Sécurité sur le GRID



Documents pareils
Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc May 2011

Utilisation des certificats X.509v3

Politique de certification et procédures de l autorité de certification CNRS

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Architectures PKI. Sébastien VARRETTE

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

La sécurité dans les grilles

Installation d OpenVPN

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Master physique informatique

Méthode 1 : Mise en place IPSEC

1. Mise en œuvre du Cegid Web Access Server en https

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Installation et utilisation d'un certificat

SOREGIES RESEAUX DISTRIBUTION

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Public Key Infrastructure (PKI)

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Livre blanc. Sécuriser les échanges

PROCEDURE D EXPORT-IMPORT DU CERTIFICAT InVS INTERNET EXPLORER

Fonctionnement des PKI Architecture PKI

Guide Numériser vers FTP

Guide de démarrage du canal de transfert FTP

Gestion des certificats en Internet Explorer

Les infrastructures de clés publiques (PKI, IGC, ICP)

Du 03 au 07 Février 2014 Tunis (Tunisie)

Guide de commande Commander un certificat d identité numérique PersonalSign

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Gestion des certificats digitaux et méthodes alternatives de chiffrement

La sécurité des Réseaux Partie 7 PKI

La citadelle électronique séminaire du 14 mars 2002

Certificats et infrastructures de gestion de clés

TrustedBird, un client de messagerie de confiance

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Sécurisation des accès au CRM avec un certificat client générique

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

Les classes de service pour les projets scientifiques

«La Sécurité des Transactions et des Echanges Electroniques»

Les certfcats. Installation de openssl

PORTAIL INTERNET DECLARATIF. Configuration du client Mail de MICROSOFT VISTA

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

LEGALBOX SA. - Politique de Certification -

MANUEL D INSTALLATION Sous WINDOWS

Présentation du site internet EcoleDirecte des Familles et Elèves

EJBCA PKI Open Source

IPS-Firewalls NETASQ SPNEGO

Mise en place d un serveur HTTPS sous Windows 2000

Middleware et services de la grille

Contenu de la version 3.4 C I V I L N E T A D M I N I S T R A T I O N

Certificats (électroniques) : Pourquoi? Comment?

Définition d une ICP et de ses acteurs

Sécurité WebSphere MQ V 5.3

Information sur l accés sécurisé aux services Baer Online Monaco

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

M2-RADIS Rezo TP13 : VPN

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Comment utiliser mon compte alumni?

Infrastructure à Clé Publique (PKI Public Key Infrastructure)

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

CONTACT EXPRESS 2011 ASPIRATEUR D S

Étape 1 : gérer les certificats

Configuration sous Microsoft Outlook

J'ai changé d'ordinateur, comment sauvegarder mon certificat?

PortWise Access Management Suite

Cadre de Référence de la Sécurité des Systèmes d Information

Autodesk Learning Central

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Gestion des Clés Publiques (PKI)

MANUEL D UTILISATEUR. Mettre en place un canal SFTP. Version 13

Espace Numérique Régional de Santé PACA. Formation Web Conférence

Politique de Certification

Date : juin 2009 AIDE SUR LES CERTIFICATS. Comment sauvegarder et installer son certificat

Nous souhaitons fournir un service sécurisé sans pour autant chiffrer sans garantir la fiabilité du chiffrement.

MailStore Server 7 Caractéristiques techniques

Le logiciel de création de site internet IZISPOT est un outil très puissant et qui est assez simple après quelques temps d utilisation.

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

Installation sur site Cloud Privé Client. Procédure de connexion à YaZiba.net avec Thunderbird et Lightning. Système Hébergé Cloud Public Yaziba.

ALCATEL IP1020. Guide de Configuration pour l offre Centrex OpenIP

Protocole industriels de sécurité. S. Natkin Décembre 2000

Campagnes d ings v.1.6

LaCieSync. Synchronization Software. getting started guide. Guide de démarrage. Guida introduttiva. Erste Schritte. Guía de inicio.

La sécurité de votre e-business

E-Remises Paramétrage des navigateurs

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Guide administrateur AMSP

Cours 14. Crypto. 2004, Marc-André Léger

SVP j ai besoin d aide!

