Adquirindo o certificado BrGrid e se registrando no LHCb Virtual Organization (VO)
Última atualização: 09/09/2014
Observação: Esta página foi montada utilizando o browser Mozilla Firefox 30.0 no Ubuntu 13.10.
Adquirindo/Renovando o certificado BrGrid
Não há renovação do certificado BrGrid, sendo necessário adquirir um novo certificado a cada ano. Desta forma, o processo para renovação e a aquisição é exatamente o mesmo.Observação: Todas as etapas apresentadas a seguir devem ser realizadas utilizando o mesmo computador e browser.
Etapa 1 - Adquirindo o certificado raiz
Esta etapa se faz necessária caso seja a primeira vez que se solicita o certificado BrGrid, ou se o usuário for requisitá-lo de um browser novo. O certificado raiz da CA deve ser instalado no browser do usuário antes que o pedido seja feito.Caso tenha dúvida se o seu browser tem o certificado raiz já instalado, siga os passos mostrados na figura abaixo. O certificado raiz é o "UFF Brazilian Grid Certification Aut...".
Caso o certificado raiz não esteja instalado no browser, siga os seguintes passos:
Acesse endereço...
https://brgridca.ic.uff.br/
Salve-o na máquina...
Importe-o para o browser...
Etapa 2 - Requisitando o certificado BrGrid
Siga os passos da figura abaixo para preencher o formulário de requisição. Existente no endereço...
https://brgridca.ic.uff.br/cgi-bin/pub/pki?cmd=getStaticPage&name=index
Após os passos anteriores, o pedido somente será processado após o F2F, e somente se o usuário trouxer para o RA o valor correto do PIN utilizado.
Após o processamento pelo RA, o pedido segue assinado para o CA.
O CA gera o certificado, e manda uma mensagem para o e-mail do usuário contendo o link para o recolhimento do certificado.
Para o recolhimento do certificado deve ser utilizado o mesmo browser dos passos anteriores.
Etapa 3 - Retirando o novo certificado BrGrid
Em princípio o CA enviará duas mensagens eletrônicas com as informações para a retirada do certificado. Porém, já houve casos em que essa mensage não foi recebida pelo usuário e o certificado já estava disponível na página. Por isso, apresentarei aqui os dois casos.
Caso 1 (Padrão): O CA envia as mensagens eletrônicas
Seguindo o procedimento oficial, o CA enviará duas mensagens eletrônicas, quando o certificado for validado.OpenCA Certificate and PIN information Nesta mensagem recebe-se somente um arquivo smime.p7m, útil no caso de cancelamento do certificado.
OpenCA Certificate information Nesta mensagem se encontra a instrução para a retirada do seu certificado BrGrid. Cabe relembrar que esta retirada do certificado somente poderá ser executada apartir do browser utilizado para realizar o pedido. Após seguir os passos indicados na mensagem, estaremos com o certificado instalado no browser.
Caso 2: O certificado já foi validado, porém não recebemos a mensagem eletrônica
Acesse o endereçohttps://brgridca.ic.uff.br/cgi-bin/pub/pki?cmd=getStaticPage&name=index
e verifique se o certificado já está com a nova validade. Para isso faça os passos de 1 a 3 da figura abaixo e verifique a coluna Issued on.
Caso já tenha a nova validade e o usuário deseje pegar o certificado, basta seguir os passos mostrados na figura abaixo até o final.
Após seguir os passos indicados na figura acima, o certificado estará instalado no browser.
Exportando o certificado BrGrid
Estando com o certificado instalado no browser, deve-se seguir os seguintes passos:
Após apertarmos o botão de BACKUP, quando formos salvar o arquivo p12, será solicitado uma senha, que será utilizada quando formos instalar o certificado em outro browser ou no CERN, por exemplo. Neste momento então o usuário terá um arquivo de backup (.p12) do certificado BrGrid salvo em seu computador.
Trataremos a seguir de dois casos, que são os mais comuns. A exportação do certificado para o LXPLUS/CERN e para um outro computador.
