SlovakGrid Certifikacna autorita - navod na vyrobenie ziadost o certifikat

->English version
Navod pre noveho gridoveho pouzivatela (alebo po 5 rokoch):

1. vygenerovat si novy par klucov: grid-cert-request -int
- mozno sa najprv spyta na meno a priezvisko, vyplnte ich
- zvolit aspon 12 znakovu passfrazu
- potvrdit krajinu "C=SK" a oblast "O=SlovakGrid"
- vyplnit skratku nazvu organizacie (zamestnavatela alebo skolu)
- vyplnit meno aj priezvisko v plnom rozsahu (s medzerou)
- ak nemate nainstalovany tento prikaz, mozete pouzit moj 'user' skript

2. skopirovat si sha256 hash novej ziadosti ziskany prikazom:
      sha256sum usercert_request.pem
 do formulara Ziadost.doc

3. vytlacit a osobne priniest tento formular zvolenej registracnej
 autorite (http://ups.savba.sk/ca/index.php?page=ra-list) a preukazat sa
 platnym identifikacnym dokladom (obciansky preukaz, cestovny pas)

4. mejlom poslat subor usercert_request.pem navstivenej registracnej autorite.


Navod na vyrobenie ziadosti o rekey pre user (osobny) certifikat:

Pocas platnosti stareho osobneho certifikatu nim mozete podpisat "ziadost o novy
certifikat" (rekey request), a to nasledovnym postupom:

1. odlozit si ~/.globus adresar napr. do ~/.globus.bak

2.vygenerovat si novy par klucov: grid-cert-request -int
- mozno sa najprv spyta na meno a priezvisko, vyplnte ich
- zvolit aspon 12 znakovu passfrazu
- potvrdit krajinu "C=SK" a oblast "O=SlovakGrid"
- vyplnit skratku nazvu organizacie (zamestnavatela alebo skolu)
- vyplnit meno aj priezvisko v plnom rozsahu (s medzerou)
- ak nemate nainstalovany tento prikaz, mozete pouzit moj 'user' skript

3. podpisat si ziadost starym (este stale platnym) certifikatom:
cd ~/.globus
openssl smime -sign -text -in usercert_request.pem -signer \
~/.globus.bak/usercert.pem -inkey ~/.globus.bak/userkey.pem \
-out rekey.smi

4. dorucit podpisanu ziadost (subor rekey.smi) certifikacnej
autorite ca.ui@savba.sk

5. odlozit si ~/.globus adresar napr. do ~/.globus.new a vratit
naspat stary adresar do casu, kym nedostanete novy certifikat,
ktorym potom prepisete prazdny subor usercert.pem a adresare
znova zamenite.


Navod na vyrobenie ziadosti pre host certifikat:

1. vygenerovat si novy par klucov pre host v nejakom adresari, napr. $HOME, 
   na tom stroji kde mate svoj pouzivatelsky certifikat:
grid-cert-request -dir . -int -host
- potvrdit krajinu "C=SK" a oblast "O=SlovakGrid"
- vyplnit skratku nazvu organizacie (zamestnavatela, skoly)
- vyplnit FQDN stroja (napr. ce.grid.skola.sk)
- ak nemate nainstalovany prikaz "grid-cert-request", mozete pouzit moj 'host' skript

2. podpisat ziadost svojim platnym user-certifikatom administratora:

openssl smime -sign -text -in hostcert_request.pem -out rekey.smi \
-signer ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem

Ak ste prihlaseni ako root, zamente "~/.globus" (2x) za folder, kde mate
ulozeny osobny privatny kluc a certifikat (alebo ich sem skopirujte).

3. dorucit takto podpisanu ziadost (subor rekey.smi) certifikacnej autorite
   ca.ui@savba.sk obycajnym mejlom (netreba uz podpisovat mejl)

4. ked dostanete novy certifikat, prepisete nim prazdny subor hostcert.pem,
   ktory bol vygenerovany v kroku 1 a tento subor
   aj s privatnym klucom (hostkey.pem) presuniete do adresara
   /etc/grid-security

5. re-konfigurujete (yaim) vsetky gridove sluzby nainstalovane na danom hoste,
   ktore pouzivaju certifikat (CE, SE, MON, ...)
- alebo najdete vsetky kopie stareho kluca+certifikatu (v roznych folderoch 
  aj pod inymi menami s priponou ".pem", ak maju rovnaky obsah)
  a nahradite ich novymi a restartujte tieto sluzby (alebo rebootujte host).