SHA-2 Compliant Campaign

Problema

Dal 1 Ottobre 2013, le CA inizieranno a rilasciare certificati SHA-2 di default. Occorre quindi gestire una fase di transizione in cui ci saranno utenti e servizi con certificati SHA-1 (in scadenza) e nuovi certificati in SHA-2. AGGIORNAMENTO 30 Settembe 2013: č stata fatta richiesta di posticipare l'inizio del rilascio di certificati SHA-2 al 1 Dicembre 2013 a causa dei problemi riscontrati in alcuni servizi, risolti comunque con l'aggiornamento di Settembre

Al fine di monitorare lo stato dei servizi presenti nell'infrastruttura, sono stati sviluppati dei test ad-hoc descritti QUI.

SHA-2 support middleware baseline

L'elenco dei servizi Grid compliant con SHA-2 č disponibile al seguente LINK

Elenco servizi CORE da aggiornare

Da un prima ricognizione, risultano da aggiornare i seguenti servizi CORE.

VOMS

HOSTNAME SERVICE TEST LINK STATO
voms-01.pd.infn.it eu.egi.sec.VOMS-SHA-2 disattivati AGGIORNAMENTO COMPLETATO
voms-02.pd.infn.it eu.egi.sec.VOMS-SHA-2 disattivati AGGIORNAMENTO COMPLETATO
voms.consorzio-cometa.it eu.egi.sec.VOMS-SHA-2 disattivati AGGIORNAMENTO COMPLETATO
voms.ct.infn.it eu.egi.sec.VOMS-SHA-2 disattivati AGGIORNAMENTO COMPLETATO
voms.research-infrastructures.eu eu.egi.sec.VOMS-SHA-2 disattivati AGGIORNAMENTO COMPLETATO
vomsIGI-NA.unina.it eu.egi.sec.VOMS-SHA-2 disattivati AGGIORNAMENTO COMPLETATO
vomsmania.cnaf.infn.it eu.egi.sec.VOMS-SHA-2 disattivati AGGIORNAMENTO COMPLETATO

WMS

HOSTNAME SERVICE TEST LINK STATO
eu-india-02.pd.infn.it eu.egi.sec.WMS-SHA-2 LINK AGGIORNAMENTO COMPLETATO
wms-4.dir.garr.it eu.egi.sec.WMS-SHA-2 LINK AGGIORNAMENTO COMPLETATO
wms-enmr.cerm.unifi.it eu.egi.sec.WMS-SHA-2 LINK AGGIORNAMENTO COMPLETATO
wmsdecide.dir.garr.it eu.egi.sec.WMS-SHA-2 LINK AGGIORNAMENTO COMPLETATO

Elenco servizi SITE da aggiornare

Da una prima ricognizione, risultano da aggiornare i seguenti servizi SITE (attenzione: lasciare in sospeso l'aggiornamento di STORM).

CREAM

HOSTNAME SERVICE TEST LINK STATO
arcserv.ira.inaf.it eu.egi.sec.CREAMCE-SHA-2 LINK Aggiornato (2013-07-29)
argoce01.na.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK sito sospeso il 22 luglio, certificato il 16 Settembre
atlasce02.scope.unina.it eu.egi.sec.CREAMCE-SHA-2 LINK Aggiornato (2013-07-29)
atlasce2.lnf.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK Aggiornato (2013-07-22)
ce-02.roma3.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK Aggiornato (2013-08-22)
ce-1.le.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK AGGIORNATO (2013-08-01)
ce.scope.unina.it eu.egi.sec.CREAMCE-SHA-2 LINK Aggiornato (2013-07-22)
ce01.oats.inaf.it eu.egi.sec.CREAMCE-SHA-2 LINK FATTO (2013-07-22)
cmsrm-cream01.roma1.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK FATTO (2013-07-22)
cream-ce.research-infrastructures.eu eu.egi.sec.CREAMCE-SHA-2 LINK AGGIORNATO (2013-07-31)
creamce01.ge.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK AGGIORNATO (2013-08-01)
egice.polito.it eu.egi.sec.CREAMCE-SHA-2 LINK sospeso il 23 Settembre 2013 per chiusura attivitā
grid-ce.pv.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK AGGIORNATO (2013-08-21)
gridsrv2-4.dir.garr.it eu.egi.sec.CREAMCE-SHA-2 LINK AGGIORNATO (2013-08-22)
gridvm03.roma2.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK FATTO (2013-23-16)
grisuce.scope.unina.it eu.egi.sec.CREAMCE-SHA-2 LINK FATTO (2013-07-22)
recasna-ce01.unina.it eu.egi.sec.CREAMCE-SHA-2 LINK FATTO
t2-ce-05.mi.infn.it eu.egi.sec.CREAMCE-SHA-2 LINK AGGIORNATO (2013-08-08)

