Certificate Manager (certman) - instrukcja użytkownika

Certificate Manager (w skrócie certman) służy do delegacji długoterminowego proxy certyfikatu do serwera MyProxy. Z tak wydelegowanych certyfikatów mogą korzystać użytkownicy w portalu dostępowym PL-Grid w aplikacjach Vine Toolkit takich jak File Manager, Job Manager, Nano Client.

Certyfikat użytkownika na maszynie klienckiej może istnieć jako para plików PEM, bądź plik keystore z rozszerzeniem JKS (typu Java) lub P12 (typu PKCS12) lub może to byc certyfikat składowany w przeglądarce Firefox lub IE (Chrome używa zasobnika systemowego tak jak IE). Aplikacja poprawnie działa pod systemami Windows, Linux oraz Mac OS (tutaj mogą pojawić się problemy z ładownaiem certyfikatu z przeglądarki). Użytkownik powinien mieć zainstalowane środowisko uruchomieniowe Java 1.5 lub 1.6.

Jest to aplikacja w technologii Java Web Start, która uruchamia sie jako aplikacja standalone na maszynie klienckiej użytkownika. W portalu jest ona podlinkowana na jednej z zakładek np.: o nazwie Configuration lub Konfiguracja.

Ekran powitalny wygląda tak:

Welcome screen

Dolna część ekranu pokazuje informacje o skonfigurowanym certyfikacie użytkownika (jeśli informacja jest dostępna po odpaleniu to znaczy, że pliki z rozszerzeniem pem zostały odnalezione w profilu użytkownika w katalogu .globus ze standardowymi nazwami usercert.pem i userkey.pem). Jeśli certyfikat nie został wykryty od razu, wówczas pojawia się widok konfiguracji certyfikatu.

Na górze (sekcja Myproxy server) jest informacja o docelowym serwerze MyProxy - administrator portalu ma możliwośc skonfigurowania wielu serwerów MyProxy - przeważnie jest to jeden serwer więc użykownik końcowy nie musi dokonywać wyboru.

Zakładka o nazwie Manage Credential umożliwia delegację długoterminowego proxy certyfikatu do serwera MyProxy.
Użytkownik ustawia takie parametry:

  • Proxy type - użytkownik ustawia typ proxy - typowa wartość to 'Full legacy globus proxy'. Raczej nie trzeba zmieniać tej wartości.
  • Username - nazwa konta użytkownika na serwerze MyProxy, na które delegowany jest proxy certyfikat
  • Private Key Password - hasło do klucza prywatnego w przypadku korzystania z plików pem. Pole jest niektywne jeśli użytkownik korzysta z keystore'a - pojedynczego pliku z certyfikatem
  • Credential lifetime - długość życia certyfikatu proxy delegowanego do serwera Myproxy (w godzinach)
  • Proxy lifetime - długość życia proxy certyfikatu po pobraniu z serwera Myproxy(w godzinach) - jest to wartość krótsza lub równa wartosci Credential lifetime
  • Use the same password as certificate password - checkbox, który określa, że powinno się użyć takiego samego hasła jak do klucza prywatnego lub keystore'a, ze względów bezpieczeństwa lepiej użyć innego hasła
  • Use DN as username - nazwa użytkownika będzie taka sama jak wartość Distinguish Name certyfikatu - w przypadku portalu PL-Grid nie ma sensu tego używać

Poniżej są dwa przyciski:

  • Activate credential - proxy certyfikat jest tworzony i delegowany do serwera MyProxy
  • Deactivate credential - proxy certyfikat jest usuwany z serwera MyProxy

Podczas aktywacji jest pokazywany dialog z hasłem, które użytkownik chce ustawić:

MyProxy account password

Później po zakończeniu aktywacji jest pokazywane potwierdzenie:

MyProxy activation success

W przypadku deaktywacji użytkownik nie podaje hasła - musi mieć skonfigurowany lokalnie certyfikat w Certificate Managerze (ten sam, który był użyty przy delegacji/akywacji).

Po zakończeniu deaktywacji pokazywany jest komunikat potwierdzający:

MyProxy account password



Konfiguracja certyfikatu użytkownika.

PEM files configuration

Ta zakładka umożliwia konfigurację lokalnego certyfikatu użytkownika (WAŻNE! Lokalny klucz prywatny jest wykorzystywany tylko lokalnie, nigdzie nie jest wysyłany)

Pole 'Certificate status' pokazuje czy certyfikat jest poprawnie załadowany pokazując Common Name z wartości DN (Distinguish Name).

Można ustawić dwie ścieżki do plików PEM - jedną do klucza publicznego oraz drugą dla klucza prywatnego.

Certman próbuje wykryć certyfikat w standardowej lokacji w profilu uzytkownika w katalogu .globus - typowe nazwy plików to: usercert.pem i userkey.pem.

Jeśli pliki nie zostały znalezione to można ścieżki ustawić ręcznie za pomocą przycisków "Get Path". Odpowiedni dialog jest wówczas pokazywany:

PEM file path setting

Jeśli ścieżki do plików są poprawne oraz pliki sa poprawnymi plikami PEM wówczas można skonfigurować certyfikat za pomocą klawisza
"Set Certificate / Key Paths".

Jesli certyfikat jest poprawnie załadowany w części informacyjnej na dole wypełnią się detale certyfikatu.

Keystore - certyfikat w pojedycznym pliku

Keystore setting

Aby skonfigurować certyfikat z pliku keystore nalezy wybrać opcję "Use certificate keystore". Po wybraniu tej wartośći wygląd zakładki zmieni się.
Sa na niej dwa pola do ustawienia: scięzka do pliku keystore oraz hasło do tego pliku. Scieżkę do pliku ustawia sie za pomocą przycisku "Get path":

Keystore file path setting

Po tym jak ścieżka i hasło są ustawione używamy przycisku "Set keystore" aby załadować certyfikat.

Inna opcją jest wybranie certyfikatu z przeglądarki. W tym celu użytkownik powinien nacisnąć przycisk "Web browser keystore selector".
Pojawi się dialog wyboru przeglądarki jeśli zostanie prawidłowo wykryta:

Browser selection

Po wyborze przeglądarki użytkonik widzi dialog z listą dostępnych certyfikatów w keystorze przeglądarki:

Cert selection

Po pomyślnym skonfigurowaniu certyfikatu z przeglądarki pola 'Keystore path' oraz 'Keystore password' są nieaktywne, aby wskazać, że źródłem certyfikatu jest przeglądarka. W każdym momencie możliwe jest ustawienie certyfikatu z pliku keystore za pomocą przycisku "Get path".

Cert from browser

Po tym jak certyfikat jest załadowany, użytkownik może wrócić do zakładki "Manage Credential" aby wydelegować proxy do serwera MyProxy. W przypadku gdy źródłem certyfikatu jest keystore pole "Private Key Password" jest nieaktywane, jako że wcześniej ustawione hasło do pliku keystore jest używane w zamian.