Удостоверяющий центр


Создание запроса на получение сертификата пользователя национальной грид-сети или сертификата пользователя грид-сети ДЗЗ


1. Для создания запроса на получение пользовательского сертификата необходимо предварительно установить утилиту openssl:
- для ОС Windows пакет openssl-0.9.8h-1-setup.exe: http://gnuwin32.sourceforge.net/packages/openssl.htm
- для ОC Linux - пакет openssl, который входит в дистрибутив ОС.


2. Загрузите конфигурационный файл для создания запроса на получение сертификата пользователя национальной грид-сети:

wget http://noc.grid.basnet.by/misc/BelarusianNOCGridCA-user.cnf


или конфигурационный файл для создания запроса на получение сертификата пользователя грид-сети ДЗЗ:

wget http://noc.grid.basnet.by/misc/BelarusianRSGridCA-user.cnf


3. Сгенерируйте запрос на получение сертификата пользователя национальной грид-сети:

openssl req -new -config BelarusianNOCGridCA-user.cnf -out usercert_request.pem -sha256


или запрос на получение сертификата пользователя грид-сети ДЗЗ:

openssl req -new -config BelarusianRSGridCA-user.cnf -out usercert_request.pem -sha256

* выберите сложный пароль;
* не изменяйте значения переменных "Domain Component" - просто введите <ENTER>;
* введите домен (обычно адрес веб-сайта без "www") своего учреждения (например, bntu.by) или домен с поддоменом,
если таковой существует (например, uiip.bas-net.by);
* введите Ваши имя и фамилию латиницей, как представлено в Вашем паспорте (сначала вводится Имя,
затем через пробел вводится Фамилия; причем, первые буквы имени и фамилии должны быть прописными (в верхнем регистре),
а все остальные – строчными (в нижнем регистре), например, Francysk Skaryna).

После выполнения команды создания запроса в каталоге пользователя будут созданы два файла:
– usercert_request.pem – запрос на получение сертификата пользователя;
– userkey.pem – закрытый ключ сертификата пользователя.
Для закрытого ключа сертификата пользователя необходимо установить права доступа только на чтение для владельца файла,
например, для ОС Linux с помощью команды:
chmod 400 userkey.pem


4. Проверьте созданный запрос:

openssl req -in usercert_request.pem -noout -text

Поле «Subject» запроса на получение сертификата пользователя должно иметь вид:

Subject: DC=by, DC=grid, O=domain.by, CN=Name Surname
где domain.by – домен учреждения пользователя; Name Surname – имя и фамилия пользователя.


5. Отправьте администратору Удостоверяющего центра Операционного центра национальной грид-сети следующую информацию:

1) Имя Фамилия (латиницей как представлено в паспорте, сначала Имя, затем через пробел Фамилия, причем первые буквы имени и фамилии должны
быть прописными (в верхнем регистре), а все остальные – строчными (в нижнем регистре), например, Francysk Skaryna);
2) Фамилия Имя Отчество (по паспорту на белорусском или русском языке и в указанном порядке, например, Иванов Петр Николаевич);
3) место работы (полное официальное наименование организации);
4) населенный пункт места работы (например, г. Минск);
5) подразделение (например, лаборатория, цех, отдел, управление, факультет, кафедра);
6) должность (например, администратор системный I категории, инженер-программист, заместитель генерального директора, студент, аспирант);
7) адрес электронной почты, который будет указан в сертификате и будет использоваться для контактов с Удостоверяющим центром Операционного
центра национальной грид-сети;
8) номер телефона (лучше указать несколько: рабочий, мобильный, домашний);
9) файл запроса на получение сертификата пользователя (usercert_request.pem).


Проверка сертификата


После получения по электронной почте сертификата <NAME>_Certificate_<DATE>.pem проверить сертификат при помощи команды:

openssl verify -CAfile bynocgca-cacert.pem <NAME>_Certificate_<DATE>.pem

или для сертификата пользователя грид-сети ДЗЗ:

openssl verify -CAfile byrsgca-cacert.pem <NAME>_Certificate_<DATE>.pem

В случае возникновения сообщений об ошибках известить администратора Удостоверяющего центра Операционного центра национальной грид-сети .

© 2009-2017 UIIP NASB