<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body bgcolor=white lang=EN-GB link=blue vlink=purple>
<div class=Section1>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>I agree too. The management and governance of the trust roots
is critical. If the trust roots configuration is broken or compromised then trust
breaks down for the whole federation.<o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Also, the host machine(s) wherever it eventually ends up, needs
to be locked down and carefully secured.<o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Cheers,<o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Phil<o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>
<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>
<div>
<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>
<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:
"Tahoma","sans-serif";color:windowtext'>From:</span></b><span lang=EN-US
style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>
go-essp-tech-bounces@ucar.edu [mailto:go-essp-tech-bounces@ucar.edu] <b>On
Behalf Of </b>Alex Sim<br>
<b>Sent:</b> 09 September 2010 19:11<br>
<b>To:</b> Gavin M. Bell<br>
<b>Cc:</b> Cinquini, Luca (3880); go-essp-tech@ucar.edu<br>
<b>Subject:</b> Re: [Go-essp-tech] Call for CA and OpenID Trust root
Certificates<o:p></o:p></span></p>
</div>
</div>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>I somewhat agree with Rachana that hosting them on esgf.org
is not a problem but we need some kind of governance on the info, before making
them available on the web. This includes more of policy issues as well. One
example is how a gateway is decided to be trusted and included in the trusted
list, as anyone can download and install an ESG gateway/MyProxy server and
generate a CA.<br>
<br>
<br>
<o:p></o:p></p>
<pre>-- Alex<o:p></o:p></pre>
<p class=MsoNormal><br>
On 9/9/10 10:51 AM, Gavin M. Bell wrote: <o:p></o:p></p>
<p class=MsoNormal>Hi Rachana, <br>
<br>
If we are looking for a place to house this information then, I agree with
Luca, that esgf.org is available and probably the most amenable site for doing
so. At the moment the issue is that Neill would like the information
hosted behind an https site 'somewhere', under that requirement - esgf.org is
as good a place as any, IMHO. Also, we can host that information from
another server here at LLNL, I am thinking the distribution machine here.
In the context of esgf, one scenario is that, we treat the key storage,
management and information (web page) in the same way we treat the projects
hosted there. This makes it easy to maintain, etc..<br>
<br>
Neill, no worries, we can find a place for you (your stuff... our certs).
I guess what would be good to know is, how 'on fire' is this request? I
can make the spare cycles to make this happen for you, but manage my
expectations so I can give this the priority is requires. Is there a due
date you have in mind?<br>
<br>
<br>
On 9/9/10 7:14 AM, Rachana Ananthakrishnan wrote: <o:p></o:p></p>
<pre>Hi Luca,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>This is the second time this has been referenced on this mailing list<o:p></o:p></pre><pre>- but there has not been any information on how this is governed, or<o:p></o:p></pre><pre>how to get access to the site? The site itself doesn't provide much<o:p></o:p></pre><pre>information on the intended purpose either. I am fine hosting it<o:p></o:p></pre><pre>there, provided we agree on some process for maintaining these, and<o:p></o:p></pre><pre>understand ownership when things are moved there.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Thanks,<o:p></o:p></pre><pre>Rachana<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>On Sep 9, 2010, at 9:07 AM, Cinquini, Luca (3880) wrote:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hi Neill,<o:p></o:p></pre><pre>may I suggest again that this information be placed somewhere in<o:p></o:p></pre><pre>esgf.org ?<o:p></o:p></pre><pre>Thxs, luca<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>On Sep 9, 2010, at 8:01 AM, <a
href="mailto:neillm@mcs.anl.gov">"neillm@mcs.anl.gov"</a><o:p></o:p></pre><pre><a
