EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sécurité sur le GRID Edith Knoops (CNRS/CPPM)

Slides:



Advertisements
Présentations similaires
Vous désirez offrir l accès internet à vos clients? Mais dans toute sécurité, facile et avantageux!
Advertisements

Projet RNRT ICare: Services évolués de signature
Authentification et Autorisation Sophie Nicoud DataGrid France – CPPM 22/09/02.
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Le Grid Computing Par Frédéric ARLHAC & Jérôme MATTERA.
Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec
Certificats Globus et DataGrid France
La configuration Apache 2.2 Lhébergement virtuel.
5 février 2009Journée Technique1 Journée Technique Régionale Carte CPS Jeudi 05 Février 2009.
LA CERTIFICATION ELECTRONIQUE APPLIQUEE AU SYSTÈME DE PAIEMENT ALGERIEN Alger, Séminaire du 08 & 09 Décembre 2009.
Public Key Infrastructure
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
Une approche pour un espace de confiance des collectivités locales.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Notions de sécurité sur la grille
Section 4 : Paiement, sécurité et certifications des sites marchands
Ahmed Serhrouchni ENST’Paris CNRS
La sécurité dans les grilles
WINDOWS Les Versions Serveurs
Pki et kerberos.
Présentation de Active Directory
SSO : Single Sign On.
Java Authentication And Authorization Service API
Authentification à 2 facteurs
Dématérialisation & Téléprocédures
Sujet à la mode Vrais services Le faire ou l’acheter : compréhension indispensable. Vers une PKI de l ’enseignement supérieur ?
Gestion des clés cryptographiques
Dématérialisation & Téléprocédures
Le protocole d’authentification
Expose sur « logiciel teamviewer »
Introduction à la cryptographie
EGEE is a project funded by the European Union under contract IST Noeud de Grille au CPPM.
RSZ-ONSS Journée d’étude Dimona - DMFA 7/01/ L’E-government dans la sécurité sociale M. Allard, Directeur général à l’ONSS.
Module 3 : Création d'un domaine Windows 2000
Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings.
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
V- Identification des ordinateurs sur le réseau
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Data management David Bouvet IN2P3-CC Clermont.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
21 octobre 2015 Comité des utilisateurs Certificats serveur Problèmes et solutions. Eric Roelandt.
Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
INFSO-RI Enabling Grids for E-sciencE NA4 test Eric Fede on behalf of the team.
EGEE is a project funded by the European Union under contract IST Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Clermont,
EGEE is a project funded by the European Union under contract IST Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) EGEE induction course, Lyon,
Enabling Grids for E-sciencE Sécurité sur EGEE, indications utilisateurs Sophie Nicoud (CNRS/IGH, anciennement UREC) David Weissenbach.
Catalogues de fichiers de données. David Bouvet2 Problématique Possibilité de répliquer les fichiers sur divers SE  nécessité d’un catalogue de fichiers.
Sample Image Comment utiliser la grille ? 3ème rencontre EGEODE des utilisateurs de Geocluster et des Sciences de la Terre sur la grille EGEE à Villefranche-sur-Mer.
Réunion EGEE France 11/6/2004Page 1Rolf Rumler Structure de l’exploitation d’EGEE.
Grid au LAL Michel Jouvin LAL / IN2P3
Conseil de Coordination du Réseau des Informaticiens (CCRI) A la demande du nouveau chargé de mission informatique, une réunion a eu lieu le 30 Janvier.
INFSO-RI Enabling Grids for E-sciencE Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007.
EGEE is a project funded by the European Union under contract INFSO-RI Copyright (c) Members of the EGEE Collaboration Infrastructure Overview.
Réunion des sites LCG France- Marseille juin ACTIVITES DU GROUPE ACCOUNTING FRANCE GRILLES Cécile Barbier (LAPP)
Resource allocation: what can we learn from HPC? 20 janvier 2011 Vincent Breton Crédit: Catherine Le Louarn.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Pierre Girard (CCIN2P3)
CNRS GRID-FR CA Sophie Nicoud
EGEE induction course, 22/03/2005 INFSO-RI Enabling Grids for E-sciencE Infrastructure Overview Pierre Girard French ROC deputy.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Sophie Nicoud (CNRS/UREC)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Monitoring dans EGEE Frederic Schaer ( Judit.
INFSO-RI Enabling Grids for E-sciencE Data management Daniel Jouvenot IN2P3-LAL ORSAY - 02/02/2007.
CNRS GRID-FR CA Sophie Nicoud
Sécurité sur le GRID Edith Knoops (CNRS/CPPM)
Modèle de sécurité David Bouvet, David Weissenbach
Sécurité sur le GRID Edith Knoops (CNRS/CPPM)
Exercices Sécurité Tutorial LAPP Annecy 26 septembre 2007
Transcription de la présentation:

