-
Grid-Zertifizierungsstelle (CA) Service
-
Der GridKa-CA-Dienst liefert X.509-Zertifikate für Personen, Hosts, Dienste und Roboter von in Deutschland ansässigen Instituten, die an nationalen und internationalen Grid-Projekten beteiligt sind, zur Authentifizierung für den Zugang zu nationalen und internationalen Grid-Ressourcen.
- Kontakt:servicedesk@scc.kit.edu
Übersetzt mit DeepL.com
Allgemeine Beschreibung
Der GridKa-CA Dienst stellt eine Public Key Infrastruktur (PKI) mit X.509 Benutzer-, Host-, Service- und Roboterzertifikaten für in Deutschland befindliche Ressourcen und Dienste und in Deutschland arbeitende Wissenschaftler für nationale und internationale Grid-Projekte zur Verfügung.
Die Zertifikate werden für die Authentifizierung in der Grid-Umgebung benötigt und basieren auf der Grid Security Infrastructure (GSI), die in verschiedenen Grid-Middleware-Stacks wie gLite, Globus und UNICORE verwendet wird. Die Identitätsprüfung von Personen erfolgt nach international vereinbarten Standards und wird von Registrierungsstellen (Registration Authorities, RA) vor der Ausstellung eines Zertifikats durchgeführt. Eine Zertifizierungspolitik (CP) und eine Erklärung zur Zertifizierungspraxis (CPS), in denen alle Verfahren beschrieben sind, werden bereitgestellt und auf dem neuesten Stand gehalten, zusammen mit einer Liste der Widerrufe von Zertifikaten (CRL) und allgemeinen Informationen für die Nutzer. Die CRL enthält eine Liste der gesperrten Zertifikate und wird in regelmäßigen Abständen von allen Grid-Standorten weltweit heruntergeladen.
Der Dienst bietet dedizierte Web-Schnittstellen zur Beantragung und Verwaltung von Zertifikaten sowie eine Offline-OpenSSL-CA mit gesicherter Infrastruktur. Die GridKa-CA ist nach den Regeln der European Grid Policy Management Authority (EUGridPMA), Teil der International Grid Trust Federation (IGTF), akkreditiert. Als Mitglied der EUGridPMA werden neue Entwicklungen und Standards permanent beobachtet und in die aktuelle Politik und Praxis integriert.
Nutzungszeitraum
Der Webserver mit den allgemeinen Informationen und der CRL sowie die entsprechenden Web-Frontends sind 24 Stunden am Tag und 7 Tage die Woche verfügbar. Die Registrierung und Ausstellung von Zertifikaten erfolgt während der normalen Arbeitszeiten (5x8).
Buchungsbedingungen
Registrierung einer Institution (Universität, Unternehmen, Forschungszentrum)
Vor der Ausstellung von Einzelzertifikaten muss sich eine Einrichtung registrieren lassen und eine Abkürzung für ihre "Organisationseinheit" (OE) wählen. Es muss eine Person benannt werden, die als Registration Authority (RA) fungiert. In der Regel ist ein persönlicher Kontakt zwischen RA und CA-Personal erforderlich.
Eine RA muss den unten beschriebenen Identifizierungsprozess durchlaufen. Zusätzlich werden die folgenden Daten benötigt: Offizieller Name und Adresse der Einrichtung, Abteilung und optional das Grid-Projekt, dem die Einrichtung zugeordnet ist.
Registrierung eines Benutzers
a) Identifizierungsprozess:
Es werden folgende Daten benötigt: Vorname, Nachname, Email-Adresse*, Telefon*. Der Nutzer muss sich persönlich bei der RA melden, einen Personalausweis (oder Reisepass) zusammen mit dem ausgefüllten GridKa-CA Formular ( https://gridka-ca.kit.edu/gridka-ca-formular.pdf ) vorlegen. Die RA prüft die Übereinstimmung der Daten und des Lichtbildes im Ausweis mit dem äußeren Erscheinungsbild und verifiziert die Zugehörigkeit des Nutzers zum Institut durch geeignete Maßnahmen. Das GridKa-CA Formular wird von der RA archiviert oder handschriftlich unterschrieben per Post an die GridKa-CA geschickt.
