Există o listă a problemelor moștenite. acestea pot fi deja depășite, dar poate cineva poate ajuta.
Explicații despre certificatele și așa mai departe.
Modul cheie poate fi obținută cu următoarele comenzi (pentru a alege ar trebui să fie declanșat): Pentru certificatele de utilizator de la a doua comandă solicitările pentru parola pentru cheia privată - aceasta este parola introdusă la crearea cererii.
aici- este un fișier pe care îl trimiteți (sau doriți să trimiteți numai) prin e-mail după crearea cererii de certificat. Pentru cereri personalizate, el a numit userreq.mail. Pentru a solicita un serviciu certificat sau auto - hostreq.mail. - un fișier care conține cheia privată. Pentru cereri personalizate, el a numit userkey.pem. Pentru a solicita un serviciu certificat sau auto - hostkey.pem.
Se presupune că sunt înregistrate într-o organizație virtuală, resursele de care încearcă să folosească. Dacă nu, atunci du-te la o pagină de organizații virtuale rdig sau o pagină de organizații virtuale CERN. Acesta descrie procedura de înregistrare. Puteți verifica starea de membru într-o organizație virtuală pe aceeași pagină.
Mai jos este o listă de teste de bază care urmează să fie efectuate cu certificatul și cheia privată (perechi de chei) pentru a obține o idee despre problemele tehnice.
Verificarea componentelor de potrivire perechi de chei
Rulați un cuplu de echipe
Ultima echipă pentru a introduce parola pentru cheia privată. Ambele echipe trebuie să dea aceleași rezultate. În cazul în care acest lucru nu este cazul, sau ați uitat să actualizați certificatul (fișier
/.globus/usercert.pem), o cheie privată (fișierul
Aici este testul pentru perechea de chei corecte:
Dacă obțineți diversele module pe care nu se potrivesc cu certificatul și cheia privată. Cel mai probabil următorul scenariu. Mai jos este un exemplu de probleme cu certificatul de utilizator. Certificate pentru gazde și servicii pe care doriți să modificați numai nume de fișiere: fișierele sunt numite hostcert.pem și hostkey.pem și sunt situate în directorul
/.globus/HOSTNAME pentru certificat de la egal la egal și director
/.globus/SERVICE-HOSTNAME pentru certificatul de serviciu. Aici HOSTNAME - este numele de domeniu al nodului, și SERVICE - numele serviciului.
Astfel, uneori se întâmplă în continuare.- Utilizatorii pentru a crea o nouă pereche de chei și cerere, dar în directorul
/.globus/usercert.pem. Dar, plasat în fișierul
/.globus/userkey.pem conținutul noua pereche cheie privată pentru a certificatului, utilizatorul uită.
/.globus și ne uităm acolo userkey.DATE.pem fișier în cazul în care DATA coincide cu data solicitării. Copiați conținutul acestui fișier în userkey.pem, prin salvarea userkey.pem vechi. Din nou, check-in-uri. Dacă este necesar, se repetă.
Verificarea crearea proxy-certificat
Versiunea corectă a comenzii arată astfel:
Validarea Globus-autentificare
Pentru acest test, veți avea nevoie de Globus Gatekeeper, care este de obicei situat pe elementul de calcul. Elementul de calcul în sine trebuie să mențină organizația virtuală.
Această comandă autentifică pentru a începe o sarcină, dar sarcina nu se executa.
Iată cum să lucreze comanda în caz de succes autentificare:
Simptomele problemei este, de obicei, după cum urmează: atunci când echipa de pornire
Fie că aceasta poate, certificatul (în cazul în care, desigur, este valabil) este disponibil de la pagina certificate valabile rdig CA. Și tot ce trebuie să faci - este de a menține copia corectă a certificatului într-un fișier de pe mașina locală.
