<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";
color:black;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p
{mso-style-priority:99;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:12.0pt;
font-family:"Times New Roman","serif";
color:black;}
pre
{mso-style-priority:99;
mso-style-link:"HTML Preformatted Char";
margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New";
color:black;}
span.HTMLPreformattedChar
{mso-style-name:"HTML Preformatted Char";
mso-style-priority:99;
mso-style-link:"HTML Preformatted";
font-family:Consolas;
color:black;}
span.EmailStyle20
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page Section1
{size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.Section1
{page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body bgcolor=white lang=EN-GB link=blue vlink=purple>
<div class=Section1>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Hi Stephen,<o:p></o:p></span></p>
<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></p>
<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>On the specific point of managing trustroots. I'm not sure
why reading of the trustroots over HTTP would be a problem. </span><span
style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#1F497D'><o:p></o:p></span></p>
<p class=MsoNormal><b><i><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>[Kershaw, Philip (STFC,RAL,SSTD)] If it’s just HTTP, I could set
up my own spoof trust roots server and trick all the ESGF services to pull
trust root info from my version. It would be a simple way of launching a Denial
of Service attack across the whole federation.<o:p></o:p></span></i></b></p>
<p class=MsoNormal><b><i><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></i></b></p>
<p class=MsoNormal><b><i><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>If we go with a HTTPS server, clients can easily authenticate the
server’s identity and ensure the trust roots have come from an authoritative source.<o:p></o:p></span></i></b></p>
<p class=MsoNormal><b><i><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></i></b></p>
<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>Updating them obviously has to be controlled. Esgf.org has
the technical infrastructure through it's git repository which I regularly
write to using an ssh key pair. Governance could also be enforced by
having separate update and master branches a master branches. I'm sure
Gavin could put together a hook to automatically build the keystore.</span><span
style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p></o:p></span></p>
<p class=MsoNormal><b><i><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>[Kershaw, Philip (STFC,RAL,SSTD)] I think you’re suggesting
using Git to host the trust store and that way you get version info built in.
I thought that would be good, but reflecting about it some more I think it’s a
bad idea. There could be scope for clients to download the wrong version: an
earlier revision perhaps or a branch. Better to have a single definitive place
to locate the trust root info then there’s no ambiguity. Also, the host server
needs to be very secure, probably not as secure as would be sufficient for the
Git repository.<o:p></o:p></span></i></b></p>
<p class=MsoNormal><b><i><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p> </o:p></span></i></b></p>
<p class=MsoNormal><b><i><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Cheers,<o:p></o:p></span></i></b></p>
<p class=MsoNormal><b><i><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Phil</span></i></b><span style='font-size:11.0pt;font-family:
"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p>
<p class=MsoNormal> <o:p></o:p></p>
<div>
<p class=MsoNormal> <o:p></o:p></p>
</div>
<p class=MsoNormal><o:p> </o:p></p>
<div class=MsoNormal align=center style='text-align:center'><span lang=EN-US>
<hr size=2 width="100%" align=center>
</span></div>
<p class=MsoNormal style='margin-bottom:12.0pt'><b><span lang=EN-US
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
lang=EN-US style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>
go-essp-tech-bounces@ucar.edu [mailto:go-essp-tech-bounces@ucar.edu] <b>On
Behalf Of </b>Alex Sim<br>
<b>Sent:</b> 09 September 2010 19:11<br>
<b>To:</b> Gavin M. Bell<br>
<b>Cc:</b> Cinquini, Luca (3880); go-essp-tech@ucar.edu<br>
<b>Subject:</b> Re: [Go-essp-tech] Call for CA and OpenID Trust root
Certificates</span><span lang=EN-US><o:p></o:p></span></p>
<p class=MsoNormal>I somewhat agree with Rachana that hosting them on esgf.org
is not a problem but we need some kind of governance on the info, before making
them available on the web. This includes more of policy issues as well. One
example is how a gateway is decided to be trusted and included in the trusted
list, as anyone can download and install an ESG gateway/MyProxy server and
generate a CA.<br>
<br>
<br>
<o:p></o:p></p>
<pre>-- Alex<o:p></o:p></pre>
<p class=MsoNormal><br>
On 9/9/10 10:51 AM, Gavin M. Bell wrote: <o:p></o:p></p>
<p class=MsoNormal>Hi Rachana, <br>
<br>
If we are looking for a place to house this information then, I agree with
Luca, that esgf.org is available and probably the most amenable site for doing
so. At the moment the issue is that Neill would like the information
hosted behind an https site 'somewhere', under that requirement - esgf.org is
as good a place as any, IMHO. Also, we can host that information from
another server here at LLNL, I am thinking the distribution machine here.
