Перейти к основному содержимому
Версия: Indeed Access Manager 9.2

Настройка собственного клиентского сертификата

Важно

Для повышения безопасности рекомендуется использовать собственный клиентский сертификат.

Собственный клиентский сертификат не поддерживается в модулях RDP Windows Logon и Windows Logon.

Настройка собственного клиентского сертификата необходима для получения первичных прав администратора.

Чтобы использовать собственный сертификат, выпишите сертификат для аутентификации на Core Server.

  1. Чтобы сгенерировать сертификат, перейдите в каталог am/tools и запустите скрипт tool_gen_client_cert.sh. 

    sudo bash ./tool_gen_client_cert.sh -f mycert

    Важно: После отработки скрипта в терминале отображается пароль от сертификата <certName>.pfx, который необходимо сохранить.

    Результат:

    • am/tools/certName.pfx — сертификат с приватным ключом для аутентификации на Core Server,

    • am/ssl/ca/certName.cer — публичный ключ для доверия certName.pfx,

    • значение отпечатка сертификата автоматически подставляется в конфигурационный файл Core Server am/core/app-settings.json в разделе Authentication:Certificate:Thumbprints.

    Пример раздела Certificate
       “Certificate”: {
       “ForwardingHeader”: “X-IndeedAM-ClientCert”,
       “Thumbprint”: “01de449b6f4b49e00d1a5b20ffb5d6605cf6cd2a”,
       “Thumbprints”: [“7340818CBBBD8D650E3F1D132738296F5E26EC60”]
       }

    Где:

    • Thumbprint — отпечаток встроенного клиентского сертификата,
    • Thumbprints — отпечатки собственных клиентских сертификатов, которым будет доверять Core Server.
    Примечание

    При использовании балансировщика нагрузки:

    • добавьте сертификаты certName.pfx и certName.cer на все сервера в соответствующие директории,
    • добавьте значения отпечатка сертификата в соответствующие файлы на всех серверах.

  1. Создайте каталог am/ssl/client и скопируйте certName.pfx в этот каталог.

  2. Из каталога am/ssl запустите скрипт prepareCaFile.sh для повторной генерации trusted_ca.crt.

    sudo bash ./prepareCaFile.sh

    Результат: создается сертификат am/ssl/ca/trusted_ca.crt, который содержит список всех добавленных в am/ssl/ca публичных сертификатов.

    Примечание

    При изменении состава каталога am/ssl/ca необходимо перезапустить скрипт prepareCaFile.sh.

  3. Сделайте владельцем пользователя Access Manager в Docker-контейнере для обновленного сертификата am/ssl/ca/trusted_ca.crt.

    sudo chown <AM_UID>:<AM_GID> ./ssl/ca/trusted_ca.crt