароли в обоих попытках не совпадут, то будет выдано соответствующее сообщение и вам придется снова дважды ввести пароль:

Verifying - Enter PEM pass phrase:
Verify failure
Enter PEM pass phrase:

Если введенный пароль будет короче четырех символов, то вам будет предложено ввести пароль подлиннее:

Verifying - Enter PEM pass phrase:
phrase is too short, needs to be at least 4 chars
Enter PEM pass phrase:

Завершающий экран

После этого (а для получающих сертификат узла или сервиса — даже не останавливаясь на ввод пароля) сценарий выведет информацию о проделанном:

-----
------------------------------------------------------------------------
All done. Your private key is stored in the file
   /home/test/.globus/userkey.pem

Your request was automatically sent through the CA Web interface.

You will be mailed back with the serial number of your request. Then
you should completely fill the paper request form and go to your
Registration Authority to complete your request. You will need you
public key modulus:
   E248BAF5F2 1E383E741C36B496F7EF19A1A82A77534CA4E914⇒
D45378D25904D012227F90D29B6809C82933632C431AC26FC479EF⇒
6092B9CBF5199DD61A21E5E325C23472E277866F18550BE544A956⇒
7DFD4608444866239BEB66C05A23E1E350EE02806C6FFCD0B3CAD0⇒
6DC3FB8F2787228DC662C7C1FF4B8669EC 088870E793
10 starting digits and 10 ending digits of modulus was separated by
spaces from the rest of the digits for your convinience.
------------------------------------------------------------------------
Press [Enter]...

Внутри этого сообщения есть несколько важных частей.

Часть первая

All done. Your private key is stored in the file
   /home/test/.globus/userkey.pem

Суффикс имени файла

Обратите внимание, что файл может называться не «userkey.pem», а, например, «userkey.20080116-191210.pem». Это может произойти потому что на момент запуска сценария файл «userkey.pem» уже существует и, возможно, содержит какой-то закрытый ключ. Поэтому сценарий будет использовать другой файл: к исходному имени добавляется суффикс, основанный на текущих дате и времени.

Если суффикс используется, то он дописывается ко всем создаваемым файлам:

$ ls ~/.globus
usercert.20080116-191210.pem    userkey.pem
usercert.pem                    userreq.20080116-191210.mail
userkey.20080116-191210.pem     userreq.mail

Таким образом вы всегда сможете понять, какие из файлов были созданы во время данного запуска сценария.

Часть вторая

Your request was automatically sent through the CA Web interface.

Если вместо этого вы получаете сообщение

Now you should send the message, contained in the file
   /home/test/.globus/userreq.mail
to
   rdig-ca@grid.kiae.ru

Третья часть

You will be mailed back with the serial number of your request. Then
you should completely fill the paper request form and go to your
Registration Authority to complete your request. You will need you
public key modulus:
   E248BAF5F2 1E383E741C36B496F7EF19A1A82A77534CA4E914⇒
D45378D25904D012227F90D29B6809C82933632C431AC26FC479EF⇒
6092B9CBF5199DD61A21E5E325C23472E277866F18550BE544A956⇒
7DFD4608444866239BEB66C05A23E1E350EE02806C6FFCD0B3CAD0⇒
6DC3FB8F2787228DC662C7C1FF4B8669EC 088870E793
10 starting digits and 10 ending digits of modulus was separated by
spaces from the rest of the digits for your convinience.

Четвертая часть, необязательная

Далее может следовать необязательный блок текста, указывающий на то, что сценарий создал файлы с нестандартными именами (использовал суффикс имени файлов, как было объяснено выше):

Your private key and certificate have non-standard names to avoid
overwriting of your current files. When you will get your certificate
you should backup your current certificate and the private key and
overwrite them with the new files.

Итог работы сценария

После отработки сценария в директории ~/.globus/ (или её поддиректории) должны появиться файлы с закрытым ключом и запросом, который, если сценарий не смог автоматически передать запрос через Web-интерфейс, необходимо отослать обратно в RDIG CA.

Имена файлов различны для разных типов сертификатов:

Тип сертификата	Файл с закрытым ключом	Файл с запросом
Пользовательский	~/.globus/userkey.pem	~/.globus/userreq.mail
Сертификат узла	~/.globus/<host FQDN>/hostkey.pem	~/.globus/<host FQDN>/hostreq.mail
Сертификат сервиса	~/.globus/<host FQDN>-<service name>/hostkey.pem	~/.globus/<host FQDN>-<service name>/hostreq.mail

В некоторых случаях имена файлов могут быть немного другими, но сценарий в конце своей работы выдаст имена файлов, которые были для вас сгенерированы.