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Transcription:

Enabling Grids for E-sciencE Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) Tutorial EGEE EGEODE Administrateur CGG 8 Nov. 2006 www.eu-egee.org EGEE-II INFSO-RI-031688 EGEE and glite are registered trademarks

Plan La sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification Les certificats électroniques Openssl Les fédérations d Autorités de Certification GRID-FR Utilisation des certificats avec GRID-FR Certificat utilisateur Certificat machine EGEE Sécurité Marseille, 3 Oct. 2006-2

Plan La sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) EGEE Sécurité Marseille, 3 Oct. 2006-3

Que faut-il pour travailler sur la Grille de Calcul? Un utilisateur pour utiliser le GRID doit posséder : Un certificat électronique personnel Une entrée dans une Organisation Virtuelle (VO ou VOMS) Un compte sur une Interface Utilisateur ou sur un Service Web (UI) Chaque machine et/ou service doit posséder un certificat électronique EGEE Sécurité Marseille, 3 Oct. 2006-4

Grid Security Infrastructure (GSI) Un standard pour les logiciels de Grille de Calcul Basé sur les certificats X509v3 et les PKI Les utilisateurs et les machines s authentifient mutuellement Implémente : Single sign-on: le mot de passe n est donné qu une seule fois Délégation: un service peut-être utilisé au nom d une autre personne c-a-d autoriser une autre entité à utiliser son authentification et ses autorisations Authentification mutuelle: le destinataire et l émetteur s authentifient Introduction des certificats proxy Certificat à durée de vie courte, contenant la clé privée, signé avec le certificat de l utilisateur Un Proxy peut se déplacer sur le réseau EGEE Sécurité Marseille, 3 Oct. 2006-5

Plan Authentification Les certificats électroniques Openssl Les fédérations d Autorités de Certification GRID-FR EGEE Sécurité Marseille, 3 Oct. 2006-6

Qu est qu un certificat électronique X509v3? Repose sur l utilisation des algorithmes asymétriques et l accréditation par un tiers de confiance, l Autorité de Certification (CA) C est un couple de clés indissociables Les clés sont générées ensembles Impossibilité de retrouver une clé par rapport à l autre Un certificat X509v3 peut être issu pour Une personne physique (certificat personnel) Une machine (certificat de hôte) Un programme (certificat de service) Le certificat a une période de validité Il est composé d une clé publique et d une clé privée La clé publique Signée par l Autorité de Certification après vérification de l identité du destinataire Publiée sur le réseau via le service de publication de la CA Dans le langage courant, elle est appelée certificat La clé privée Conservée sur le poste de l utilisateur ou sur la machine Chiffrée et protégée par un mot de passe EGEE Sécurité Marseille, 3 Oct. 2006-7

Certificat X509v3 (1) Informations importantes contenues dans un certificat (clé publique): Le sujet ou DN du certificat Le numéro de série du certificat La période de validité du certificat L Autorité de Certification émettrice La clé publique Des extensions X509v3 Les utilisations autorisées du certificat L email... La signature de la CA émettrice Il faut toujours avoir : La Liste des Certificats Révoqués (CRL) émise par la CA Le certificat de la CA émettrice EGEE Sécurité Marseille, 3 Oct. 2006-8

Certificat X509v3 (2) Il existe plusieurs formats de représentation des certificats PKCS12 Extensions.p12 ou.pfx La clé privée et la clé publique sont dans un même fichier Le fichier est chiffré et protégé par un mot de passe La plupart des CA délivrent les certificats personnels dans ce format PEM Extensions.pem ou.crt et.key La clé privée et la clé publique sont dans 2 fichiers distincts Le fichier contenant la clé privée est chiffré et protégé par un mot de passe C est ce format que nous utilisons sur la Grille de Calcul EGEE Sécurité Marseille, 3 Oct. 2006-9