In the context of esgf, one scenario is that, we treat the key storage, management
and information (web page) in the same way we treat the projects hosted
there. This makes it easy to maintain, etc..<br>
<br>
Neill, no worries, we can find a place for you (your stuff... our certs).
I guess what would be good to know is, how 'on fire' is this request? I
can make the spare cycles to make this happen for you, but manage my
expectations so I can give this the priority is requires. Is there a due
date you have in mind?<br>
<br>
<br>
On 9/9/10 7:14 AM, Rachana Ananthakrishnan wrote: <o:p></o:p></p>
<pre>Hi Luca,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>This is the second time this has been referenced on this mailing list<o:p></o:p></pre><pre>- but there has not been any information on how this is governed, or<o:p></o:p></pre><pre>how to get access to the site? The site itself doesn't provide much<o:p></o:p></pre><pre>information on the intended purpose either. I am fine hosting it<o:p></o:p></pre><pre>there, provided we agree on some process for maintaining these, and<o:p></o:p></pre><pre>understand ownership when things are moved there.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Thanks,<o:p></o:p></pre><pre>Rachana<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>On Sep 9, 2010, at 9:07 AM, Cinquini, Luca (3880) wrote:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hi Neill,<o:p></o:p></pre><pre>may I suggest again that this information be placed somewhere in<o:p></o:p></pre><pre>esgf.org ?<o:p></o:p></pre><pre>Thxs, luca<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>On Sep 9, 2010, at 8:01 AM, <a
href="mailto:neillm@mcs.anl.gov">"neillm@mcs.anl.gov"</a><o:p></o:p></pre><pre><a
href="mailto:neillm@mcs.anl.gov"><neillm@mcs.anl.gov></a> wrote:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hello Estani,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I somehow missed your latest, my apologies. I'll have those<o:p></o:p></pre><pre>integrated as well as Stephen's shortly.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>We are working on have a central place to store these, but it's not<o:p></o:p></pre><pre>resolved yet.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>The requirement is that it be HTTPS accessible. If someone has<o:p></o:p></pre><pre>access to something like that, I'm all for moving the page there.<o:p></o:p></pre><pre>The document needs to be updated with each certificate that changes<o:p></o:p></pre><pre>and also the truststore needs to be regenerated, so I don't think<o:p></o:p></pre><pre>public FTP is the best option.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I do agree that a UofC Wiki is not the ideal final resting place<o:p></o:p></pre><pre>for this information though.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: "Estanislao Gonzalez" <a
href="mailto:estanislao.gonzalez@zmaw.de"><estanislao.gonzalez@zmaw.de></a><o:p></o:p></pre><pre>To: "stephen pascoe" <a
href="mailto:stephen.pascoe@stfc.ac.uk"><stephen.pascoe@stfc.ac.uk></a><o:p></o:p></pre><pre>Cc: <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a>, <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a>, "philip kershaw" <<a
href="mailto:philip.kershaw@stfc.ac.uk">philip.kershaw@stfc.ac.uk</a><o:p></o:p></pre><pre>Sent: Thursday, September 9, 2010 8:35:27 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hi all,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I see the trusted certificates are quiet old. I've already changed<o:p></o:p></pre><pre>them<o:p></o:p></pre><pre>as requested so that the naming scheme would be more ESG-conform, but<o:p></o:p></pre><pre>the certificates are still the older ones.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Would it be possible to upload the certificates somewhere? maybe a<o:p></o:p></pre><pre>pub ftp?<o:p></o:p></pre><pre>That way we could just upload the certificates if the were changed.<o:p></o:p></pre><pre>We<o:p></o:p></pre><pre>could later on delete the ones we don't require.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Thanks,<o:p></o:p></pre><pre>Estani<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><a
