SlovakGrid Certifikacna autorita - navod na vyrobenie ziadost o certifikat

->English version
Navod pre noveho gridoveho pouzivatela:

1.vygenerovat si novy par klucov: grid-cert-request -int
- mozno sa najprv spyta na meno a priezvisko, vyplnte ich
- zvolit aspon 12 znakovu passfrazu
- potvrdit krajinu "C=SK" a oblast "O=SlovakGrid"
- vyplnit skratku nazvu organizacie (zamestnavatela alebo skolu)
- vyplnit meno aj priezvisko v plnom rozsahu (s medzerou)
- ak nemate nainstalovany tento prikaz, mozete pouzit moj 'user' skript

2. skontrolovat, ci sa nepouzil MD5 hash:
openssl req -text -noout -in usercert_request.pem | grep "Signature"
 - nesmie sa vypisat "md5...", akceptujeme napriklad "sha1..."
 
3. osobne priniest tuto ziadost (subor usercert_request.pem) najblizsej
registracnej autorite (informacie: ca.ui@savba.sk) a preukazat sa
jej platnym identifikacnym dokladom (obciansky preukaz, cestovny pas).


Navod na vyrobenie ziadosti o rekey pre user (osobny) certifikat:

Pocas platnosti stareho osobneho certifikatu nim mozete podpisat "ziadost o novy
certifikat" (rekey request), a to nasledovnym postupom:

1. odlozit si ~/.globus adresar napr. do ~/.globus.bak

2.vygenerovat si novy par klucov: grid-cert-request -int
- mozno sa najprv spyta na meno a priezvisko, vyplnte ich
- zvolit aspon 12 znakovu passfrazu
- potvrdit krajinu "C=SK" a oblast "O=SlovakGrid"
- vyplnit skratku nazvu organizacie (zamestnavatela alebo skolu)
- vyplnit meno aj priezvisko v plnom rozsahu (s medzerou)
- ak nemate nainstalovany tento prikaz, mozete pouzit moj 'user' skript

3. skontrolovat, ci sa nepouzil MD5 hash:
openssl req -text -noout -in usercert_request.pem | grep "Signature"
 - nesmie sa vypisat "md5...", akceptujeme napriklad "sha1..."
 
4. podpisat si ziadost starym (este stale platnym) certifikatom:
cd ~/.globus
openssl smime -sign -text -in usercert_request.pem -signer \
~/.globus.bak/usercert.pem -inkey ~/.globus.bak/userkey.pem \
-out rekey.smi

5. dorucit podpisanu ziadost (subor rekey.smi) certifikacnej autorite
ca.ui@savba.sk

6. odlozit si ~/.globus adresar napr. do ~/.globus.new a vratit
naspat stary adresar do casu, kym nedostanete novy certifikat,
ktorym potom prepisete prazdny subor usercert.pem a adresare
znova zamenite


Navod na vyrobenie ziadosti pre host certifikat:

1. vygenerovat si novy par klucov pre host v nejakom adresari, napr. $HOME, 
   na tom stroji kde mate svoj pouzivatelsky certifikat:
grid-cert-request -dir . -int -host
- potvrdit krajinu "C=SK" a oblast "O=SlovakGrid"
- vyplnit skratku nazvu organizacie (zamestnavatela, skoly)
- vyplnit "host/" a za tym FQDN stroja (napr. host/ce.grid.skola.sk)
- ak nemate nainstalovany prikaz "grid-cert-request", mozete pouzit moj 'host' skript

2. skontrolovat, ci sa nepouzil MD5 hash:
openssl req -text -noout -in hostcert_request.pem | grep "Signature"
 - nesmie sa vypisat "md5...", akceptujeme napriklad "sha1..."
 
3. podpisat ziadost svojim platnym user-certifikatom administratora:

openssl smime -sign -text -in hostcert_request.pem -out rekey.smi \
-signer ~/.globus/usercert.pem -inkey ~/.globus/userkey.pem

Ak ste prihlaseni ako root, zamente "~/.globus" (2x) za folder, kde mate
ulozeny osobny privatny kluc a certifikat (alebo ich sem skopirujte).

4. dorucit takto podpisanu ziadost (subor rekey.smi) certifikacnej autorite
   ca.ui@savba.sk obycajnym mejlom (netreba uz podpisovat mejl)

5. ked dostanete novy certifikat, prepisete nim prazdny subor hostcert.pem,
   ktory bol vygenerovany v kroku 1 a tento subor
   aj s privatnym klucom (hostkey.pem) presuniete do adresara
   /etc/grid-security

6. re-konfigurujete (yaim) vsetky gridove sluzby nainstalovane na danom hoste,
   ktore pouzivaju certifikat (CE, SE, MON, ...)
- alebo najdete vsetky kopie stareho kluca+certifikatu (v roznych folderoch 
  aj pod inymi menami s priponou ".pem", ak maju rovnaky obsah)
  a nahradite ich novymi a restartujte tieto sluzby (alebo rebootujte host).