Un certificat X509v3 (1) # openssl x509 -text -noout -in usercert.pem Certificate: Data: Version: 3 (0x2) Serial Number: 656 (0x290) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, O=CNRS, CN=GRID-FR Validity Not Before: Feb 8 10:04:45 2006 GMT Not After : Feb 8 10:04:45 2007 GMT Subject: O=GRID-FR, C=FR, O=CNRS, OU=UREC, CN=Sophie Nicoud Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:b9:8d:52:15:ee:80:d8:8f:3c:a7:1f:fb:59:6d: Numéro de série CA émettrice Période de validité Sujet Clé publique EGEE Sécurité Marseille, 3 Oct. 2006-10

Un certificat X509v3 (2) X509v3 extensions: Extensions X509v3 X509v3 Basic Constraints: critical CA:FALSE Netscape Cert Type: SSL Client, S/MIME, Object Signing X509v3 Key Usage: critical Autorisations d utilisation Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement X509v3 Certificate Policies: Extensions X509v3 Policy: 1.3.6.1.4.1.10813.1.1.8.1.0 Version CP/CPS de la CA X509v3 Subject Alternative Name: Email email:sophie.nicoud@urec.cnrs.fr X509v3 CRL Distribution Points: CRL URI:http://crls.services.cnrs.fr/GRID-FR/getder.crl 1.3.6.1.4.1.7650.1: unicoreclient Signature Algorithm: sha1withrsaencryption Signature de la CA 7a:ea:e5:96:d6:cb:2f:2e:a6:9c:1d:06:55:8a:af:2a:7a:1c: EGEE Sécurité Marseille, 3 Oct. 2006-11

openssl Convertir un certificat du format PKCS12 au format PEM Obtenir la clé privée # openssl pkcs12 -nocerts -in cert.p12 -out userkey.pem Obtenir la clé publique # openssl pkcs12 -clcerts -nokeys -in cert.p12 -out usercert.pem Visualiser une clé publique Format PEM # openssl x509 -text -noout -in usercert.pem Format PKCS12 # openssl pkcs12 -info -in cert.p12 Changer le mot passe de la clé privée # openssl rsa -in userkey.pem EGEE Sécurité Marseille, 3 Oct. 2006-12

Les Autorités de Certification Problématique : Une seule CA par projet => Pas gérable, peu sûr Une CA par partenaire => Problème de mise à l échelle Solution : Une CA par pays ou groupe de pays => Établir des relations de confiance entre chaque CA => Coordination au niveau de chaque pays Catch-All CAs Pays sans CA nationales Politique de gestion des autorités : GRID PMA PMA, Policy Management Authority Etablir des obligations minimales pour les CA Accréditer les CA Auditionner les CA EGEE Sécurité Marseille, 3 Oct. 2006-13

Organisation des PMA IGTF, International Grid Trust Federation Coordonne les PMA Création de règles et chartes inter-pma http://www.gridpma.org/ EUGridPMA Le pionnier, fondateur de l IGTF et de ses règles et chartes Couvre le continent Européen mais élargi à certaines CA dont le PMA n est pas pleinement opérationnel (US, Canada, Chine, Taiwan,...) http://www.eugridpma.org TAGPMA Amériques Sud et Nord 3 CA en Amérique du nord, Plusieurs en cours d accréditation sur l Amérique du Sud APGridPMA Asie et Pacifique 10 CA, Autralie, Japon, Chine, Taiwan, Corée EGEE Sécurité Marseille, 3 Oct. 2006-14

GRID-FR en France Répondre aux obligations de EUGridPMA Sous-CA du CNRS : Dédiée aux projets de GRID Computing dans lesquels le CNRS ou des instituts Français sont impliqués CNRS-Standard EGEE, LCG, DEISA, Grid 5000, EELA, ILDG, E-Sciences, Integrative Biology, Grid-fr Grid-fr CNRS-Plus CNRS CNRS STIC-Projets CNRS-Projets Délivre des certificats personnels, de services et serveurs aux : Instituts publics et organismes privés Français Instituts publics et organismes privés étrangers, non HEP, ne disposant pas d une CA accréditée GRID. Sujet des certificats distinctif et unique /O=GRID-FR/C=Pays/O=Institut/OU=Unité/CN=Nom Possibilité d avoir des sujets de certificat : /O=GRID-FR/C=FR/O=CNRS/OU=UREC/CN=ldap/monserveur SSI SSI EGEE Sécurité Marseille, 3 Oct. 2006-15

