Laboratório de Partículas Elementares

[Tutorial] Adquirindo o certificado de Grid via CERN


Autor: Fernando Rodrigues
Última atualização: 13/03/2019


Comentários iniciais:

  • O certificado de Grid brasileiro fornecido pala UFF vem apresentando constante problemas, por isso nos foi recomendado esquecer o certificado BrGrid e passarmos a tirar o certificado de Grid via CERN.
  • Esta página foi montada utilizando o browser Mozilla Firefox 30.0 no Ubuntu 13.10. Maiores informações sobre o certificado Grid, como obtê-lo,… dentre outras questões, podem ser encontradas na Twiki Certificate F.A.Q ou na seção Help da página CERN Grid Certification Authority.
  • Use o Firefox para requisitar o certificado, pois com o Chrome não funciona!

                   

 
 
 

Adquirindo/Renovando o certificado de Grid via CERN

Não há renovação do certificado de Grid, sendo necessário adquirir um novo certificado a cada ano.
Desta forma, o processo para renovação e a aquisição é exatamente o mesmo.

Para adquirir o certificado, siga os 3 passos abaixo.

  1. Acesse a página CERN Certification Authority e clique no link New Grid User Certificate, ou para acessar direto este link clique aqui.
     
  2. Após ter feito o login na sua conta do CERN você será encaminhado para a etapa Request a new Grid User certificate onde será requerido uma senha para o seu certificado (opção recomendada). Após informar a senha nos dois campos disponíveis e clicar no botão, aparecerá algumas informações no local do botão, informando que o seu certificado está sendo gerado. Se tudo funcionou corretamente, no local onde havia o campo de inserir a senha, aparecerá a mensagem “Your certificate is ready to be downloaded” e o link Download certificate logo a seguir. Ao clicar neste link, o seu certificado será baixado para a sua máquina (arquivo com extensão .P12).
     
  3. Você agora terá de importar esse certificado para os browsers existentes em sua máquina e para a LXPLUS (CERN).
     

    • [Firefox - versão 65] – Faça o seguinte caminho:
      —> Clique no botão “Abrir Menu” (botão com três barras horizontais no canto direito superior do browser)
      —> Clique no item “Opções”
      —> Clique no botão “Privacidade e Segurança” (icone de cadeado na coluna da esquerda que aparecerá ao entrar em “Opções”)
      —> Clique no botão “Ver Certificados…” (Role a tela até o final. Este botão estará no final, dentro da seção Segurança/Certificados.)
      COM ESSES PASSOS VOCÊ TERÁ ABERTO UMA JANELA COM O TÍTULO “Gerenciador de certificados”. PROSSIGA NESSA JANELA REALIZANDO OS SEGUINTES PASSOS:
      —> Clique na aba “Seus certificados”
      —> Clique no botão “Importar” — Encontre o arquivo que deve estar dentro da sua pasta Download. Ao abrí-lo será pedido a senha que você informou na página do CERN.
      SE TUDO OCORREU CORRETAMENTE, SEU FIREFOX ESTARÁ COM O NOVO CERTIFICADO.
       
    • [Chrome - versão 72] – Faça o seguinte caminho:
      —> Clique no botão “Menu”
      —> Clique na opção “Configurações”
      —> Clique no botão “Avançado” (no final da tela)
      —> Clique em “Gerenciar certificados” dentro da seção “Privacidade e segurança”
      —> Clique na aba “Pessoal”
      —> Clique no botão “Importar”.
      SIGA AS INSTRUÇÕES DE INSTALAÇÃO DE CERTIFICADO QUE IRÁ APARECER.
       
    • [LXPLUS (CERN)] – Passe agora para a seção seguinte deste tutorial.

 
 
 

Importar o certificado para o LXPLUS/CERN

Consideramos nesse caso que o usuário deseja importar o certificado CERN Grid para o LXPLUS/CERN de forma ao mesmo poder ser utilizado pelos softwares LHCbDirac e Ganga.
Para isso, primeiramente deve-se criar um diretório ~/.globus, para armazenar o certificado.
Após criar este diretório, deve-se copiar o arquivo .p12 com o certificado do usuário, para dentro deste diretório.
Note que, caso o usuário já tenha em sua conta no LXPLUS os arquivos ~/.globus/userkey.pem e ~/.globus/usercert.pem, os mesmos deverão ser renomeados ou removidos, pois serão gerados novos arquivos com o certificado novo.

A seguir, converte-se o certificado para o formato compreensível para o programa de autênticação LCG (Globus), utilizando os comandos openssl listados abaixo.
Durante esse processo de criação dos arquivos .pem, que são utilizados pelo LCG, será solicitada uma senha.
Esta senha será a senha do usuário para o acessar o GRID.
Por exemplo, ao iniciar o Ganga, será solicitado uma “frase”.
Essa “frase” solicitada, é essa senha inserida no arquivo .pem.

Por fim, o usuário deverá certificar-se de que o arquivo chave (userkey.pem) pode ser lido somente por ele.

 
Abaixo estão todos os comandos a serem dados.
Consideramos que o arquivo .p12 com o certificado BrGrid se chama myCert.p12 e o mesmo já está na raiz da conta do usuário na LXPLUS.

mkdir ~/.globus
mv myCert.p12 ~/.globus/
cd ~/.globus
openssl pkcs12 -nocerts -in myCert.p12 -out userkey.pem
openssl pkcs12 -clcerts -nokeys -in myCert.p12 -out usercert.pem
chmod 400 userkey.pem

Para terminar a configuração da sua conta LXPLUS/CERN, insira dentro do arquivo ~/.tcshrc a seguinte linha:

setenv X509_USER_PROXY ~/.globus/proxy