証明書の設定

(1) CAノードからの証明書取得

「2.6 証明書の取得」で発行したホスト証明書およびユーザ証明書を、CAノードか らUMSノードに取得します。すでに運用されているCAから発行された証明書を利用 される場合、本手順は不要です。

[root@naregi-ums root]# cd /tmp [root@naregi-ums tmp]# mkdir cert [root@naregi-ums tmp]# cd cert

[root@naregi-ums cert]# mkdir host user

[root@naregi-ums cert]# mkdir user/voms user/naregiuser [root@naregi-ums cert]# cd host

[root@naregi-ums host]# scp naregi-cara.naregi.org:/usr/naregi/cert/host/naregi-ums.naregi .org/* .

← ホスト証明書の取得 [root@naregi-ums cert]# cd ../user/voms

[root@naregi-ums voms]# scp naregi-cara.naregi.org:/usr/naregi/cert/user/voms/* .

← ユーザ(VOMS管理者アカウント(voms))証 明

書の取得 [root@naregi-voms voms]# cd ../naregiuser

[root@naregi-voms naregiuser]# scp naregi-cara.naregi.org:/usr/naregi/cert/user/naregiuser/

* .

← ユーザ(テストアカウント(本例では naregiuser))証明書の取得

(2) ホスト証明書の設定

すでに運用されているCAから発行された証明書を利用される場合、下記手順内で

mkdirしているディレクトリに証明書を格納し、手順を進めてください。

[root@naregi-ums root]# cd /etc

[root@naregi-ums etc]# mkdir grid-security

[root@naregi-ums etc]# mkdir grid-security/vomsdir grid-security/certificates [root@naregi-ums etc]# cd grid-security

[root@naregi-ums grid-security]# cp /tmp/cert/host/hostcert.pem . [root@naregi-ums grid-security]# cp /tmp/cert/host/hostkey.pem . [root@naregi-ums grid-security]# chmod 644 hostcert.pem [root@naregi-ums grid-security]# chmod 400 hostkey.pem [root@naregi-ums grid-security]# cd vomsdir

[root@naregi-ums vomsdir]# cp /tmp/cert/host/hostcert.pem .

NAREGI Middleware 導入手引書

[root@naregi-ums vomsdir]# chmod 644 hostcert.pem [root@naregi-ums vomsdir]# cd ../certificates

[root@naregi-ums certificates]# openssl x509 -in /tmp/cert/host/naregica.cer -hash -noout 31c4226d

← CA証明書(本例ではnaregica.cer)から ホスト証明書発行の認証局のハッシュ値 を確認

[root@naregi-ums certificates]# cp /tmp/cert/host/naregica.cer 31c4226d.0

← “ハッシュ値.0”ファイルの作成 [root@naregi-ums certificates]# chmod 644 31c4226d.0

[root@naregi-ums certificates]# openssl x509 -in ../hostcert.pem -noout -subject subject= /C=JP/O=NAREGI/OU=togo/CN=host/naregi-ums.naregi.org

← ホスト証明書subjectの確認 [root@naregi-ums certificates]# vi 31c4226d.signing_policy

← “ハッシュ値.signing_policy”ファイルを 作成

：

access_id_CA X509 '/C=JP/O=naregi/OU=togo' pos_rights globus CA:sign

cond_subjects globus '"/C=JP/O=naregi/OU=togo/*"' ：

← ホスト証明書subjectから確認した情報を 元に記述

(3) ユーザ証明書の設定

(3-1) VOMS管理者アカウントの証明書設定

すでに運用されているCAから発行された証明書を利用される場合、取得したアカ ウントのうちいずれか1つをVOMS管理者として設定してください。

[root@naregi-ums root]# useradd voms [root@naregi-ums root]# passwd voms

← VOMS管理者アカウント(本例ではvoms)の 作成

[root@naregi-ums root]# cd ~voms [root@naregi-ums voms]# mkdir .globus [root@naregi-ums voms]# cd .globus

[root@naregi-ums .globus]# cp /tmp/cert/user/voms/* . [root@naregi-ums .globus]# chown voms:voms *.pem

[root@naregi-ums .globus]# chmod 644 usercert.pem cacert.pem [root@naregi-ums .globus]# chmod 400 userkey.pem

← ユーザ(VOMS管理者アカウントvoms)

NAREGI Middleware 導入手引書

証明書の設定

(3-2) テストアカウントの証明書設定 [root@naregi-ums root]# useradd naregiuser [root@naregi-ums root]# passwd naregiuser

← テストアカウント(本例ではnaregiuser) の作成

[root@naregi-ums root]# cd ~naregiuser [root@naregi-ums naregiuser]# mkdir .globus [root@naregi-ums naregiuser]# cd .globus

[root@naregi-ums .globus]# cp /tmp/cert/user/naregiuser/* . [root@naregi-ums .globus]# chown naregiuser:naregiuser *.pem [root@naregi-ums .globus]# chmod 644 usercert.pem cacert.pem [root@naregi-ums .globus]# chmod 400 userkey.pem

← ユーザ(テストアカウント(本例では naregiuser)証明書の設定

(4) 証明書のインポート

CAノード上のRAサーバからca.cerを取得し、RA証明書(ra.cer)として配置します。

すでに運用されているCAから発行された証明書を利用される場合、本手順は不要で す。

[root@naregi-ums root]# cd /usr/naregi/naregi-ca

[root@naregi-ums naregi-ca]# scp naregi-cara.naregi.org:/usr/naregi/ra/serv-ssl/ca.cer ra.ce r

[root@naregi-ums naregi-ca]# openssl x509 -in ra.cer -noout -subject

← インポートする RA の subject の確認 subject= /O=XXXXX/OU=server-YYYYY-ZZZZZ

[root@naregi-ums naregi-ca]# /usr/naregi/naregi-ca/bin/aistore -i ra.cer

← RA証明書のインポート import a file to the store successfully.

[root@naregi-ums naregi-ca]# /usr/naregi/naregi-ca/bin/aistore -st root [unique-id] subject serialNumber ---

[server-AAAAA-BBBBB] O=CCCCC, OU=server-AAAAA-BBBBB, 1 [server-BBBBB-CCCCC] O=DDDDD, OU=server-BBBBB-CCCCC, 1 ：

[server-YYYYY-ZZZZZ] O=XXXXX, OU=server-YYYYY-ZZZZZ, 1

← インポートの確認

NAREGI Middleware 導入手引書

[National Research Grid Initiative] C=JP, O=National Research Grid Initiative, 1 list a certificate store successfully.

(5) セキュアログインシェルスクリプトの編集と設定

「2.8.7 セキュアログインシェルスクリプトの展開」で展開したセキュアログインシェ ルスクリプトを編集、設定します。

[root@naregi-ums naregi]# cd /usr/naregi/ums [root@naregi-ums ums]# ls

certinfo.sh gridcert.sh pass.sh ums_env.sh vomsinfo.sh voms-myproxy-init.sh [root@naregi-ums ums]# vi gridcert.sh

← ユーザ証明書取得シェルの編集(すでに 運用されているCAから発行された証明書 を利用される場合、本手順は不要) GRIDCERT=/usr/naregi/naregi-ca/bin/grid-certreq

RASERV=naregi-cara.naregi.org

← CA/RAノードを指定 RANAME="globususer"

← "globususer"を指定 PROFILE="Globus user"

← "Globus user"を指定 ：

（略）

[root@naregi-ums ums]# vi voms-myproxy-init.sh

#!/bin/sh

VOMSINIT=/opt/glite/bin/voms-proxy-init MYPROXYINIT=/opt/globus/bin/myproxy-init MYPROXY_SERVER="naregi-portal.naregi.org"

← Portalノードを指定

MYPROXY_SERVER_DN="/C=JP/O=naregi/OU=togo/CN=naregi-portal.naregi.org"

← PortalノードのDNを指定 [root@naregi-ums ums]# vipw

：

naregiuser:x:9999:9999::/home/naregiuser:/usr/naregi/ums/pass.sh

← テストアカウント(本例ではnaregiuser)の ログインシェルを設定

[root@naregi-ums ums]#

NAREGI Middleware 導入手引書