Caro usuário,

Essa pagina visa esclarecer alguns detalhes operacionais sobre a geração e utilização de certificados no GridUNESP e SPRACE. Esses certificados são uma peça fundamental do funcionamento dos grids computacionais, em especial para a sua segurança.

Explicações sobre mecanismo de certificados e por que eles são tão importantes em uma estrutura de grid, estão detalhados na página Informações sobre certificados.

Através de uma parceria com a ANSP, aos usuários do GridUNESP/SPRACE é emitido um certificado automaticamente, quando ele é registrado.

Para sua conveniência, esse certificado fica armazenado em um servidor MyProxy no NCC. Isso facilita a utilização do grid, permitindo o uso de um simples comando myproxy-logon para obter um proxy, sem se preocupar com outros detalhes.

Porém é importante ressaltar que esse certificado é de uso pessoal e intransferível. E, caso deseje, você pode tomar algumas ações:

Exportar o certificado

Alguns usuários podem necessitar exportar o certificado (extrair o certificado do servidor MyProxy e copiar para outro computador) para utilizar como mecanismo de autenticação em alguns sistemas (por exemplo CERN e MyOSG) ou para assinar documentos, como emails.

Utilizando o servidor access.grid.unesp.br (ou qualquer máquina com myproxy configurado, e pode ser necessário usar a opção -s myproxy.grid.unesp.br), execute o comando:

myproxy-retrieve

Utilize a senha cadastrada no NCC. O seu certificado e chave serão salvos no diretório .globus.

Note que a chave será salva descriptografada, o que não é recomendado. Para criptografar, utilize o comando:

grid-change-pass-phrase

Para importar em um navegador, você precisará converter os arquivos em formato PEM para PKCS12. Para isso, utilize:

openssl pkcs12 -export -out cert.p12 -inkey .globus/userkey.pem -in .globus/usercert.pem -certfile /etc/grid-security/certificates/ANSPGrid.pem

O arquivo final será cert.p12, criptografado com a senha fornecida. Esse arquivo poderá ser importado nos navegadores (necessário para alguns sites do CERN e OSG). Recomenda-se apagar os arquivos originais:

rm .globus/user*.pem

Deletar o certificado

Após exportar o seu certificado como explicado acima, você pode optar por excluir o seu certificado do servidor MyProxy do NCC. Essa operação é irreversível. O certificado continuará válido, porém não será possível executar nenhum outro comando myproxy.

myproxy-logon
myproxy-destroy

Observações adicionais

Lembramos aos usuários que qualquer indício de comprometimento da segurança do certificado (suspeita de violação da chave privada) deve ser imediatamente informado à equipe de suporte técnico do GridUnesp, através do email <>, para que o certificado seja revogado e um novo seja emitido.

O procedimento é simples e deve ser disparado sempre que o usuário suspeitar da integridade de seu certificado. A violação do certificado digital, que é de uso pessoal e intransferível, compromete a segurança dos sistemas computacionais não apenas do GridUnesp mas também de sistemas pertencentes a domínios administrativos externos à Unesp. Esse procedimento é essencial para garantir a segurança de toda a infraestrutura. Os pesquisadores responsáveis por projetos devem zelar pela integridade da infraestrutura de segurança reforçando aos membros de seu grupo a guarda e uso adequados dos certificados.