Plan Utilisation des certificats avec GRID-FR Certificat utilisateur Certificat machine EGEE Sécurité Marseille, 3 Oct. 2006-16

Certificat utilisateur (1) Faire une demande ici : http://igc.services.cnrs.fr/grid-fr EGEE Sécurité Marseille, 3 Oct. 2006-17

Certificat utilisateur (2) EGEE Sécurité Marseille, 3 Oct. 2006-18

Certificat utilisateur (3) EGEE Sécurité Marseille, 3 Oct. 2006-19

Certificat utilisateur (4) Vous recevez un mail de la CA GRID-FR vos invitant à confirmer votre demande EGEE Sécurité Marseille, 3 Oct. 2006-20

Certificat utilisateur (5) Vous cliquez sur l URL contenue dans le mail et envoyez le nouveau mail tel-quel Votre demande à été prise en compte et va être vérifiée. EGEE Sécurité Marseille, 3 Oct. 2006-21

Certificat utilisateur (6) Votre demande a été vérifiée et acceptée. Vous recevez un mail de la CA GRID-FR vous invitant à récupérer votre certificat Cliquez sur l URL incluse dans le mail EGEE Sécurité Marseille, 3 Oct. 2006-22

Certificat utilisateur (7) Votre navigateur par défaut s ouvre. Attention! Vérifiez que c est bien avec celui-ci que vous avez demandé votre certificat. Renseignez le numéro de série de votre certificat. Ce numéro se trouve dans le mail que vous avez reçu. EGEE Sécurité Marseille, 3 Oct. 2006-23

Certificat utilisateur (9) EGEE Sécurité Marseille, 3 Oct. 2006-24

Sauvegarder son certificat utilisateur avec Firefox Différent selon les versions de Firefox. Allez dans : - Outils - Options -Avancé - Afficher les certificats - Vos certificats Cliquez sur le bouton Exporter EGEE Sécurité Marseille, 3 Oct. 2006-25

Sauvegarder son certificat utilisateur avec Internet Explorer Allez dans : - Outils - Contenu - Certificats Cliquez sur Exporter EGEE Sécurité Marseille, 3 Oct. 2006-26

Installation du certificat sur l UI Copiez votre certificat dans le répertoire ~.globus Convertissez votre certificat du format PKCS12 au format PEM : openssl pkcs12 -in cert.p12 -clcerts -nokeys -out usercert.pem openssl pkcs12 -in cert.p12 -nocerts -out userkey.pem Vérifiez les droits des fichiers : ls l chmod 400 userkey.pem chmod 444 usercert.pem EGEE Sécurité Marseille, 3 Oct. 2006-27

Certificat Machine Vous devez posséder un certificat personnel pour demander un certificat machine Vous recevez votre certificat machine par mail chiffré et signé Vous devez utiliser un messagerie S/MIME avec votre certificat personnel importé. Attention, dans le cas de Thunderbird et Firefox, il faudra l importer. Ceci étant du à la dissociation des deux logiciels. EGEE Sécurité Marseille, 3 Oct. 2006-28

Importer un certificat personnel avec Thunderbird Attention, différent selon les versions Allez dans - Outils -Confidentialité -Vos certificats Cliquez sur Importer EGEE Sécurité Marseille, 3 Oct. 2006-29

Certificat machine (1) Faire une demande ici : Saisissez : http://igc.services.cnrs.fr/grid-fr -le nom complet de la machine (FQN, cad avec le nom de domaine) -l email de l administrateur de la machine EGEE Sécurité Marseille, 3 Oct. 2006-30

Certificat machine (2) Vous recevez un mail de la CA GRID-FR. Ce mail contient 2 fichiers attachés : - Le certificat - La clé privée Sauvegardez ces fichiers EGEE Sécurité Marseille, 3 Oct. 2006-31

Installez le certificat sur la machine Copier les 2 fichiers dans /etc/grid-security/ Le certificat (clé publique) hostcert.pem La clé privée hostkey.pem EGEE Sécurité Marseille, 3 Oct. 2006-32

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back