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Edith Knoops (CNRS/CPPM) à partir de Sophie Nicoud Marseille oct 2004 Tutorial EGEE utilisateur Clermont Ferrand janvier 2007

EGEE Sécurité – Clermont, 10 janvier Plan Que faut-il pour travailler sur la Grille de Calcul ? La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI) Authentification  Les certificats électroniques  Les fédérations d’Autorités de Certification  GRID-FR Autorisation  Les Organisations Virtuelles  Mécanismes et architectures Les proxys  Les proxys de courte durée  Les proxys de longue durée

EGEE Sécurité – Clermont, 10 janvier Que faut-il pour travailler sur la Grille de Calcul ? Un utilisateur pour utiliser le GRID doit posséder :  Un certificat électronique personnel  Une entrée dans une Organisation Virtuelle (VO ou VOMS)  Un compte sur une Interface Utilisateur ou sur un Service Web (UI)

EGEE Sécurité – Clermont, 10 janvier Authentification/Autorisation Authentification=> Certificat électronique X509 (CA)  Qui est qui ? Autorisation=>Organisation Virtuelle (VO ou VOMS)  Qui a le droit ? Accès au GRID=> Interface Utilisateur ou Service Web (UI) Audit sécurité  QUI fait QUOI et QUAND ? Comptabilité  COMBIEN de ressources consomme Mr ou Mme X ou la VO Y ? Facturation possible

EGEE Sécurité – Clermont, 10 janvier Plan La sécurité sur la Grille de Calcul  Grid Security Infrastructure (GSI)

EGEE Sécurité – Clermont, 10 janvier Grid Security Infrastructure (GSI) Un standard pour les logiciels de Grille de Calcul Basé sur les certificats X509v3 et les PKI Implémente :  Single sign-on: le mot de passe n’est donné qu’une seule fois  Délégation: un service peut-être utilisé au nom d’une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations  Authentification mutuelle: le destinataire et l’émetteur s’authentifient Introduction des certificats proxy  Certificat à durée de vie courte, contenant la clé privée, signé avec le certificat de l’utilisateur  Un Proxy peut se déplacer sur le réseau

EGEE Sécurité – Clermont, 10 janvier Plan Authentification  Les certificats électroniques  Les fédérations d’Autorités de Certification  GRID-FR

EGEE Sécurité – Clermont, 10 janvier Qu’est qu’un certificat électronique X509v3 ? Repose sur l’utilisation des algorithmes asymétriques et l’accréditation par un tiers de confiance, l’Autorité de Certification (CA) C’est un couple de clés indissociables  Les clés sont générées ensembles  Impossibilité de retrouver une clé par rapport à l’autre Un certificat X509v3 peut être issu pour  Une personne physique (certificat personnel)  Une machine (certificat de hôte)  Un programme (certificat de service) Le certificat a une période de validité Il est composé d’une clé publique et d’une clé privée La clé publique  Signée par l’Autorité de Certification après vérification de l’identité du destinataire  Publiée sur le réseau via le service de publication de la CA  Dans le langage courant, elle est appelée certificat La clé privée  Conservée sur le poste de l’utilisateur ou sur la machine  Chiffrée et protégée par un mot de passe