Отправка запроса в RDIG CA

Если файл с запросом не был автоматически отправлен сценарием создания запроса, то он может быть отправлен в RDIG CA двумя способами:

• электронной почтой по адресу rdig-cagrid.kiae.ru,
• используя Web-интерфейс.

В случае отсылки по электронной почте, запрос нужно отправлять в теле письма, а не как вложение (attachment). Также стоит удостовериться, что ваш почтовый агент никак не изменяет содержимое файла запроса: не разделяет чересчур длинные строки на несколько, не вставляет лишних заголовков в тело запроса и т.д. Лучший способ отправки запроса по электронной почте — команда mail:

$ mail rdig-cagrid.kiae.ru < userreq.mail

После отправки запроса в RDIG CA, на указанный вами в запросе адрес должно придти потверждение о получении вашего запроса. В нём будет содержаться серийный номер вашего запроса. Используйте его при заполнении бумажной формы.

Может случиться, что вы в течении долгого времени (порядка четырёх-пяти часов) не получаете ответа от RDIG CA с серийным номером вашего запроса. Если вы отправляли запрос по электронной почте, то, вероятно, ваш почтовый агент как-то повредил сгенерированный текст и запрос был отброшен как недействительный. В этом случае, пожалуйста, воспользуйтесь Web-интерфейсом отправки запроса.

Исли и это не исправит ситуации — напишите по адресу rdig-ca-supportgrid.kiae.ru, описав сделанные вами шаги, указав дату и время отсылки запроса в RDIG CA и способ отправки: через Web-интерфейс или электронной почтой. В случае отсылки электронной почтой укажите почтовый адрес, с которого отсылался запрос.

Посещение Registration Authority

При посещении вашего Registration Authority (список всех RA) вам будет необходимо представить ему бумажную форму запроса на сертификат, заполненную и подписанную вами. В форму должны быть заполнены поле с серийным номером запроса и поле с модулем открытого ключа.

Вдобавок, вы должны расписаться и поставить дату в первой части бумажной формы, которая ограничена рамкой с надписью «Заполняется пользователем» (это для сертификата пользователя; для сертификата узла надпись гласит «Заполняется администратором узла», а для сертификата сервиса — «Заполняется администратором сервиса»).

Во второй части бумажной формы, рамка которой имеет подпись «Заполняется Registration Authority», писать ничего не нужно.

Также вам будет необходимо иметь с собой паспорт и ваше рабочее удостоверение (если таковое используются внутри вашей организации).

Модуль открытого ключа вы сможете получить после успешного завершения работы ранее загруженного файла сценария, а номер запроса — после отправки сгенерированного сценарием запроса в RDIG CA.

Registration Authority удостоверит вашу личность, проверит правильность вашего запроса и ваше право получать сертификат в RDIG CA. Registration Authority имеет право отвергнуть ваш запрос или задержать его одобрение; при этом он должен объяснить вам причину данного действия.

Дальнейшие шаги

После того, как вы посетите вашего Registration Authority и он одобрит или отвергнет ваш запрос, вам должно придти об этом уведомление. Уведомление придет по электронной почте, на адрес, который вы указывали, создавая запрос на получение сертификата.

Письмо об отвержении вашего запроса означает, что Registration Authority не счел возможным выдачу вам сертификата. В письме будет изложена причина отвержения. Если вы просто ошиблись при заполнении формы, указали неправильные данные или сделали что-то подобное, то вы можете попытаться получить сертификат, сделав новый запрос на получение сертификата.

Письмо об одобрении запроса означает, что ваша заявка автоматически поступит операторам RDIG CA и в течение трёх рабочих дней ваш запрос будет рассмотрен. Результатом рассмотрения, скорее всего, станет выдача сертификата.

Готовый сертификат придёт вам по электронной почте. Если сертификат не приходит долгое время, то проверьте страницу действительных сертификатов: быть может, ваш сертификат был подписан, но электронное сообщение не дошло. Тогда сохраните содержимое вашего сертификата на вашу локальную машину.

Если же сертификат не пришёл по электронной почте, его нет на странице действительных сертификатов и вам не приходило писем об отклонении вашего запроса — напишите по адресу rdig-ca-supportgrid.kiae.ru, указав в письме все шаги, сделанные вами для получения сертификата, и серийный номер запроса.