STORM

NB: storm č compliant a SHA-2 dalla versione 1.11.2 rilasciata in EMI-3 il 5 Settembre 2013 . Di seguito č riportata la situazione anche per questo servizio: lo stato dei test (eu.egi.sec.StoRM-SHA-2) per le macchine non ancora compatibili con SHA-2 per il momento č WARNING, ma nelle prossime settimane verrā riattivato lo stato CRITICAL

AGGIORNAMENTO 16 Ottobre: č stato riattivato lo stato CRITICAL. Entro il 30 Novembre tutti gli storage element dovranno essere aggiornati

HOSTNAME SITO VERSIONE Nagios Probe TICKET STATO
bostorm.bo.infn.it INFN-BOLOGNA 1.11.2 eu.egi.sec.StoRM-SHA-2 - FATTO (2013-10-16)
egridglitese.crs4.it CRS4 1.11.2 eu.egi.sec.StoRM-SHA-2 - FATTO (2013-10-16)
grid-se2.pr.infn.it INFN-PARMA 1.11.2 eu.egi.sec.StoRM-SHA-2 15916 FATTO (2013-10-24)
grid2.fe.infn.it INFN-FERRARA 1.11.2 eu.egi.sec.StoRM-SHA-2 15899 FATTO (2013-10-21)
grid2.ira.inaf.it AREA-BO 1.11.2 eu.egi.sec.StoRM-SHA-2 15896 FATTO (2013-10-22)
gridsrm.pi.infn.it INFN-PISA 1.10.0 eu.egi.sec.StoRM-SHA-2 15909 DA AGGIORNARE (2013-10-16)
gridsrm.ts.infn.it INFN-TRIESTE 1.11.2 eu.egi.sec.StoRM-SHA-2 15904 FATTO (2013-10-21)
gridvm01.roma2.infn.it INFN-ROMA2 1.10.0 eu.egi.sec.StoRM-SHA-2 15903 DA AGGIORNARE (2013-10-16)
linucs-se-01.cs.infn.it INFN-COSENZA 1.11.2 eu.egi.sec.StoRM-SHA-2 15898 FATTO (2013-10-21)
pamelase01.na.infn.it INFN-NAPOLI-PAMELA 1.10.0 eu.egi.sec.StoRM-SHA-2 15901 DA AGGIORNARE (2013-10-16)
prod-se-01.ct.infn.it INFN-CATANIA 1.11.2 eu.egi.sec.StoRM-SHA-2 15913 FATTO (2013-10-22)
se-1.le.infn.it INFN-LECCE 1.10.0 eu.egi.sec.StoRM-SHA-2 15914 DA AGGIORNARE (2013-10-18)
se-srm-00.to.infn.it INFN-TORINO 1.11.2 eu.egi.sec.StoRM-SHA-2 15905 FATTO (2013-10-25)
se.grid.unipg.it UNI-PERUGIA 1.10.0 eu.egi.sec.StoRM-SHA-2 15920 DA AGGIORNARE (2013-10-18)
se01-lhcb-t2.cr.cnaf.infn.it INFN-CNAF-LHCB 1.11.2 eu.egi.sec.StoRM-SHA-2 15912 FATTO (2013-10-25)
se01.oats.inaf.it INAF-TS 1.11.2 eu.egi.sec.StoRM-SHA-2 15911 FATTO (2013-10-22)
storm-01.roma3.infn.it INFN-ROMA3 1.11.2 eu.egi.sec.StoRM-SHA-2 15902 FATTO (2013-10-24)
storm-fe-archive.cr.cnaf.infn.it INFN-T1 1.10.0 eu.egi.sec.StoRM-SHA-2 15906 aggiornamento a partire dal 21 ottobre
storm-fe-superb.cr.cnaf.infn.it INFN-T1 1.11.2 eu.egi.sec.StoRM-SHA-2 15907 FATTO (2013-10-24)
storm.mib.infn.it INFN-MIB 1.10.0 eu.egi.sec.StoRM-SHA-2 15900 aggiornamento entro fine novembre
stormfe1.pi.infn.it INFN-PISA 1.10.0 eu.egi.sec.StoRM-SHA-2 15908 DA AGGIORNARE (2013-10-16)