Folosind acest link, puteți descărca certificatul în orice loc convenabil pentru tine. De exemplu, dacă sunteți pe o mașină cu un utilitar instalat GNU Wget. apoi rularea comenzii
salvați certificatul în directorul curent, în fișierul mycert.pem. Notă: Prezența personajelor „\“ în comanda este opțională; în cazul nostru, este prezent doar pentru a facilita lizibilitatea.
Dacă preferați să utilizați cURL utilitate. atunci echipa face același lucru ca mai sus, ar arata astfel:
Dacă sunteți cel mai mult ca lftp de utilitate. atunci puteți ajuta echipa
Vă rugăm să acorde o atenție la ghilimelele simple - acestea sunt importante.
Acest lucru se poate face prin importarea certificatului și cheia privată pentru browser-ul, dar este, în primul rând, pentru o lungă perioadă de timp, și în al doilea rând, funcționează numai pentru protocoale care înțelege browser-ul.
O soluție universală este de a utiliza utilitate OpenSSL în modul SSL-client. Acest lucru se face după cum urmează:
Notă: Prezența unui „\“ caracter în echipă nu este obligatorie; acest simbol este prezent doar pentru a îmbunătăți lizibilitatea textului.
Mai jos sunt prezentate diferite scenarii pentru serverul rdig-registrar.sinp.msu.ru care oferă VOMS-service și necesită autentificare a clientului.
Opțiunea 1: Clientul nu a furnizat perechea de chei.
Mesaje „SSLv3 certificat rău de alertă“ și „eșec handhake ssl“ sugereaza ca server pentru a autentifica clientul dorit, dar aceasta nu a funcționat, pentru că (în cazul nostru), clientul nu are perechea de chei. În sfârșit, și spune că SSL foloseste serverul de autentificare a clientului pentru o altă fază de configurare apel. În caz contrar, SSL-conexiunea ar fi de succes, care ar indica fie o lipsă totală de autentificare a clientului sau autentificarea client atunci când acesta este de manipulare numai anumite resurse de server.
Opțiunea 2: clientul a furnizat o pereche de chei, dar este ceva greșit. În acest caz, certificatul a expirat.
După cum putem vedea, același lucru se întâmplă ca și în cazul absenței certificatului.
Dar cum va reacționa la OpenSSL componente nepotriviri perechi de chei:
Deci, chiar și înjurături - „valori-cheie defazaj“
Opțiunea 3: clientul a furnizat perechea de chei corecte.
Aici, totul este în ordine, perechea de chei este corectă și serverul este de încredere autoritate de certificare, care a semnat certificatul. Echipa de lucru „OpenSSL s_client“, a fost întreruptă de o combinație de taste de control-C, dar, în general vorbind, sesiunea ar putea continua, iar operatorul poate introduce orice comenzi care au fost transmise la server și, eventual, prelucrate acolo.
Mai jos sunt instrucțiuni pentru unele browsere populare.
Mozilla Firefox
goliți memoria cache a browser-ului butonului se află în meniul «avansat» → «rețea» și «Extra» → «rețea», respectiv.
Safari pentru MacOS
Acest browser folosește depozitul de certificate de sistem, astfel încât să manipuleze certificatul rădăcină trebuie să rulați utilitarul «Keychain Access», care pot fi găsite în «Aplicații» dosar → «Utilități».
Ștergerea cache-ul este după cum urmează: în preferințele Safari pentru a selecta fila «avansată» și nu bifați caseta din dreptul elementului «Afișare meniu în bara de meniu Dezvoltarea» (desigur, în cazul în care steagul nu este deja instalat). După aceea, trebuie doar să selectați elementul de meniu «Dezvoltarea» → «Caches gol».
Internet Explorer
Pentru a șterge memoria cache a browser-ului, apăsați combinația de taste Ctrl-Shift-Del, selectați fereastra pop-up, selectați „Temporary Internet Files“ și deselectați restul de puncte, și apoi faceți clic pe „Remove“.