Adquirindo o certificado de Grid via CERN e se registrando no LHCb Virtual Organization (VO)

Autor: Fernando Rodrigues
Última atualização: 26/08/2015
 
 
 
O certificado de Grid brasileiro fornecido pala UFF vem apresentando constante problemas,
por isso nos foi recomendado esquecer o certificado BrGrid e passarmos a tirar o certificado de Grid via CERN.  
 
 
Esta página foi montada utilizando o browser Mozilla Firefox 30.0 no Ubuntu 13.10. Maiores informações sobre o certificado Grid, como obtê-lo,... dentre outras questões, podem ser encontradas na Twiki Certificate F.A.Q ou na seção Help da página CERN Grid Certification Authority.  
 
 
 
Use o Firefox para requisitar o certificado, pois com o Chrome não funciona!
 
                                 
 
 
 

Adquirindo/Renovando o certificado de Grid via CERN

Não há renovação do certificado de Grid, sendo necessário adquirir um novo certificado a cada ano. Desta forma, o processo para renovação e a aquisição é exatamente o mesmo. Para adquirir o certificado, siga os 4 passos abaixo.

1. Acesse a página CERN Grid Certification Authority. clique aqui
2. Clique na aba New User Certificate ou no link com o mesmo nome existente no corpo desta página.
3. Após ter feito o login na sua conta do CERN você será encaminhado para a etapa Request a new certificate você irá selecionar no campo Key strength a opção High Grade e apertará no botão Submit.
4. Você será então redirecionado para uma página com a mensagem "To install the certificate in your browser, click on the link above.".

Pronto, seu certificado foi criado e instalado no seu browser (Firefox). Passe agora para a seção seguinte deste tutorial, pois você precisa agora exportar o certificado para a sua máquina e para a LXPLUS (CERN).  
 
 

Exportando o certificado CERN Grid

Para exportar o certificado Grid, siga os seguintes passos:

• Com o Firefox aberto, pressione "Ctrl + E + N" para abrir o menu Edit e entrar em Preference.
• Nesta nova janela (Firefox Preferences):
  • Clique no icone Advanced no topo da janela.
  • Clique na aba Certificates.
  • Clique no botão View Certificates.
• Nesta nova janela (Certificate Manager):
  • Clique na aba Your Certificates no topo da janela.
  • Clique no certificado que você deseja exportar verifique qual é o mais novo através da coluna Expires On que indica a validade de cada certificado.
  • Clique no botão Backup.
• Entre o nome a ser dado ao arquivo a ser salvo e sua localização, e salve como PKCS#12. PCKS#12 é um formato de armazenamento de chaves privadas e certificados.
• O Certificate Manager irá apresentar uma janela para que você inclua uma senha para evitar que terceiros instalem o seu certificado (arquivo PKCS#12).

Neste momento então o usuário terá um arquivo de backup (.p12) do certificado CERN Grid salvo em seu computador.
Trataremos a seguir de dois casos, que são os mais comuns. A exportação do certificado para o LXPLUS/CERN e para um outro computador.
 

Caso 1: Exportar o certificado para um outro computador

Para isso, basta copiar o arquivo .p12 para o computador em que deseja instalar o certificado e realizar os passos de 1 a 5 da figura anterior. Sendo que agora, será pressionado o botão Import ao invés do Backup. Durante a importação, será requisitada a senha que o usuário criou no momento em que gerou o arquivo .p12.
 

Caso 2: Exportando o certificado para o LXPLUS/CERN

Consideramos nesse caso que o usuário deseja importar o certificado CERN Grid para o LXPLUS/CERN de forma ao mesmo poder ser utilizado pelos softwares LHCbDirac e Ganga. Para isso, primeiramente deve-se criar um diretório ~/.globus, para armazenar o certificado. Após criar este diretório, deve-se copiar o arquivo .p12 com o certificado do usuário, para dentro deste diretório. Note que, caso o usuário já tenha em sua conta no LXPLUS os arquivos ~/.globus/userkey.pem e ~/.globus/usercert.pem, os mesmos deverão ser renomeados ou removidos, pois serão gerados novos arquivos com o certificado novo.

A seguir, converte-se o certificado para o formato compreensível para o programa de autênticação LCG (Globus), utilizando os comandos openssl listados abaixo. Durante esse processo de criação dos arquivos .pem, que são utilizados pelo LCG, será solicitada uma senha. Esta senha será a senha do usuário para o acessar o GRID. Por exemplo, ao iniciar o Ganga, será solicitado uma "frase". Essa "frase" solicitada, é essa senha inserida no arquivo .pem.
Por fim, o usuário deverá certificar-se de que o arquivo chave (userkey.pem) pode ser lido somente por ele.
 
Abaixo estão todos os comandos a serem dados. Consideramos que o arquivo .p12 com o certificado BrGrid se chama myCert.p12 e o mesmo já está na raiz da conta do usuário na LXPLUS.

mkdir ~/.globus
mv myCert.p12 ~/.globus/
cd ~/.globus
openssl pkcs12 -nocerts -in myCert.p12 -out userkey.pem
openssl pkcs12 -clcerts -nokeys -in myCert.p12 -out usercert.pem
chmod 400 userkey.pem

Para terminar a configuração da sua conta LXPLUS/CERN, insira dentro do arquivo ~/.tcshrc a seguinte linha:

setenv X509_USER_PROXY ~/.globus/proxy

 
 
 
 

Adquirindo/Renovando o registro no LHCb VO

Para poder submeter no DIRAC, se faz necessário obter um registro no LHCb VO (Virtual Organisation). Assim como para o certificado BrGrid, não há renovação do registro no LHCb VO, sendo necessário solicitar um novo registro a cada ano. Desta forma, o processo para aquisição e renovação é exatamente o mesmo.
 
Observação: A solicitação do registro no LHCb VO deverá ser feita de um browser que tenha um certificado BrGrid válido instalado.
 
Para solicitar o registro, clique aqui
 
Caso você já tenho o LHCb VO e deseje apenas renovar o mesmo, abra o item Member Info na coluna da esquerda e selecione o item Re-sign Grid and VO AUPs.

Caso o usuário esteja pedido o LHCb VO pela primeira vez, terá a opção Registration phase I. Após seguir os passos existentes nesta primeira fase, o usuário irá receber um e-mail automático do LHCb VO (não demora nem 10 minutos para receber este e-mail). Este e-mail conterá um link para retornar à página do LHCb VO e passar a segunda fase.
 
Ao acessar o link deste último e-mail, o usuário será encaminhado novamente para a ppágina do LHCb VO, onde no menu à esquerda terá a opção Registration phase II. Após completar essa nova etapa, o usuário deverá aguarda por um e-mail informando que seu registro foi aceito. Essa mensagem depende de uma análise do responsável pelo LHCb VO no CERN. Portanto, o tempo de espera dependerá de quanto essa pessoa está ocupada. Normalmente isso não demora mais do que 24h.
 
ATENÇÃO!!!
SE FAZ IMPORTANTE RESSALTAR QUE APESAR DE O USUÁRIO RECEBER RAPIDAMENTE UM E-MAIL INFORMANDO QUE ELE FOI APROVADO NO LHCb VO, ELE NÃO ESTÁ INSTANTANEAMENTE DESBLOQUEADO PARA UTILIZAR O DIRAC. SE FAZ NECESSÁRIO UM PERÍODO DE APROXIMADAMENTE 24 HORAS, PARA A INFORMAÇÃO DO VO SE PROPAGAR POR TODO O SISTEMA GRID.