href="mailto:stephen.pascoe@stfc.ac.uk">stephen.pascoe@stfc.ac.uk</a> wrote:<o:p></o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hi Neil,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Updating our trustroots using your wiki page below I notice that the<o:p></o:p></pre><pre>esg-truststore.ks file is missing 2 of our certificates that are<o:p></o:p></pre><pre>in the<o:p></o:p></pre><pre>tarball esg_trusted_certificates-08-24-2010.tar.gz. These are<o:p></o:p></pre><pre>cf22df3a.0 and ece35fd4.0<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I can guess how this happened. Phil provided PEM files containing<o:p></o:p></pre><pre>both<o:p></o:p></pre><pre>the certificate text and BEGIN CERTIFICATE sections. I've noticed<o:p></o:p></pre><pre>keytool fails unless PEM files only contain the BEGIN CERTIFICATE<o:p></o:p></pre><pre>block.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Those using esg-truststore.ks need to import the certificates into<o:p></o:p></pre><pre>the<o:p></o:p></pre><pre>keystore in order for it to work with BADC. One possible recipe is:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>$ sed -n '/BEGIN CERT/,/END CERT/ p' esg_trusted_certificates/<o:p></o:p></pre><pre>cf22df3a.0<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>cf22df3a_bare.0<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>$ keytool -import -keystore esg-truststore.ts -alias cf22df3a -file<o:p></o:p></pre><pre>cf22df3a_bare.0<o:p></o:p></pre><pre>$ sed -n '/BEGIN CERT/,/END CERT/ p' esg_trusted_certificates/<o:p></o:p></pre><pre>ece35fd4.0<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>ece35fd4_bare.0<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>$ keytool -import -keystore esg-truststore.ts -alias ece35fd4 -file<o:p></o:p></pre><pre>ece35fd4_bare.0<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I hope this can be reflected in esg-truststore.ks soon.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Cheers,<o:p></o:p></pre><pre>Stephen.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>---<o:p></o:p></pre><pre>Stephen Pascoe +44 (0)1235 445980<o:p></o:p></pre><pre>British Atmospheric Data Centre<o:p></o:p></pre><pre>Rutherford Appleton Laboratory<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-----Original Message-----<o:p></o:p></pre><pre>From: <a
href="mailto:go-essp-tech-bounces@ucar.edu">go-essp-tech-bounces@ucar.edu</a><o:p></o:p></pre><pre>[<a
href="mailto:go-essp-tech-bounces@ucar.edu">mailto:go-essp-tech-bounces@ucar.edu</a>] On Behalf Of <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a><o:p></o:p></pre><pre>Sent: 17 August 2010 22:42<o:p></o:p></pre><pre>To: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hello,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>According to the document here:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><a
href="http://*www.*ci.uchicago.edu/wiki/bin/view/ESGProject/ESGFederationTrustRo">http://*www.*ci.uchicago.edu/wiki/bin/view/ESGProject/ESGFederationTrustRo</a><o:p></o:p></pre><pre>ots<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>PCMDI, NCAR and ORNL still need to update their DNs to something<o:p></o:p></pre><pre>more<o:p></o:p></pre><pre>official. This is a CMIP5 blocker as far as I know.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: "Neill Miller" <a
href="mailto:neillm@mcs.anl.gov"><neillm@mcs.anl.gov></a><o:p></o:p></pre><pre>To: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Sent: Wednesday, August 11, 2010 11:30:30 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hello,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Has anyone made any progress on generating new CA certificates<o:p></o:p></pre><pre>without<o:p></o:p></pre><pre>default simpleCA DNs? Someone has already sent me new<o:p></o:p></pre><pre>certificates for<o:p></o:p></pre><pre>their site, so aside from that of course. Please let me know, or<o:p></o:p></pre><pre>send<o:p></o:p></pre><pre>me updated certs and I'll get them online as soon as I can.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>thanks,<o:p></o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: "Neill Miller" <a
href="mailto:neillm@mcs.anl.gov"><neillm@mcs.anl.gov></a><o:p></o:p></pre><pre>To: <a
href="mailto:asim@lbl.gov">asim@lbl.gov</a><o:p></o:p></pre><pre>Cc: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Sent: Friday, August 6, 2010 11:24:04 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hello Alex,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>It's a good thing to bring up actually. Each gateway that runs a CA<o:p></o:p></pre><pre>gets to more or less specify their DN to be anything they want.<o:p></o:p></pre><pre>Going<o:p></o:p></pre><pre>forward, it's important to name them something more appropriate. I<o:p></o:p></pre><pre>agree that it doesn't look good to have GlobusTest in the DN as<o:p></o:p></pre><pre>well (as<o:p></o:p></pre><pre>we've discussed this before), so there are at least 2 options to<o:p></o:p></pre><pre>consider here:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>1) Allow everyone to get their gateway working as it is now (since<o:p></o:p></pre><pre>it's<o:p></o:p></pre><pre>not a functional thing, but a perception/cosmetic issue), or<o:p></o:p></pre><pre>2) Request that everyone start over with their CAs in order to fix<o:p></o:p></pre><pre>the<o:p></o:p></pre><pre>DN*.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Maybe Gavin (actually, Eric if I'm following correctly) could<o:p></o:p></pre><pre>describe<o:p></o:p></pre><pre>how this step is done and whether or not it's automated away? If<o:p></o:p></pre><pre>it's<o:p></o:p></pre><pre>automated and hidden from the user in the script, it's likely even<o:p></o:p></pre><pre>starting over won't change anything for most people.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>*This is something that can be done without replacing the entire<o:p></o:p></pre><pre>gateway<o:p></o:p></pre><pre>stack. As a matter of fact, it's just a couple commands and then<o:p></o:p></pre><pre>tracking the proper certificates from there. If this second<o:p></o:p></pre><pre>option is<o:p></o:p></pre><pre>chosen, I can document what each Gateway needs to do in order to<o:p></o:p></pre><pre>remedy<o:p></o:p></pre><pre>the situation.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>But I'd still like to know how this is done at the Gateway install<o:p></o:p></pre><pre>time<o:p></o:p></pre><pre>so that any NEW gateway installs won't have to do anything special<o:p></o:p></pre><pre>and<o:p></o:p></pre><pre>will have more valid looking (default) DNs.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Sound reasonable?<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: "Alex Sim" <a
href="mailto:asim@lbl.gov"><asim@lbl.gov></a><o:p></o:p></pre><pre>To: <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a><o:p></o:p></pre><pre>Cc: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Sent: Friday, August 6, 2010 11:04:56 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: Re: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I hate to bring this up again, but the DN format has to work out<o:p></o:p></pre><pre>without GlobusTest in it.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>-- Alex<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>On 8/6/10 8:49 AM, <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a> wrote:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Hello,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Thanks to everyone that has submitted their certificate<o:p></o:p></pre><pre>information!<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>At the moment, I have a list of MyProxy and OpenID trusted<o:p></o:p></pre><pre>certificates<o:p></o:p></pre><pre>listed here:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre><a
href="http://*www.*ci.uchicago.edu/wiki/bin/view/ESGProject/ESGFederationTrust">http://*www.*ci.uchicago.edu/wiki/bin/view/ESGProject/ESGFederationTrust</a><o:p></o:p></pre><pre>Roots<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>While this page is obviously not complete, please verify that the<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>certificates that you've sent appear in the listings. I'd like to<o:p></o:p></pre><pre>know<o:p></o:p></pre><pre>roughly how many more I should be expecting before moving on to<o:p></o:p></pre><pre>fill in<o:p></o:p></pre><pre>the other details as well, so if you know you haven't sent yours<o:p></o:p></pre><pre>in yet,<o:p></o:p></pre><pre>please let me know (off-list is fine).<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>thanks,<o:p></o:p></pre><pre>-Neill.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>----- Original Message -----<o:p></o:p></pre><pre>From: <a
href="mailto:neillm@mcs.anl.gov">neillm@mcs.anl.gov</a><o:p></o:p></pre><pre>To: <a
href="mailto:go-essp-tech@ucar.edu">go-essp-tech@ucar.edu</a><o:p></o:p></pre><pre>Sent: Tuesday, August 3, 2010 10:58:29 AM GMT -06:00 US/Canada<o:p></o:p></pre><pre>Central<o:p></o:p></pre><pre>Subject: [Go-essp-tech] Call for CA and OpenID Trust root<o:p></o:p></pre><pre>Certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Hello,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>As discussed on the call just now, I need all OpenID trust root<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>certificates in addition to the hostname of the machine.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>For anyone that has already submitted theirs (i.e. Luca, Phil), if<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>there are helpful commands that you can share with others, please<o:p></o:p></pre><pre>do so<o:p></o:p></pre><pre>in follow-up to this.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>A helpful page that shows commands for working with your java<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>key/trust store is here:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre><a
href="http://*www.*sslshopper.com/article-most-common-java-keytool-keystore-co">http://*www.*sslshopper.com/article-most-common-java-keytool-keystore-co</a><o:p></o:p></pre><pre>mmands.html<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>I also need everyone managing a MyProxy CA to send me their CA<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>certificates. If you're running a MyProxy CA, there are 2 simple<o:p></o:p></pre><pre>ways<o:p></o:p></pre><pre>to find out which certs are needed (please pick one, not both):<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>1) Login to the MyProxy CA host and run "ls -al ~/.globus/<o:p></o:p></pre><pre>simpleCA/"<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>as the user that runs the CA.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>In this listing, you'll see a file called<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>"globus_simple_ca_XXXXXXXX_setup-0.20.tar.gz" where XXXXXXXX is a<o:p></o:p></pre><pre>hash<o:p></o:p></pre><pre>of the CA certificate. Please send the files<o:p></o:p></pre><pre>/etc/grid-security/certificates/XXXXXXXX.0 and<o:p></o:p></pre><pre>/etc/grid-security/certificates/XXXXXXXX.signing_policy as well as<o:p></o:p></pre><pre>the<o:p></o:p></pre><pre>hostname of the CA machine.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>2) Another method of finding which cert to send is to run the<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>"grid-default-ca" program:<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>--------------------------------------------------------------------<o:p></o:p></pre><pre>$GLOBUS_LOCATION/bin/grid-default-ca<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>The available CA configurations installed on this host are:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Directory: /etc/grid-security/certificates<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>1) 0ba75d15 -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest2/OU=simpleCA-vm-125-66.ci.uchicago.edu/<o:p></o:p></pre><pre>CN=Globus<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Simple CA<o:p></o:p></pre><pre>2) 1c3f2ca8 - /DC=org/DC=DOEGrids/OU=Certificate<o:p></o:p></pre><pre>Authorities/CN=DOEGrids CA 1<o:p></o:p></pre><pre>3) 3de8c5e9 -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest/OU=simpleCA-vm-125-67.ci.uchicago.edu/<o:p></o:p></pre><pre>CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre>4) 519bfbae -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest/OU=simpleCA-vm-125-66.ci.uchicago.edu/<o:p></o:p></pre><pre>CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre>5) 6349a761 - /O=DOE Science Grid/OU=Certificate<o:p></o:p></pre><pre>Authorities/CN=Certificate