EGEE Sécurité – Clermont, 10 janvier Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique):  Le sujet ou DN du certificat  Le numéro de série du certificat  La période de validité du certificat  L’Autorité de Certification émettrice  La clé publique  Des extensions X509v3 Les utilisations autorisées du certificat L’ ...  La signature de la CA émettrice Il faut toujours avoir :  La Liste des Certificats Révoqués (CRL) émise par la CA  Le certificat de la CA émettrice

EGEE Sécurité – Clermont, 10 janvier Certificat X509v3 (2) Il existe plusieurs formats de représentation des certificats  PKCS12 Extensions.p12 ou.pfx La clé privée et la clé publique sont dans un même fichier Le fichier est chiffré et protégé par un mot de passe La plupart des CA délivrent les certificats personnels dans ce format  PEM Extensions.pem ou.crt et.key La clé privée et la clé publique sont dans 2 fichiers distincts Le fichier contenant la clé privée est chiffré et protégé par un mot de passe C’est ce format que nous utilisons sur la Grille de Calcul

EGEE Sécurité – Clermont, 10 janvier Un certificat X509v3 (1) # openssl x509 -text -noout -in usercert.pem Certificate: Data: Version: 3 (0x2) Serial Number: 656 (0x290) Signature Algorithm: sha1WithRSAEncryption Issuer: C=FR, O=CNRS, CN=GRID-FR Validity Not Before: Feb 8 10:04: GMT Not After : Feb 8 10:04: GMT Subject: O=GRID-FR, C=FR, O=CNRS, OU=CPPM, CN=Edith Knoops Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b9:8d:52:15:ee:80:d8:8f:3c:a7:1f:fb:59:6d: Numéro de série CA émettrice Période de validité Sujet Clé publique

EGEE Sécurité – Clermont, 10 janvier Un certificat X509v3 (2) X509v3 extensions: X509v3 Basic Constraints: critical CA:FALSE Netscape Cert Type: SSL Client, S/MIME, Object Signing X509v3 Key Usage: critical Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement X509v3 Certificate Policies: Policy: X509v3 Subject Alternative Name: X509v3 CRL Distribution Points: URI: : unicoreClient Signature Algorithm: sha1WithRSAEncryption 7a:ea:e5:96:d6:cb:2f:2e:a6:9c:1d:06:55:8a:af:2a:7a:1c: Extensions X509v3  Autorisations d’utilisation Extensions X509v3  Version CP/CPS de la CA   CRL Signature de la CA

EGEE Sécurité – Clermont, 10 janvier Vérification d’un certificat clé publique + infos + signature de la CA £$ Certificat £$ Empreinte A Hash code Clé publique de la CA Empreinte B Egalité ? £$ clé publique + infos + signature de la CA £$ Pério de de validit é ? Inclus dans CRL ? CRL £$ clé publique + infos + signature de la CA £$

EGEE Sécurité – Clermont, 10 janvier openssl Convertir un certificat du format PKCS12 au format PEM  Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem  Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique  Format PEM # openssl x509 -text -noout -in usercert.pem  Format PKCS12 # openssl pkcs12 -info -in cert.p12 Changer le mot passe de la clé privée # openssl rsa -in userkey.pem

EGEE Sécurité – Clermont, 10 janvier Les Autorités de Certification Problématique :  Une seule CA par projet => Pas gérable, peu sûr  Une CA par partenaire => Problème de mise à l’échelle Solution :  Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays  Catch-All CAs Pays sans CA nationales Politique de gestion des autorités : GRID PMA  PMA, Policy Management Authority  Etablir des obligations minimales pour les CA  Accréditer les CA  Auditionner les CA

