[Tutorial] Adquirindo o certificado de Grid via CERN


Autor: Fernando Rodrigues
Última atualização: 05/08/2017


Comentários iniciais:

  • O certificado de Grid brasileiro fornecido pala UFF vem apresentando constante problemas, por isso nos foi recomendado esquecer o certificado BrGrid e passarmos a tirar o certificado de Grid via CERN.
  • Esta página foi montada utilizando o browser Mozilla Firefox 30.0 no Ubuntu 13.10. Maiores informações sobre o certificado Grid, como obtê-lo,… dentre outras questões, podem ser encontradas na Twiki Certificate F.A.Q ou na seção Help da página CERN Grid Certification Authority.
  • Use o Firefox para requisitar o certificado, pois com o Chrome não funciona!

                   

 
 
 

Adquirindo/Renovando o certificado de Grid via CERN

Não há renovação do certificado de Grid, sendo necessário adquirir um novo certificado a cada ano.
Desta forma, o processo para renovação e a aquisição é exatamente o mesmo.

Para adquirir o certificado, siga os 3 passos abaixo.

  1. Acesse a página CERN Certification Authority e clique no link New Grid User Certificate, ou para acessar direto este link clique aqui.
     
  2. Após ter feito o login na sua conta do CERN você será encaminhado para a etapa Request a new Grid User certificate onde será requerido uma senha para o seu certificado (opção recomendada). Após informar a senha nos dois campos disponíveis e clicar no botão, aparecerá algumas informações no local do botão, informando que o seu certificado está sendo gerado. Se tudo funcionou corretamente, no local onde havia o campo de inserir a senha, aparecerá a mensagem “Your certificate is ready to be downloaded” e o link Download certificate logo a seguir. Ao clicar neste link, o seu certificado será baixado para a sua máquina (arquivo com extensão .P12).
     
  3. Você agora terá de importar esse certificado para os browsers existentes em sua máquina e para a LXPLUS (CERN).
     

    • [Firefox - versão 54] – Faça o seguinte caminho: “Open Menu” &rarrow; “Advance” (último icone do menu vertical na esquerda) &rarrow; “Certificates” (tab no menu horizontal no topo da tela) &rarrow; “View Certificates” (botão no inferior da tela). Aparecerá uma tela Certificate Manager. Clique na aba Your Certificates no menu horizontal. Clique em Import. Encontre o arquivo que deve estar dentro da sua pasta Download. Ao abrí-lo será pedido a senha que você informou na página do CERN.
       
    • [Chrome - versão 59] – Menu &rarrow; Configurações &rarrow; Avançado &rarrow; Privacidade e segurança &rarrow; Gerenciar certificados &arrow; Clique na aba “Pessoal” &arrow; Clique no botão “Importar”.
       
    • [LXPLUS (CERN)] – Passe agora para a seção seguinte deste tutorial.

 
 
 

Importar o certificado para o LXPLUS/CERN

Consideramos nesse caso que o usuário deseja importar o certificado CERN Grid para o LXPLUS/CERN de forma ao mesmo poder ser utilizado pelos softwares LHCbDirac e Ganga.
Para isso, primeiramente deve-se criar um diretório ~/.globus, para armazenar o certificado.
Após criar este diretório, deve-se copiar o arquivo .p12 com o certificado do usuário, para dentro deste diretório.
Note que, caso o usuário já tenha em sua conta no LXPLUS os arquivos ~/.globus/userkey.pem e ~/.globus/usercert.pem, os mesmos deverão ser renomeados ou removidos, pois serão gerados novos arquivos com o certificado novo.

A seguir, converte-se o certificado para o formato compreensível para o programa de autênticação LCG (Globus), utilizando os comandos openssl listados abaixo.
Durante esse processo de criação dos arquivos .pem, que são utilizados pelo LCG, será solicitada uma senha.
Esta senha será a senha do usuário para o acessar o GRID.
Por exemplo, ao iniciar o Ganga, será solicitado uma “frase”.
Essa “frase” solicitada, é essa senha inserida no arquivo .pem.


Por fim, o usuário deverá certificar-se de que o arquivo chave (userkey.pem) pode ser lido somente por ele.

 
Abaixo estão todos os comandos a serem dados.
Consideramos que o arquivo .p12 com o certificado BrGrid se chama myCert.p12 e o mesmo já está na raiz da conta do usuário na LXPLUS.

mkdir ~/.globus
mv myCert.p12 ~/.globus/
cd ~/.globus
openssl pkcs12 -nocerts -in myCert.p12 -out userkey.pem
openssl pkcs12 -clcerts -nokeys -in myCert.p12 -out usercert.pem
chmod 400 userkey.pem

Para terminar a configuração da sua conta LXPLUS/CERN, insira dentro do arquivo ~/.tcshrc a seguinte linha:

setenv X509_USER_PROXY ~/.globus/proxy