- Beide müssen die Zugehörigkeit zum Institut erkennen lassen und dürfen nicht privat sein.
b) Antragserstellung
Der Benutzer generiert einen Zertifikatsantrag entweder über das Web-Interface der GridKa-CA unter https://gridka-ca.kit.edu
Registrierung eines Hosts oder Dienstes
Ein Benutzer mit einem gültigen Benutzerzertifikat kann über die oben beschriebenen Mechanismen ein Host-, Service- oder Roboterzertifikat erhalten. Der Hostname muss einen gültigen DNS-Eintrag haben und die IP-Adresse muss zu dem Bereich gehören, den die Institution besitzt.
- Das GridKa-CA Webinterface unter https://gridka-ca.kit.edu oder
- Middleware-Befehle ('grid-cert-request') oder
- ein OpenSSL-Mechanismus (openssl request)
Für grid-cert-request und openssl commands können Sie den pem Request unter https://gridka-ca.kit.edu hochladen.
IT-Sicherheit
In der Certification Policy/Certification Practice Statement (CP/CPS) ( https://gridka-ca.kit.edu/info/ca/gridka-cps.pdf ) wird beschrieben, welche Nutzerdaten gespeichert werden.
Enthaltene Leistungen
- Dieser Dienst liefert Nutzer- oder Host- oder Service- oder Roboterzertifikate an Nutzer und Ressourcen, die deutschen wissenschaftlichen Einrichtungen zugeordnet sind, regelmäßig innerhalb eines Arbeitstages.
- Die GridKa-CA ist durch die EUGridPMA akkreditiert und die Zertifikate sind im internationalen Grid-Kontext akzeptiert.
- Ein Vertrauensanker wird von der EUGridPMA (CA-rpm' s bei https://dist.eugridpma.info/distribution/igtf/current/ ) und bei Terena(http://www.tacar.org/ ) bereitgestellt.
- Anträge auf Sperrung werden so schnell wie möglich, mindestens aber am nächsten Arbeitstag, bearbeitet.
- Die Zertifikatswiderrufsliste (CRL) wird nach jedem Widerruf oder mindestens alle 23 Tage herausgegeben und kann von allen Grid-Standorten in der ganzen Welt heruntergeladen werden.
- Der Dienst stellt Informationen über die GridKa-CA auf seinen Webservern zur Verfügung.
- Nutzer und RA's werden per E-Mail über den Fortschritt des Antragsverfahrens, die Ausstellung von Zertifikaten und 4/1 Wochen vor Ablauf eines Zertifikats informiert.
- Bereitstellung von Statistiken über ausgestellte/gesperrte Zertifikate.
- Sichere und zuverlässige Infrastruktur.
Nicht enthaltene Leistungen
- Dieser Dienst liefert keine Zertifikate für Nutzer oder Ressourcen, die nicht mit deutschen wissenschaftlichen Einrichtungen verbunden sind.
- Aufnahme und Mitgliedschaft in einer Virtuellen Organisation (VO)
- Haftung für jegliche Schäden, einschließlich, aber nicht beschränkt auf entgangenen Gewinn, entgangene Einsparungen und zufällige oder Folgeschäden.
- Rechtliche Verantwortung für Probleme, die sich aus ihrem Betrieb ergeben, oder für Probleme im Zusammenhang mit der Verwendung oder dem Missbrauch der von ihr ausgestellten Zertifikate.
- Es ist ausdrücklich verboten, die von der GridKa-CA ausgestellten Zertifikate für jegliche Art von Finanztransaktionen oder für jegliche Art von Handel zu verwenden.
Organisatorische Anforderungen
- Registrierungsstellen für die Nutzeridentifikation in Deutschland. Eine Liste der Organisationen finden Sie unter https://gridka-ca.kit.edu/info/RA.php
- CA-Stelle (CA-Administratoren)
- Weitere Dokumentation, z.B. ein Glossar und eine Online-Hilfe, finden Sie auf den GridKa CA-Webseiten https://gridka-ca.kit.edu und https://gridka-ca.kit.edu/info/index.php
Technische Voraussetzungen
- Netzwerk (Internet, LAN/WAN)
- Offene Ports in der Firewall