EGEE Sécurité – Clermont, 10 janvier Organisation des PMA IGTF, International Grid Trust Federation  Coordonne les PMA  Création de règles et chartes inter-PMA  EUGridPMA  Le pionnier, fondateur de l’IGTF et de ses règles et chartes  Couvre le continent Européen mais élargi à certaines CA dont le PMA n’est pas pleinement opérationnel (US, Canada, Chine, Taiwan,...)  TAGPMA  Amériques Sud et Nord  3 CA en Amérique du nord, Plusieurs en cours d’accréditation sur l’Amérique du Sud APGridPMA  Asie et Pacifique  10 CA, Autralie, Japon, Chine, Taiwan, Corée

EGEE Sécurité – Clermont, 10 janvier Obligations minimales CRL  Emettre une CRL dès qu’un certificat est révoqué  Validité maximum d’un mois  Ré-émission de la CRL 7 jours avant son expiration Machine CA  Dédiée, off-line  Protection des clés Espace de nommage des sujets de certificats UNIQUE Architecture de la PKI  Une CA par pays ou groupe de pays  Une CA dédiée aux projets de Grille de Calcul... : Obligations minimales : Définition du groupe

EGEE Sécurité – Clermont, 10 janvier GRID-FR. Pourquoi ? Sous-CA du CNRS :  Dédiée aux projets de GRID Computing dans lesquels le CNRS ou des instituts Français sont impliqués EGEE, LCG, DEISA, Grid 5000, EELA, ILDG, E-Sciences, Integrative Biology, …  Délivre des certificats personnels, de services et serveurs aux : Instituts publics et organismes privés Français Instituts publics et organismes privés étrangers, non HEP, ne disposant pas d’une CA accréditée GRID. Répondre aux obligations de EUGridPMA

EGEE Sécurité – Clermont, 10 janvier GRID-FR. Spécificités Spécificités par rapport aux autres sous-CA du CNRS :  Sujet des certificats distinctif et unique  Possibilité d’avoir des sujets de certificat : /O=GRID-FR/C=FR/O=CNRS/OU=UREC/CN=ldap/monserveur  Certificats émis à d’autres instituts que le CNRS, d’autres pays,...  Extensions X509v3 spécifiques aux GRIDs  Algorithme de signature de la CA GRID-FR SHA1  CRL Générée chaque nuit Valide 1 mois Serveur spécifique pour le téléchargement –crls.services.cnrs.fr  Traduction en Anglais des pages, des formulaires et des s Bref, GRID-FR suit les obligations de EUGridPMA

EGEE Sécurité – Clermont, 10 janvier Plan Autorisation  Les Organisations Virtuelles  Mécanismes

EGEE Sécurité – Clermont, 10 janvier Autorisation Organisations Virtuelles (VO)  Ensemble d’individus ayant des buts communs  Utilisateurs  Ressources A set of individuals or organisations, not under single hierarchical control, (temporarily) joining forces to solve a particular problem at hand, bringing to the collaboration a subset of their resources, sharing those at their discretion and each under their own conditions.

EGEE Sécurité – Clermont, 10 janvier Organisations Virtuelles (1) Les utilisateurs sont regroupés par expérience scientifique, laboratoire, région ou projet  Expériences : Biomed, gene, Alice, Atlas, Babar, LHCb, ESR, EGEODE,...  Laboratoires, régions : vo.dapnia.cea.fr, vo.lal.in2p3.fr, cppm, vo.grif.fr,...  Projets : Ambrace, infngrid, GridPP, auvergrid,...  Autre : dteam,... Un administrateur par Organisation Virtuelle  C’est le gestionnaire des utilisateurs de sa VO Les sites se déclarent utilisables par X,Y ou Z VO Des droits spécifiques peuvent être données au niveau de chaque site par l’administrateur de celui-ci.  Interdire l’accès à un groupe d’utilisateur en fonction de leur sujet de certificat VO