Manager<o:p></o:p></pre><pre>6) 9388e5cb -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest/OU=simpleCA-pcmdi3.llnl.gov/CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre>7) 9d8753eb - /DC=net/DC=es/OU=Certificate Authorities/OU=DOE<o:p></o:p></pre><pre>Science<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>Grid/CN=pki1<o:p></o:p></pre><pre>8) d1b603c3 - /DC=net/DC=ES/O=ESnet/OU=Certificate<o:p></o:p></pre><pre>Authorities/CN=ESnet Root CA 1<o:p></o:p></pre><pre>9) ecdb249f -<o:p></o:p></pre><pre>/O=Grid/OU=GlobusTest/OU=simpleCA-esgdev.ci.uchicago.edu/CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>The default CA is:<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>/O=Grid/OU=GlobusTest2/OU=simpleCA-vm-125-66.ci.uchicago.edu/<o:p></o:p></pre><pre>CN=Globus<o:p></o:p></pre><pre>Simple CA<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre> Location: /etc/grid-security/certificates/0ba75d15.0<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Enter the index number of the CA to set as the default [q to quit]<o:p></o:p></pre><pre>--------------------------------------------------------------------<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>To avoid changing anything, press "q" to quit.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Near the bottom, we are told which CA is currently our default.<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>Please send the file located at the listed "Location" in addition<o:p></o:p></pre><pre>to the<o:p></o:p></pre><pre>XXXXXXXX.signing_policy file located in the same directory.<o:p></o:p></pre><pre>Please also<o:p></o:p></pre><pre>send the DN listed with that file and the hostname of the CA<o:p></o:p></pre><pre>machine.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>IMPORTANT: For the MyProxy CA certificates, I need both the ".0"<o:p></o:p></pre><pre>AND<o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>the ".signing_policy" files together. Please also send the<o:p></o:p></pre><pre>machine's<o:p></o:p></pre><pre>hostname.<o:p></o:p></pre><pre><o:p> </o:p></pre>
<blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><pre>-Neill.<o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre><o:p> </o:p></pre></blockquote>
<pre>--<o:p></o:p></pre><pre>Estanislao Gonzalez<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Max-Planck-Institut für Meteorologie (MPI-M)<o:p></o:p></pre><pre>Deutsches Klimarechenzentrum (DKRZ) - German Climate Computing Centre<o:p></o:p></pre><pre>Room 108 - Bundesstrasse 45a, D-20146 Hamburg, Germany<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Phone: +49 (40) 46 00 94-126<o:p></o:p></pre><pre>E-Mail: <a
href="mailto:estanislao.gonzalez@zmaw.de">estanislao.gonzalez@zmaw.de</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre></blockquote>
<pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre></blockquote>
<pre>Rachana Ananthakrishnan<o:p></o:p></pre><pre>Argonne National Lab | University of Chicago<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://*mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre>
<p class=MsoNormal><br>
<br>
<o:p></o:p></p>
<pre>-- <o:p></o:p></pre><pre>Gavin M. Bell<o:p></o:p></pre><pre>Lawrence Livermore National Labs<o:p></o:p></pre><pre>--<o:p></o:p></pre><pre><o:p> </o:p></pre><pre> "Never mistake a clear view for a short distance."<o:p></o:p></pre><pre> -Paul Saffo<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>(GPG Key - <a
href="http://rainbow.llnl.gov/dist/keys/gavin.asc">http://rainbow.llnl.gov/dist/keys/gavin.asc</a>)<o:p></o:p></pre><pre><o:p> </o:p></pre><pre> A796 CE39 9C31 68A4 52A7 1F6B 66B7 B250 21D5 6D3E<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>_______________________________________________<o:p></o:p></pre><pre>GO-ESSP-TECH mailing list<o:p></o:p></pre><pre><a
href="mailto:GO-ESSP-TECH@ucar.edu">GO-ESSP-TECH@ucar.edu</a><o:p></o:p></pre><pre><a
href="http://mailman.ucar.edu/mailman/listinfo/go-essp-tech">http://mailman.ucar.edu/mailman/listinfo/go-essp-tech</a><o:p></o:p></pre>
<p class=MsoNormal><o:p> </o:p></p>
<p>-- <br>
Scanned by iCritical. <o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
</div>
</div>
<br><p>--
<BR>Scanned by iCritical.
</p>
<br></body>
</html>