Caso 1: Exportar o certificado para um outro computador
Para isso, basta copiar o arquivo .p12 para o computador em que deseja instalar o certificado e realizar os passos de 1 a 5 da figura anterior. Sendo que agora, será pressionado o botão Import ao invés do Backup. Durante a importação, será requisitada a senha que o usuário criou no momento em que gerou o arquivo .p12.Caso 2: Exportando o certificado para o LXPLUS/CERN
Consideramos nesse caso que o usuário deseja importar o certificado BrGrid para o LXPLUS/CERN de forma ao mesmo poder ser utilizado pelos softwares LHCbDirac e Ganga. Para isso, primeiramente deve-se criar um diretório ~/.globus, para armazenar o certificado. Após criar este diretório, deve-se copiar o arquivo .p12 com o certificado do usuário, para dentro deste diretório. Note que, caso o usuário já tenha em sua conta no LXPLUS os arquivos ~/.globus/userkey.pem e ~/.globus/usercert.pem, os mesmos deverão ser renomeados ou removidos, pois serão gerados novos arquivos com o certificado novo.A seguir, converte-se o certificado para o formato compreensível para o programa de autênticação LCG (Globus), utilizando os comandos openssl listados abaixo. Durante esse processo de criação dos arquivos .pem, que são utilizados pelo LCG, será solicitada uma senha. Esta senha será a senha do usuário para o acessar o GRID. Por exemplo, ao iniciar o Ganga, será solicitado uma "frase". Essa "frase" solicitada, é essa senha inserida no arquivo .pem.
Por fim, o usuário deverá certificar-se de que o arquivo chave (userkey.pem) pode ser lido somente por ele.
Abaixo estão todos os comandos a serem dados. Consideramos que o arquivo .p12 com o certificado BrGrid se chama myCert.p12 e o mesmo já está na raiz da conta do usuário na LXPLUS.
mkdir ~/.globus mv myCert.p12 ~/.globus/ cd ~/.globus openssl pkcs12 -nocerts -in myCert.p12 -out userkey.pem openssl pkcs12 -clcerts -nokeys -in myCert.p12 -out usercert.pem chmod 400 userkey.pemPara terminar a configuração da sua conta LXPLUS/CERN, insira dentro do arquivo ~/.tcshrc a seguinte linha:
setenv X509_USER_PROXY ~/.globus/proxy
Adquirindo/Renovando o registro no LHCb VO
Para poder submeter no DIRAC, se faz necessário obter um registro no LHCb VO (Virtual Organisation). Assim como para o certificado BrGrid, não há renovação do registro no LHCb VO, sendo necessário solicitar um novo registro a cada ano. Desta forma, o processo para aquisição e renovação é exatamente o mesmo.Observação: A solicitação do registro no LHCb VO deverá ser feita de um browser que tenha um certificado BrGrid válido instalado.
Para solicitar o registro, acesse o link abaixo:
https://lcg-voms.cern.ch:8443/vo/lhcb/vomrs?path=/RootNode&action=executeCaso você já tenho o LHCb VO e deseje apenas renovar o mesmo, abra o item Member Info na coluna da esquerda e selecione o item Re-sign Grid and VO AUPs. Caso o usuário esteja pedido o LHCb VO pela primeira vez, terá a opção Registration phase I. Após seguir os passos existentes nesta primeira fase, o usuário irá receber um e-mail automático do LHCb VO (não demora nem 10 minutos para receber este e-mail). Este e-mail conterá um link para retornar à página do LHCb VO e passar a segunda fase.
Ao acessar o link deste último e-mail, o usuário será encaminhado novamente para a ppágina do LHCb VO, onde no menu à esquerda terá a opção Registration phase II. Após completar essa nova etapa, o usuário deverá aguarda por um e-mail informando que seu registro foi aceito. Essa mensagem depende de uma análise do responsável pelo LHCb VO no CERN. Portanto, o tempo de espera dependerá de quanto essa pessoa está ocupada. Normalmente isso não demora mais do que 24h.
ATENÇÃO!!!
SE FAZ IMPORTANTE RESSALTAR QUE APESAR DE O USUÁRIO RECEBER RAPIDAMENTE UM E-MAIL INFORMANDO QUE ELE FOI APROVADO NO LHCb VO, ELE NÃO ESTÁ INSTANTANEAMENTE DESBLOQUEADO PARA UTILIZAR O DIRAC. SE FAZ NECESSÁRIO UM PERÍODO DE APROXIMADAMENTE 24 HORAS, PARA A INFORMAÇÃO DO VO SE PROPAGAR POR TODO O SISTEMA GRID.
Glossário
| CA: | Certification Authority (Autoridade de Certificação) - Responsável pela emissão (e cancelamento) de certificados digitais para comunidade de pesquisa em Grids no Brasil. |
|---|---|
| RA: | Resgistration Authority (Autoridade de Registro) - Responsável por checar a identidade do usuário e seu direito de acesso a recursos de grid. |
| F2F Meeting: | Face-to-Face Meeting - Encontro entre um RA e um usuário onde é confirmada a identidade do usuário requerente. |