EGEE Sécurité – Clermont, 10 janvier Les VO LDAP Au niveau de chaque site, un compte ou UID/GID est affecté à chaque utilisateur en fonction de sa VO Cet UID/GID est pris dans un pool de compte mis à disposition pour chaque VO Actuellement, il existe 2 types de VO : Les VO LDAP et les VOMS Les VO LDAP  Les plus anciennes, le serveur LDAP de la VO contient l’ensemble des membres de celle-ci  Un utilisateur ne peut faire partir que d’une VO  Tous les membres d’une VO ont les mêmes droits  L’utilisateur s’authentifie avec : grid-proxy-init  Le fichier d’autorisation, grid-mapfile, généré périodiquement sur chaque site fait correspondre à chaque sujet de certificat un pool de compte "/O=GRID-FR/C=FR/O=CNRS/OU=CC-LYON/CN=Sylvain Reynaud".dte "/O=GRID-FR/C=FR/O=CNRS/OU=CPPM/CN=Alexandre Rozanov".atl "/O=GRID-FR/C=FR/O=CNRS/OU=CPPM/CN=Andrei Tsaregorodtsev" lhcs

EGEE Sécurité – Clermont, 10 janvier Architecture avec les VO LDAP VO Service grid-mapfile Authentification mutuelle + vérification des autorisations Délégation de cert. (24 h max) VO CA MaJ CRL occasionnellement fréquemment Cert. Serveur (1 an max) grid-proxy-init Interface Utilisateur Cert. CA enregistrement Cert. Utilisateur (1 an max)

EGEE Sécurité – Clermont, 10 janvier Les VOMS (1) Les VOMS  La base de données de la VOMS contient l’ensemble des membres avec leur niveau d’autorisation  Un utilisateur peut avoir plusieurs niveaux d’autorisation dans chaque VOMS, faire partir de plusieurs VOMS  Les droits des membres d’une VOMS sont en fonction de leur groupe ou rôle  Les groupes, rôles et droits sont inclus dans le proxy de l’utilisateur lorsque celui s’authentifie avec : voms-proxy-init - -voms  Les autorisations sont exprimées par FQAN* et placées dans les attributs du proxy généré /Role=[ ][/Capability= ] *FQAN : Fully Qualified Attributes Name

EGEE Sécurité – Clermont, 10 janvier Les VOMS (2) Les groupes  Les groupes sont hiérarchiques, profondeur non limitée  Permet de moduler les droits des membres de la VOMS en fonction de leur groupe  Le groupe par défaut est / Les rôles  Software manager, VO-Administrator, Production, …  Les rôles ne sont pas hiérarchiques : il n’existe pas de sous-rôle  Les rôles doivent être explicitement spécifiés lors de la création du proxy  En déroulement normal les rôles ne sont pas pris en compte Les attributs du proxy sont analysés par chaque site accédés grâce à LCAS et LCMAPS

EGEE Sécurité – Clermont, 10 janvier Les VOMS (3) LCMAPS  Fait correspondre le sujet de certificat en fonction des attributs du proxy à un compte utilisateur local au site (UID/GID) LCAS  Vérifie dans le grid-mapfile si l’utilisateur est autorisé ou interdit sur ce site Le fichier d’autorisation, grid-mapfile, généré périodiquement sur chaque site fait correspondre à chaque VOMS/group/rôle un pool de compte ou un compte "/VO=dteam/GROUP=/dteam".dte "/VO=dteam/GROUP=/dteam/ROLE=NULL".dte "/VO=dteam/GROUP=/dteam/ROLE=NULL/CAPABILITY=NULL".dte "/VO=dteam/GROUP=/dteam/ROLE=lcgadmin" dtes "/VO=dteam/GROUP=/dteam/ROLE=lcgadmin/CAPABILITY=NULL" dtes "/VO=dteam/GROUP=/dteam/ROLE=production" dtep "/VO=dteam/GROUP=/dteam/ROLE=production/CAPABILITY=NULL" dtep

EGEE Sécurité – Clermont, 10 janvier Architecture avec les VOMS VOMS Service Authentification mutuelle et autorisation VOMS CA MaJ CRL occasionnellement fréquemment Cert. Serveur (1 an max) voms-proxy-init Interface Utilisateur Cert. CA enregistrement Cert. Utilisateur (1 an max) Délégation de cert. (24 h max) Autorisation = Cert. LCAS LCMAPS Cert. VOMS

