1. Introduction

L'intergiciel (middleware) utilisé par la Grille Régionale de Calcul Strasbourg Grand-Est est gLite. Le rôle de cet intergiciel est de faciliter l'utilisation de ressources informatiques (calcul et stockage) distribuées géographiquement. L'interaction avec cet intergiciel (soumission de calcul, accès aux données, ...) nécessite l'utilisation d'un certificat électronique valide.

Ce document détaille l'obtention et la gestion de ce certificat dans le cadre de l'utilisation de la grille régionale de calcul.

2. Les certificats électroniques

Le certificat électronique est une carte d'identité numérique qui permet :

  • d'indiquer la qualité du possesseur du certificat (utilisateur, service ou machine) et la limite de validité des informations contenues ;

  • de s'authentifier et d'obtenir un certain nombre de privilèges sur un ensemble de services de la grille ;

  • d'assurer la confidentialité des échanges grâce au chiffrement des données ;

  • d'assurer la non-répudiation et l'intégrité des données grâce à la signature numérique.

Le certificat est délivré par une autorité de certification qui fait foi de tiers de confiance. Pour le personnel du CNRS et de l'Université de Strasbourg, les certificats utilisables sur la grille de calcul sont délivrés par l'Infrastructure de Gestion de Clés (IGC) du CNRS.

3. Obtention d'un certificat

Pour obtenir un certificat utilisable avec la grille régionale de calcul, deux étapes sont nécessaires. Tout d'abord, il faut en faire la demande auprès de l'autorité de certification du CNRS, puis il faut s'enregistrer avec le certificat délivré auprès de l'organisation virtuelle vo.grand-est.fr.

3.1. Demande de certificat

La demande du certificat se fait en cinq étapes :

  • Récupérer le certificat des autorités de certification (AC) pour qu'elles soient reconnues par votre navigateur en se connectant sur la page des ACs GRID2-FR sur le site de l'IGC. En effet, les navigateurs comme Firefox, Internet Explorer ou Safari n'intégrent pas par défaut les certificats de l'AC du CNRS. Il faut donc les charger manuellement et indiquer à son navigateur qu'ils sont de confiance.

  • Demander un certificat utilisateur par l'onglet "Certificats" en remplissant le formulaire en ligne. Les personnes des laboratoires CNRS (UMR, ...) doivent effectuer leur demande en choisissant leur unité d'attachement CNRS dans la liste organisation. Pour le personnel d'un laboratoire sans composante CNRS, la demande s'effectue en choisissant Université de Strasbourg dans la liste organisation. Si votre unité d'attachement n'apparaît pas dans la liste organisation, informez-en le Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. de la grille régionale. Il effectuera les démarches auprès de l'IGC pour créer votre unité dans la liste organisation.

  • Une fois la demande effectuée, vous allez recevoir une demande de confirmation par messagerie. Il es nécessaire de confirmer votre demande en répondant à ce courrier électronique.

  • Une fois votre demande confirmée, elle sera validée par l'autorité d'enregistrement. Un message électronique vous préviendra de cette validation, de la création de votre certificat et de la marche à suivre pour le récupérer.

  • Récupérer et sauvegarder votre certificat.

3.2. Enregistrement auprès de l'organisation virtuelle (VO) vo.grand-est.fr

Afin de pouvoir effectuer des calculs sur la grille régionale de calcul, il est nécessaire d'enregistrer votre certificat auprès de la VO vo.grand-est.fr en vous rendant sur la page d'enregistrement. L'enregistrement au sein de la VO permet de vous attribuer un ensemble de droits sur la grille régionale de calcul. Une fois le formulaire rempli, vous recevrez un message électronique vous demandant de confirmer votre demande. Il est important de répondre à ce message pour pouvoir rejoindre la VO régionale.

Une fois que votre demande est validée, vous pouvez utiliser votre certificat pour accéder aux ressources de la grille régionale et effectuer des calculs.

3.3. Renouvellement du certificat

Chaque année, vous allez recevoir un message électronique vous invitant à renouveler votre certificat, deux mois avant son expiration. Cette étape est réalisée en se connectant sur le site indiqué dans le message. Le certificat renouvelé n'a pas besoin d'être ré-enregistré auprès de la VO.

4. Utilisation du certificat électronique

Le certificat est utilisé :

  • avec votre navigateur Internet pour accéder aux sites sécurisés ;

  • sur la machine équipée de l'interface utilisateur gLite pour la gestion des calculs et l'accès aux données.

4.1. Utilisation du certificat avec un navigateur Internet

Par défaut, le certificat est installé dans le navigateur avec lequel vous avez effectué vous avez récupéré votre certificat. Il est possible d'exporter ce certificat et de l'importer vers un autre navigateur en suivant la documentation publiée sur le site de l'IGC du CNRS.

4.2. Utilisation du certificat sur une interface utilisateur gLite

A la base du répertoire utilisateur, créez le répertoire .globus, puis placez-y le certificat que vous avez sauvegardé depuis votre navigateur. Avec les commandes suivantes, générez la partie publique et privée du certificat :

# openssl pkcs12 -nocerts -in cert.p12 -out ~/.globus/userkey.pem
# openssl pkcs12 -clcerts -nokeys -in cert.p12 -out ~/.globus/usercert.pem
# chmod 400 ~/.globus/userkey.pem
# chmod 400 ~/.globus/usercert.pem
# ls ~/.globus
-r-------- 1 user group 1935 Feb 16 2010 usercert.pem
-r-------- 1 user group 1920 Feb 16 2010 userkey.pem

5. Références complémentaires

Les documentations suivantes peuvent être consultés pour approfondir le sujet :