[Ru_ngi] Варианты развития центра GRID аутентификации.

[Andrey Kiryanov]

Коллеги, добрый день.

Я очень надеюсь, что вы таки выпустили пар и дальнейшее обсуждение будет 
иметь чисто технический характер.

Я не помню (и не вижу) в документах eugridpma требований по скорости 
выдачи сертификата в Х часов. Тот факт, что такой процесс занимает 
некоторое время - абсолютно нормален. Срочно требовать сертификат "прямо 
сейчас", потому что "работа стоит" - исключительно признак плохого 
планирования со стороны запрашивающего.

По поводу альтернативного CA: прецеденты наличия нескольких независимых 
корневых сертификатов для одной страны (региона) в eugridpma есть (см. 
DutchGrid и др.)
Уверен, что ОИЯИ необходимо иметь свой CA, как минимум для НИКА, 
поскольку в ней планируется БАК-подобная распределённая обработка данных 
в нескольких организациях-участниках. Будет ли он вообще принят в 
eugridpma в текущих реалиях и нужно ли это - вопрос отдельный, так что 
проблему АКЗ это вряд ли решит.

Создание того, что называется online-CA (как в CERN) у нас сейчас мне 
видится маловероятным. Для этого нужно что-то типа eduGAIN в России, что 
займёт годы только на написание бумажек и согласования. Про 
сколько-нибудь централизованное финансирование я вообще молчу.

On 16.05.2022 11:52, Andrey Zarochentsev wrote:
> Ещё раз приветствую, уважаемые Коллеги.
> 
> Продолжу обсуждение, начатое в другой ветке переписки, посвящённое 
> работе центра сертификации российских пользователей GRID. Единственно я 
> несколько обобщил тему.
> 
> Доводы Евгения Александровича:
>  >Предложите, пожалуйста, схему организации работы и конкретные кандидатуры
>  >граждан.  Схема организации должна вписываться в текущие рамки
>  >требований, предъявляемых EUGridPMA к классическим удостоверяющим
>  >центрам (так называемым "offline CA").  Поскольку talk is cheap,
>  >а вот подкрепить ваш взгляд чем-то более основательным -- было бы,
>  >полагаю, неплохо.  В качестве демонстрации того, что ваш взгляд
>  >может рассматриваться достаточно серьёзным образом.
> 
> Да, я не являюсь достаточным специалистом в юридическом описании системы 
> выдачи сертификатов, хотя и являюсь Registration Authority СПбГУ. Я лишь 
> несколько представляю техническую сторону процесса. Собственно я и 
> представляю вопрос на общее обсуждение, а не предлагаю сразу готовое 
> решение.
> Для примера хочу напомнить, как процедура выдачи происходит в ЦЕРН:
> 
> https://ca.cern.ch/ca/host/HostCertificates.aspx 
> <https://ca.cern.ch/ca/host/HostCertificates.aspx>
> https://ca.cern.ch/ca/user/MyCertificates.aspx 
> <https://ca.cern.ch/ca/user/MyCertificates.aspx>
> 
> Процедура автоматизирована и не требует круглосуточной занятости 
> высококлассного специалиста. Да, в ЦЕРН сертификат может получить только 
> уже зарегистрированный пользователь, и нет необходимости содержать штат 
> RA, для подтверждения новых пользователей или статуса старых. Но сама по 
> себе автоматизация имеет место быть. И если RA уже подтвердил запрос, 
> откуда последующие сложности? Тут скорее сложности у RA, который 
> проверяет каждого обратившегося на принадлежность к своей организации. А 
> на уровне CA ручная обработка требуется только для добавления новых RA и 
> решения нестандартных ситуаций.
> Поправьте меня, если я не прав.
> 
> Это по технической части.
> 
> По организационной. Я не могу предложить на данный момент конкретную 
> кандидатуру, хотя варианты есть. Не могу по той простой причине, что 
> должна предлагаться не кандидатура, а ставка с определённым 
> финансированием. И не на кандидатуру, а на отдел. Т.е. выдачей 
> сертификатов и поддержкой работы с ними должна заниматься группа людей, 
> которые могут друг друга заменять.
> 
> Но могу высказать соображения.
> Сейчас работа распределённой обработки данных кроме ЦЕРН будет 
> сконцентрирована на NICA, сейчас же обсуждаются (всё ещё продолжают 
> обсуждаться) и работы и финансирование работ по NICA. На мой скромный 
> взгляд было бы разумно именно в ОИЯИ создать и новый центр сертификации. 
> Тут хотелось бы комментариев от коллег из ОИЯИ.
> Техническая возможность создать параллельный с существующим центр тоже 
> вполне обсуждаемая. Призывать ломать существующее, чтоб строить что-то 
> новое я н ехочу. Я лишь обращаю внимание на недостатки существующей системы.
> 
> Принципиальных проблем я тут не вижу, но, может просто не знаю -  могут 
> ли два различных лица со своими ключами иметь право подписывать 
> региональные сертификаты?
> 
> Опять же, сертификаты x509 постепенно уходят в прошлое, но уходить будут 
> ещё долго и аутентификация центров и пользователей в каком-бы то ни было 
> виде будет и создавать соответствующий центр всё равно придётся.
> 
> 
> 
> 
> Best Regards,
> Andrey Zarochentsev
> ---------------------------------------
> Всего доброго,
> С уважением,
> Андрей Зароченцев.
> 
> 

-- 
С уважением,
	Андрей Кирьянов.