EGEE Sécurité – Clermont, 10 janvier Plan Les proxys  Les proxys de courte durée  Les proxys de longue durée

EGEE Sécurité – Clermont, 10 janvier Proxy de courte durée - VO Obtenir des informations sur le certificat utilisateur  grid-cert-info[-help] [-file certfile] [OPTION]... -all tout le certificat -subject | -s sujet -issuer | -I émetteur -startdate | -sd début de validité -enddate | -ed fin de validité Créé un certificat proxy  grid-proxy-init Détruire un certificat proxy  grid-proxy-destroy Obtenir des informations sur un certificat proxy  grid-proxy-info

EGEE Sécurité – Clermont, 10 janvier Proxy de courte durée - VOMS Créer un proxy  voms-proxy-init - -voms Créer un proxy en spécifiant un groupe  voms-proxy-init –-voms :/group/ Créer un proxy en spécifiant un rôle  voms-proxy-init –-voms :[/group]/role=production Obtenir des informations sur un proxy  voms-proxy-info Détruire un proxy  voms-proxy-destroy

EGEE Sécurité – Clermont, 10 janvier Proxy de longue durée (1) Un proxy a une vie limitée (défaut à 12 h)  C’est une mauvaise idée de prolonger la vie d’un proxy Cependant, un job peu avoir besoin d’un proxy avec une vie plus longue UI MyProxy CE myproxy-init myproxy-get-delegation Le service myproxy permet de créer des proxys de longue durée (défaut 7 jours) Les proxys créés sont conservés par myproxy

EGEE Sécurité – Clermont, 10 janvier Proxy de longue durée (2) Pour l’instant, MyProxy ne tient pas compte des extensions VOMS La prise en compte des rôles et groupes a été annoncée à EGEE’06 Stocker un proxy dans la base du serveur MyProxy  myproxy-init Obtenir des informations sur un proxy stocké  myproxy-info -v Récupérer un proxy stocké  myproxy-get-delegation Détruire un proxy stocké  Myproxy-destroy

EGEE Sécurité – Clermont, 10 janvier Liens Autorités de Certification    VOMS  MyProxy 

EGEE Sécurité – Clermont, 10 janvier Diapos complémentaires Compléments

EGEE Sécurité – Clermont, 10 janvier La signature Hash code clé publiqu e Empreinte Clé privée de la CA Signature d’un certificat par la CA émettrice Empreinte chiffrée Signature £$ clé publique + infos + signature de la CA £$ Certificat £$

EGEE Sécurité – Clermont, 10 janvier EUGridPMA European Policy Management Authority for Grid Authentication Entité responsable d’établir les obligations et les bonnes pratiques pour les CA délivrant des certificats pour l’authentification sur les GRID. Son rôle est de créer un domaine de confiance inter-organisation pour permettre l’authentification des personnes et des ressources distribuées. Membres : représentant(s) de chaque CA accréditées, représentant(s) des projets utilisateurs Actions :  Etablir les obligations minimales des CA  Accréditation des CA : Vérification que les CP/CPS soient en accord avec les obligations minimales demandées, entretien avec le(s) représentant(s) des CA Réunions tri-annuelles Etablissement d’une charte EUGridPMA is a body to establish requirements and best practices for grid identity providers to enable a common trust domain applicable to authentication of end-entities in inter-organisational access to distributed resources

EGEE Sécurité – Clermont, 10 janvier GRID-FR. Organisation Seulement deux Autorités Enregistrement peuvent valider les demandes de création et de révocation de certificat via un site privé Dans chaque unité : un représentant local  Contacté par signé à chaque demande de certificat personnel  Chargé de vérifier l’identité du demandeur et le bien fondé de sa demande Création de nouvelle organisation ou unité dans la CA  Evaluation de la demande Pertinence (projet de GRID, France ou pays sans CA, …) Choix d’un représentant local responsable  Etablissement d’un contrat avec le représentant local