DCACHE

Le prime versioni compatibili con i certificati SHA-2 sono:
  • in EMI2: 2.2.17
  • in EMI3/UMD3: 2.6.5
AGGIORNAMENTO 28 Ottobre: la versione 2.2.17 di dCache non supporta xrootd-backport, che č richiesto da almeno CMS come requisito per un sito che ha dcache 2.2. Il motivo č un conflitto tra jglobus2 and xrootd-backport, e da quanto riferito dagli sviluppatori, questo problema č risolto solamente in EMI-3 con la versione 2.6.x

HOSTNAME SITO VERSIONE Nagios Probe TICKET STATO
cmsrm-se01.roma1.infn.it INFN-ROMA1-CMS 2.2.17 eu.egi.sec.dCache-SHA-2 15917 FATTO (2013-10-24)
gridse.pg.infn.it INFN-PERUGIA 1.9.12-22 eu.egi.sec.dCache-SHA-2 15925 DA AGGIORNARE (2013-10-21)
t2-srm-02.lnl.infn.it INFN-LNL-2 2.2.10 eu.egi.sec.dCache-SHA-2 15915 aggiornamento entro novembre

Stato dei ticket (CREAM, WMS, VOMS)

SITO SERVIZIO TICKET STATO NOTESorted ascending
ISMB CREAM 15581 SOLVED sito dismesso
GRISU-COMETA-INFN-CT VOMS 15571 CLOSED sito sospeso il 22 luglio
AREA-BO CREAM 15565 SOLVED
CIRMMP WMS 15610 SOLVED
CNR-PROD-PISA CREAM 15567 SOLVED
GARR-01-DIR CREAM 15568 SOLVED
GILDA-INFN-CATANIA VOMS 15570 SOLVED
GRISU-UNINA CREAM 15572 SOLVED
INAF-TS CREAM 15573 SOLVED
INFN-FRASCATI CREAM 15574 SOLVED
INFN-GENOVA CREAM 15575 SOLVED
INFN-LECCE CREAM 15576 SOLVED
INFN-MILANO-ATLASC CREAM 15577 SOLVED
INFN-PAVIA CREAM 15579 SOLVED
INFN-ROMA1-CMS CREAM 15580 SOLVED
INFN-ROMA2 CREAM 15583 SOLVED
INFN-ROMA3 CREAM 15582 SOLVED

-- PaoloVeronesi - 2013-07-16

This topic: SiteAdminCorner > WebHome > SHA-2CompliantCampaign
Topic revision: r31 - 2013-10-28 - AlessandroPaolini
 
This site is powered by the TWiki collaboration platformCopyright © 2008-2023 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback