Управление сертификатами
Сканер-ВС для своего функционирования использует сертификаты. Во время установки заводские сертификаты распаковываются
в папку /var/lib/echelon/komrad/certs. В данной папке должны находиться следующие файлы:
ca-key.pem– закрытый ключ RSA корневого сертификатаca.pem– корневой сертификатclient-key.pem– закрытый ключ RSA сертификата клиентаclient.pem– сертификат клиентаserver-key.pem– закрытый ключ RSA сертификата сервераserver.pem– сертификат сервера
Генерация пользовательских сертификатов
В Сканер-ВС предусмотрена возможность использования пользовательских сертификатов. Для генерации пользовательских
сертификатов необходимо создать конфигурационные файлы для них. В процессе установки Сканер-ВС примеры конфигурационных
файлов для сертификатов распаковываются в папку /usr/share/scanner/certconf.
В конфигурационных файлах необходимо указать соответствующие типу сертификата секции расширений и указать имя данной
секции в поле x509_extensions, заполнить секцию dn конфигурационного файла данными эксплуатирующей организации.
А также указать IP- или DNS-адрес в поле subjectAltName секций v3_ca и alt_names.
После создания конфигурационных файлов необходимо сгенерировать сертификаты. Генерация пользовательских сертификатов происходит следующим образом:
-
сгенерировать закрытый ключ с помощью команды:
openssl genrsa -out ca-key.pem 2048 -
сгенерировать сертификат для со�зданного на предыдущем шаге закрытого ключа, использую следующую команду:
openssl req -new -x509 -days 365 -config ca.conf -key ca-key.pem -out ca.pem -
сгенерировать закрытый ключ и сертификат клиента:
openssl genrsa -out client-key.pem 2048openssl req -new -key client-key.pem -config client.conf -out client.csropenssl x509 -CAcreateserial -req -days 365 -CA ca.pem -CAkey ca-key.pem -extfile /usr/share/scanner/certconf/client.conf -extensions v3_ca -in client.csr -out client.pem -
сгенерировать закрытый ключ и сертификат сервера:
openssl genrsa -out server-key.pem 2048openssl req -new -key server-key.pem -config /usr/share/scanner/certconf/server.conf -out server.csropenssl x509 -req -days 365 -CA ca.pem -CAkey ca-key.pem -extfile /usr/share/scanner/certconf/server.conf -extensions v3_ca -in server.csr -out server.pem
Для генерации ключей и сертификатов лучше использовать длину последовательности в 4096 бит, тогда команда генерации закрытого ключа будет выглядеть слекдующим образом (на примере корневого сертификата):
openssl genrsa -out ca-key.pem 4096
При первом подписывании �сертификата с помощью команды openssl x509 -CAcreateserial -req -days 365 -CA ca.pem -CAkey ca-key.pem -extfile /usr/share/scanner/certconf/client.conf -extensions v3_ca -in client.csr -out client.pem необходимо использовать ключ -CAcreateserial
-
привести конфигурационные файлы, расположенные в папке
/etc/echelon/scanner, а также конфигурационный файл/opt/echelon/pauth/config.yamlв соответствие новым созданным сертификатам (указать имена и расположение сертификатов) -
перезагрузить сервисы Сканер-ВС, используя команды:
systemctl restart pauth-serversystemctl restart scanner