CNRS GRID-FR CA Sophie Nicoud
2Sophie Nicoud –GRID-FR CA – 24 Mars 2005 GRID-FR CNRS CA Objectif : Remplacer la « vielle » CA Datagrid-fr Avec des nouvelles spécificités: s Extensions X509v3 s Traduction complète des pages et des formulaires s Ajout d’extensions UNICORE s Signature avec SHA1 s Nouveaux sujets de certificats En accords avec les nouvelles règles de EUGridPMA Une sous-CA CNRS dédiée aux : Projets de GRID dans lesquels le CNRS ou des instituts Français sont impliqués s EGEE, LCG, DEISA, …, Grid 5000, …, E-Sciences,… Validités des CA : CNRS: 2048 bits, Valid 20 years CNRS-Projets: 2048 bits, Valid 10 years GRID-FR: 2048 bits, Valid 10 years
3Sophie Nicoud –GRID-FR CA – 24 Mars 2005 Datagrid-fr Statistiques Certificats valident au 21 Janvier 2005 certificats issus depuis Juin 2001 Avant il y avait CNRS-Test CA
4Sophie Nicoud –GRID-FR CA – 24 Mars 2005 Entités utilisatrices Entités : Instituts publics ou compagnies privées* Français Instituts publics ou compagnies privées non HEP qui n’ont pas de CA nationale* s * impliqués avec le CNRS ou un institut Français dans un projet de GRID Types de certificats issus : Personnel, Machine, Service Validité : De 1 jour à 1 année max Taille des clés : 1024 ou 2048 bits Sujet ou DN de certificat : / O=GRID-FR /C=Pays/O=Institut/OU=Unité/CN=Prénom Nom/ Address= / O=GRID-FR /C= Pays /O=Institut/OU=Unité/CN=Nom machine/ Address= admin / O=GRID-FR /C= Pays /O=Institut/OU=Unité/CN=Nom service/ Address= admin CP-CPS v 0.5
5Sophie Nicoud –GRID-FR CA – 24 Mars 2005 CRL (Listes des Certificats Révoqués) Dès qu’un certificat est révoqué, une CRL est issue Valide pour 1 mois Ré-issue toutes les nuits Mise à disposition par le service de publication dédié à la CA GRID-FR Afin d ’éviter les surcharges, de la machine servant les CRLs et le réseau, dues aux nombreux accès générés par les machines des sites de GRID
6Sophie Nicoud –GRID-FR CA – 24 Mars 2005 Opérations Les machines de la PKI du CNRS sont administrées par la DSI (Direction des Systèmes d’Information) du CNRS à Toulouse DSI/CNRS est le centre informatique de gestion du CNRS. Cette direction est localisée à Paris et à Toulouse. La PKI du CNRS est contrôlée par l’UREC (Unité des Réseaux du CNRS) à Grenoble 2 Autoritées d’Enregistrement pour la CA GRID-FR : Edith et Sophie de l’UREC/CNRS à Marseille Le logiciel de la CA du CNRS a été écrit et est maintenu par l’UREC/CNRS
7Sophie Nicoud –GRID-FR CA – 24 Mars 2005 Organisation des AE Maintenant, 2 Autoritées d’Enregistrement Seulement ces 2 AE peuvent soumettre les demandes de création et révocation de certificat via un site dédié aux AE. Dans chaque unité, un représentant local de ces AE est présent Il est chargé de vérifier l’identité du demandeur et donner aux AE les informations nécessaires L’accès au site des AE est protégé IP et par certificat personnel Les AE ont un certificat personnel issue par la CA CNRS-Plus
8Sophie Nicoud –GRID-FR CA – 24 Mars 2005 Migration… La CA GRID-FR a été accréditée par EUGridPMA fin Janvier 2005 Depuis, nous émettons des certificats Datagrid-fr avec une validité inférieure à 1 an Tests des nouveaux certificats effectués: En interne au CPPM Avec les RB du LAPP et de Grèce => Tests concluants Les RPMs v 27-1 sont distribuées par EUGridPMA depuis Février LCG depuis Mars Problèmes rencontrés: Distribution des nouveaux RPMs difficile Mais « On y arrive ! » => Utilisation correcte possible de la nouvelle CA
9Sophie Nicoud –GRID-FR CA – 24 Mars 2005 Migration… A partir d’Avril 2005 Pour toute nouvelle demande de certificat Demande de certificat GRID-FR Unité par unité Nous contacterons chaque unité Demande de certificat GRID-FR Demande de ré-inscription à leur VO préférée s Les VOs admins sont déjà prévenus s Nous enverrons, à chaque nouveaux certificat émis, n Un mail aux VO admins n Un mail Maria Dimou (admin de la VO auth) n Un mail à l’utilisateur Tous les certificats seront révoqués avant la fin 2005 Le certificat de la CA Datagrid-fr CA sera révoqué début
10Sophie Nicoud –GRID-FR CA – 24 Mars 2005 Migration…