Перейти к основному содержимому

Управление сертификатами

Сканер-ВС для своего функционирования использует сертификаты. Во время установки заводские сертификаты распаковываются в папку /var/lib/echelon/komrad/certs. В данной папке должны находиться следующие файлы:

  • ca-key.pem – закрытый ключ RSA корневого сертификата
  • ca.pem – корневой сертификат
  • client-key.pem – закрытый ключ RSA сертификата клиента
  • client.pem – сертификат клиента
  • server-key.pem – закрытый ключ RSA сертификата сервера
  • server.pem – сертификат сервера

Генерация пользовательских сертификатов

В Сканер-ВС предусмотрена возможность использования пользовательских сертификатов. Для генерации пользовательских сертификатов необходимо создать конфигурационные файлы для них. В процессе установки Сканер-ВС примеры конфигурационных файлов для сертификатов распаковываются в папку /usr/share/scanner/certconf.

В конфигурационных файлах необходимо указать соответствующие типу сертификата секции расширений и указать имя данной секции в поле x509_extensions, заполнить секцию dn конфигурационного файла данными эксплуатирующей организации. А также указать IP- или DNS-адрес в поле subjectAltName секций v3_ca и alt_names.

После создания конфигурационных файлов необходимо сгенерировать сертификаты. Генерация пользовательских сертификатов происходит следующим образом:

  • сгенерировать закрытый ключ с помощью команды:

    openssl genrsa -out ca-key.pem 2048

  • сгенерировать сертификат для созданного на предыдущем шаге закрытого ключа, использую следующую команду:

    openssl req -new -x509 -days 365 -config ca.conf -key ca-key.pem -out ca.pem

  • сгенерировать закрытый ключ и сертификат клиента:

    openssl genrsa -out client-key.pem 2048
    openssl req -new -x509 -days 365 -config client.conf -key client-key.pem -out client.pem

  • сгенерировать закрытый ключ и сертификат сервера:

    openssl genrsa -out server-key.pem 2048
    openssl req -new -x509 -days 365 -config server.conf -key server-key.pem -out server.pem

  • привести конфигурационные файлы, расположенные в папке /etc/echelon/scanner, а также конфигурационный файл /opt/echelon/pauth/config.yaml в соответствие новым созданным сертификатам (указать имена и расположение сертификатов)

  • перезагрузить сервисы Сканер-ВС, используя команды:

    systemctl restart pauth-server
    systemctl restart scanner
Последнее обновление