href="mailto:neillm@mcs.anl.gov"><neillm@mcs.anl.gov></a> wrote:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hello Estani,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I somehow missed your latest, my apologies. I'll have those<o:p></o:p></pre><pre>integrated as well as Stephen's shortly.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>We are working on have a central place to store these, but it's not<o:p></o:p></pre><pre>resolved yet.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>The requirement is that it be HTTPS accessible. If someone has<o:p></o:p></pre><pre>access to something like that, I'm all for moving the page there.<o:p></o:p></pre><pre>The document needs to be updated with each certificate that changes<o:p></o:p></pre><pre>and also the truststore needs to be regenerated, so I don't think<o:p></o:p></pre><pre>public FTP is the best option.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I do agree that a UofC Wiki is not the ideal final resting place<o:p></o:p></pre><pre>for this information though.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: "Estanislao Gonzalez" <a
href="mailto:estanislao.gonzalez@zmaw.de"><estanislao.gonzalez@zmaw.de></a><o:p></o:p></pre><pre>To: "stephen pascoe" <a
href="mailto:stephen.pascoe@stfc.ac.uk"><stephen.pascoe@stfc.ac.uk></a><o:p></o:p></pre><pre>Cc: <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a>, <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a>, "philip kershaw" <<a
href="mailto:philip.kershaw@stfc.ac.uk">philip.kershaw@stfc.ac.uk</a><o:p></o:p></pre><pre>Sent: Thursday, September 9, 2010 8:35:27 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hi all,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I see the trusted certificates are quiet old. I've already changed<o:p></o:p></pre><pre>them<o:p></o:p></pre><pre>as requested so that the naming scheme would be more ESG-conform, but<o:p></o:p></pre><pre>the certificates are still the older ones.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Would it be possible to upload the certificates somewhere? maybe a<o:p></o:p></pre><pre>pub ftp?<o:p></o:p></pre><pre>That way we could just upload the certificates if the were changed.<o:p></o:p></pre><pre>We<o:p></o:p></pre><pre>could later on delete the ones we don't require.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Thanks,<o:p></o:p></pre><pre>Estani<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><a
href="mailto:stephen.pascoe@stfc.ac.uk">stephen.pascoe@stfc.ac.uk</a> wrote:<o:p></o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hi Neil,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Updating our trustroots using your wiki page below I notice that the<o:p></o:p></pre><pre>esg-truststore.ks file is missing 2 of our certificates that are<o:p></o:p></pre><pre>in the<o:p></o:p></pre><pre>tarball esg_trusted_certificates-08-24-2010.tar.gz. These are<o:p></o:p></pre><pre>cf22df3a.0 and ece35fd4.0<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I can guess how this happened. Phil provided PEM files containing<o:p></o:p></pre><pre>both<o:p></o:p></pre><pre>the certificate text and BEGIN CERTIFICATE sections. I've noticed<o:p></o:p></pre><pre>keytool fails unless PEM files only contain the BEGIN CERTIFICATE<o:p></o:p></pre><pre>block.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Those using esg-truststore.ks need to import the certificates into<o:p></o:p></pre><pre>the<o:p></o:p></pre><pre>keystore in order for it to work with BADC. One possible recipe is:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>$ sed -n '/BEGIN CERT/,/END CERT/ p' esg_trusted_certificates/<o:p></o:p></pre><pre>cf22df3a.0<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>cf22df3a_bare.0<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>$ keytool -import -keystore esg-truststore.ts -alias cf22df3a -file<o:p></o:p></pre><pre>cf22df3a_bare.0<o:p></o:p></pre><pre>$ sed -n '/BEGIN CERT/,/END CERT/ p' esg_trusted_certificates/<o:p></o:p></pre><pre>ece35fd4.0<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>ece35fd4_bare.0<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>$ keytool -import -keystore esg-truststore.ts -alias ece35fd4 -file<o:p></o:p></pre><pre>ece35fd4_bare.0<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I hope this can be reflected in esg-truststore.ks soon.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Cheers,<o:p></o:p></pre><pre>Stephen.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>---<o:p></o:p></pre><pre>Stephen Pascoe +44 (0)1235 445980<o:p></o:p></pre><pre>British Atmospheric Data Centre<o:p></o:p></pre><pre>Rutherford Appleton Laboratory<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-----Original Message-----<o:p></o:p></pre><pre>From: <a
href="mailto:go-essp-tech-bounces@ucar.edu">go-essp-tech-bounces@ucar.edu</a><o:p></o:p></pre><pre>[<a
href="mailto:go-essp-tech-bounces@ucar.edu">mailto:go-essp-tech-bounces@ucar.edu</a>] On Behalf Of <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a><o:p></o:p></pre><pre>Sent: 17 August 2010 22:42<o:p></o:p></pre><pre>To: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hello,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>According to the document here:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><a
href="http://*www.*ci.uchicago.edu/wiki/bin/view/ESGProject/ESGFederationTrustRo">http://*www.*ci.uchicago.edu/wiki/bin/view/ESGProject/ESGFederationTrustRo</a><o:p></o:p></pre><pre>ots<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>PCMDI, NCAR and ORNL still need to update their DNs to something<o:p></o:p></pre><pre>more<o:p></o:p></pre><pre>official. This is a CMIP5 blocker as far as I know.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: "Neill Miller" <a
href="mailto:neillm@mcs.anl.gov"><neillm@mcs.anl.gov></a><o:p></o:p></pre><pre>To: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Sent: Wednesday, August 11, 2010 11:30:30 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hello,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Has anyone made any progress on generating new CA certificates<o:p></o:p></pre><pre>without<o:p></o:p></pre><pre>default simpleCA DNs? Someone has already sent me new<o:p></o:p></pre><pre>certificates for<o:p></o:p></pre><pre>their site, so aside from that of course. Please let me know, or<o:p></o:p></pre><pre>send<o:p></o:p></pre><pre>me updated certs and I'll get them online as soon as I can.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>thanks,<o:p></o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: "Neill Miller" <a
href="mailto:neillm@mcs.anl.gov"><neillm@mcs.anl.gov></a><o:p></o:p></pre><pre>To: <a
href="mailto:asim@lbl.gov">asim@lbl.gov</a><o:p></o:p></pre><pre>Cc: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Sent: Friday, August 6, 2010 11:24:04 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hello Alex,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>It's a good thing to bring up actually. Each gateway that runs a CA<o:p></o:p></pre><pre>gets to more or less specify their DN to be anything they want.<o:p></o:p></pre><pre>Going<o:p></o:p></pre><pre>forward, it's important to name them something more appropriate. I<o:p></o:p></pre><pre>agree that it doesn't look good to have GlobusTest in the DN as<o:p></o:p></pre><pre>well (as<o:p></o:p></pre><pre>we've discussed this before), so there are at least 2 options to<o:p></o:p></pre><pre>consider here:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>1) Allow everyone to get their gateway working as it is now (since<o:p></o:p></pre><pre>it's<o:p></o:p></pre><pre>not a functional thing, but a perception/cosmetic issue), or<o:p></o:p></pre><pre>2) Request that everyone start over with their CAs in order to fix<o:p></o:p></pre><pre>the<o:p></o:p></pre><pre>DN*.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Maybe Gavin (actually, Eric if I'm following correctly) could<o:p></o:p></pre><pre>describe<o:p></o:p></pre><pre>how this step is done and whether or not it's automated away? If<o:p></o:p></pre><pre>it's<o:p></o:p></pre><pre>automated and hidden from the user in the script, it's likely even<o:p></o:p></pre><pre>starting over won't change anything for most people.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>*This is something that can be done without replacing the entire<o:p></o:p></pre><pre>gateway<o:p></o:p></pre><pre>stack. As a matter of fact, it's just a couple commands and then<o:p></o:p></pre><pre>tracking the proper certificates from there. If this second<o:p></o:p></pre><pre>option is<o:p></o:p></pre><pre>chosen, I can document what each Gateway needs to do in order to<o:p></o:p></pre><pre>remedy<o:p></o:p></pre><pre>the situation.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>But I'd still like to know how this is done at the Gateway install<o:p></o:p></pre><pre>time<o:p></o:p></pre><pre>so that any NEW gateway installs won't have to do anything special<o:p></o:p></pre><pre>and<o:p></o:p></pre><pre>will have more valid looking (default) DNs.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Sound reasonable?<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: "Alex Sim" <a
href="mailto:asim@lbl.gov"><asim@lbl.gov></a><o:p></o:p></pre><pre>To: <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a><o:p></o:p></pre><pre>Cc: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Sent: Friday, August 6, 2010 11:04:56 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I hate to bring this up again, but the DN format has to work out<o:p></o:p></pre><pre>without GlobusTest in it.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-- Alex<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>On 8/6/10 8:49 AM, <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a> wrote:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hello,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Thanks to everyone that has submitted their certificate<o:p></o:p></pre><pre>information!<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>At the moment, I have a list of MyProxy and OpenID trusted<o:p></o:p></pre><pre>certificates<o:p></o:p></pre><pre>listed here:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre><a
href="http://*www.*ci.uchicago.edu/wiki/bin/view/ESGProject/ESGFederationTrust">http://*www.*ci.uchicago.edu/wiki/bin/view/ESGProject/ESGFederationTrust</a><o:p></o:p></pre><pre>Roots<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>While this page is obviously not complete, please verify that the<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>certificates that you've sent appear in the listings. I'd like to<o:p></o:p></pre><pre>know<o:p></o:p></pre><pre>roughly how many more I should be expecting before moving on to<o:p></o:p></pre><pre>fill in<o:p></o:p></pre><pre>the other details as well, so if you know you haven't sent yours<o:p></o:p></pre><pre>in yet,<o:p></o:p></pre><pre>please let me know (off-list is fine).<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>thanks,<o:p></o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a><o:p></o:p></pre><pre>To: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Sent: Tuesday, August 3, 2010 10:58:29 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hello,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>As discussed on the call just now, I need all OpenID trust root<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>certificates in addition to the hostname of the machine.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>For anyone that has already submitted theirs (i.e. Luca, Phil), if<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>there are helpful commands that you can share with others, please<o:p></o:p></pre><pre>do so<o:p></o:p></pre><pre>in follow-up to this.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>A helpful page that shows commands for working with your java<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>key/trust store is here:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre><a
href="http://*www.*sslshopper.com/article-most-common-java-keytool-keystore-co">http://*www.*sslshopper.com/article-most-common-java-keytool-keystore-co</a><o:p></o:p></pre><pre>mmands.html<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I also need everyone managing a MyProxy CA to send me their CA<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>certificates. If you're running a MyProxy CA, there are 2 simple<o:p></o:p></pre><pre>ways<o:p></o:p></pre><pre>to find out which certs are needed (please pick one, not both):<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>1) Login to the MyProxy CA host and run "ls -al ~/.globus/<o:p></o:p></pre><pre>simpleCA/"<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>as the user that runs the CA.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>In this listing, you'll see a file called<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>"globus_simple_ca_XXXXXXXX_setup-0.20.tar.gz" where XXXXXXXX is a<o:p></o:p></pre><pre>hash<o:p></o:p></pre><pre>of the CA certificate. Please send the files<o:p></o:p></pre><pre>/etc/grid-security/certificates/XXXXXXXX.0 and<o:p></o:p></pre><pre>/etc/grid-security/certificates/XXXXXXXX.signing_policy as well as<o:p></o:p></pre><pre>the<o:p></o:p></pre><pre>hostname of the CA machine.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>2) Another method of finding which cert to send is to run the<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>"grid-default-ca" program:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>--------------------------------------------------------------------<o:p></o:p></pre><pre>$GLOBUS_LOCATION/bin/grid-default-ca<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>The available CA configurations installed on this host are:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Directory: /etc/grid-security/certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>1) 0ba75d15 -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest2/OU=simpleCA-vm-125-66.ci.uchicago.edu/<o:p></o:p></pre><pre>CN=Globus<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Simple CA<o:p></o:p></pre><pre>2) 1c3f2ca8 - /DC=org/DC=DOEGrids/OU=Certificate<o:p></o:p></pre><pre>Authorities/CN=DOEGrids CA 1<o:p></o:p></pre><pre>3) 3de8c5e9 -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest/OU=simpleCA-vm-125-67.ci.uchicago.edu/<o:p></o:p></pre><pre>CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre>4) 519bfbae -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest/OU=simpleCA-vm-125-66.ci.uchicago.edu/<o:p></o:p></pre><pre>CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre>5) 6349a761 - /O=DOE Science Grid/OU=Certificate<o:p></o:p></pre><pre>Authorities/CN=Certificate Manager<o:p></o:p></pre><pre>6) 9388e5cb -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest/OU=simpleCA-pcmdi3.llnl.gov/CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre>7) 9d8753eb - /DC=net/DC=es/OU=Certificate Authorities/OU=DOE<o:p></o:p></pre><pre>Science<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Grid/CN=pki1<o:p></o:p></pre><pre>8) d1b603c3 - /DC=net/DC=ES/O=ESnet/OU=Certificate<o:p></o:p></pre><pre>Authorities/CN=ESnet Root CA 1<o:p></o:p></pre><pre>9) ecdb249f -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest/OU=simpleCA-esgdev.ci.uchicago.edu/CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>The default CA is:<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>/O=Grid/OU=GlobusTest2/OU=simpleCA-vm-125-66.ci.uchicago.edu/<o:p></o:p></pre><pre>CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre> Location: /etc/grid-security/certificates/0ba75d15.0<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Enter the index number of the CA to set as the default [q to quit]<o:p></o:p></pre><pre>--------------------------------------------------------------------<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>To avoid changing anything, press "q" to quit.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Near the bottom, we are told which CA is currently our default.<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>Please send the file located at the listed "Location" in addition<o:p></o:p></pre><pre>to the<o:p></o:p></pre><pre>XXXXXXXX.signing_policy file located in the same directory.<o:p></o:p></pre><pre>Please also<o:p></o:p></pre><pre>send the DN listed with that file and the hostname of the CA<o:p></o:p></pre><pre>machine.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>IMPORTANT: For the MyProxy CA certificates, I need both the ".0"<o:p></o:p></pre><pre>AND<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>the ".signing_policy" files together. Please also send the<o:p></o:p></pre><pre>machine's<o:p></o:p></pre><pre>hostname.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>-Neill.<o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre><o:p> </o:p></pre><pre>--<o:p></o:p></pre><pre>Estanislao Gonzalez<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Max-Planck-Institut für Meteorologie (MPI-M)<o:p></o:p></pre><pre>Deutsches Klimarechenzentrum (DKRZ) - German Climate Computing Centre<o:p></o:p></pre><pre>Room 108 - Bundesstrasse 45a, D-20146 Hamburg, Germany<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Phone: +49 (40) 46 00 94-126<o:p></o:p></pre><pre>E-Mail: <a
href="mailto:estanislao.gonzalez@zmaw.de">estanislao.gonzalez@zmaw.de</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre></blockquote>
<pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre></blockquote>
<pre>Rachana Ananthakrishnan<o:p></o:p></pre><pre>Argonne National Lab | University of Chicago<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre>
<p class=MsoNormal><br>
<br>
<o:p></o:p></p>
<pre>-- <o:p></o:p></pre><pre>Gavin M. Bell<o:p></o:p></pre><pre>Lawrence Livermore National Labs<o:p></o:p></pre><pre>--<o:p></o:p></pre><pre><o:p> </o:p></pre><pre> "Never mistake a clear view for a short distance."<o:p></o:p></pre><pre> -Paul Saffo<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>(GPG Key - <a
href="http://rainbow.llnl.gov/dist/keys/gavin.asc">http://rainbow.llnl.gov/dist/keys/gavin.asc</a>)<o:p></o:p></pre><pre><o:p> </o:p></pre><pre> A796 CE39 9C31 68A4 52A7 1F6B 66B7 B250 21D5 6D3E<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre></div>
</div>
<br><p>--
<BR>Scanned by iCritical.
</p>
<br></body>
</html>