Перейти к основному содержимому
Версия: Indeed Certificate Manager 7.1

Сервисные сертификаты

Cоздайте и выпустите SSL/TLS-сертификаты для настройки защищенного соединения с сервисами Indeed CM:

Серверный сертификат

Cоздайте и выпустите SSL/TLS-сертификат для настройки защищенного соединения с веб-сайтом, где расположен Indeed CM. Используйте тот же сертификат в качестве сертификата подписи для настройки OpenID Connect.

Требования к сертификату

  • Субъект (Subject) сертификата должен содержать FQDN сервера Indeed CM.
  • Дополнительное имя субъекта (Subject Alternative Name) сертификата должно содержать атрибут DNS-имя (DNS Name) (FQDN сервера Indeed CM), например, server.demo.local, или соответствующую запись с подстановочными знаками, например *.demo.local (Wildcard certificate).
  • Улучшенный ключ (Enhanced Key Usage) сертификата серверной аутентификации должен содержать значение «Проверка подлинности сервера» (Server Authentication).

Создание шаблона сертификата

Подготовьте шаблон сертификата. В инструкции описана настройка шаблона сертификата в УЦ Microsoft CA.

  1. В оснастке управления УЦ certsrv правой кнопкой мыши нажмите на Шаблоны сертификатов (Certificate Templates) и выберите Управление (Manage).
  2. Скопируйте предустановленный шаблон Веб-сервер (Web Server) – правой кнопкой мыши нажмите на название шаблона и выберите Скопировать шаблон (Duplicate Template). Откроется окно свойств нового шаблона.
  3. На вкладке Общие (General) укажите имя шаблона сертификата. При необходимости укажите период действия сертификата и период обновления.
  4. На вкладке Обработка запроса (Request Handling) включите опцию Разрешить экспортировать закрытый ключ (Allow private key to be exported).
  5. На вкладке Шифрование (Cryptography) измените минимальный размер ключа при необходимости.
  6. На вкладке Безопасность (Security) укажите имя сервера для запроса сертификата:
    1. Нажмите Добавить (Add)→Типы объектов (Object Types), включите опцию Компьютеры (Computers) и нажмите ОК.
    2. Введите имя сервера, где расположен Indeed CM, и нажмите ОК.
  7. В списке разрешений напротив опции Заявка (Enroll) включите Разрешить (Allow), чтобы разрешить запрос сертификата.
  8. Нажмите Применить (Apply) и ОК.
  9. Опубликуйте созданный шаблон сертификата:
    1. Перейдите в оснастку управления УЦ certsrv.
    2. Правой кнопкой мыши нажмите на Шаблоны сертификатов (Certificate Templates) и выберите Создать (New)→Выдаваемый шаблон сертификата (Certificate Template to Issue).
    3. В окне Включение шаблонов сертификатов (Enable Certificate Templates) выберите созданный шаблон. Шаблон опубликуется в УЦ.
  10. Закройте certsrv.

Выпуск сертификата

Выпустите TLS-сертификат на имя рабочей станции, где будет установлен веб-сервер. Сертификат можно выпустить:

  • в УЦ;
  • с помощью самоподписанного сертификата.

В инструкции описан процесс выпуска сертификата в УЦ Microsoft CA.

  1. Откройте оснастку certs и перейдите в раздел хранилища локального компьютера Сертификаты (локальный компьютер) (Certificates (Local Computer)).
  2. Правой кнопкой мыши нажмите Личное (Personal).
  3. Выберите Все задачи (All Tasks)→Запросить новый сертификат (Request New Certificate).
  4. В окне Регистрация сертификатов (Certificate Enrollment) два раза нажмите Далее (Next) и активируйте чекбокс с названием шаблона сертификата.
  5. Нажмите на ссылку Требуется больше данных для подачи заявки на этот сертификат. Щелкните здесь для настройки параметров (More information is required to enroll for this certificate. Click here to configure settings), чтобы указать дополнительную информацию для запроса сертификата. Откроется окно свойств сертификата.
  6. На вкладке Субъект (Subject):
    1. В поле Имя субъекта (Subject name) в выпадающем списке Тип (Type) выберите Общее имя (Common name).
    2. Введите FQDN сервера Indeed CM и нажмите Добавить (Add).
    3. В поле Дополнительное имя (Alternative name) в выпадающем списке Тип (Type) выберите DNS.
    4. Введите FQDN сервера Indeed CM и нажмите Добавить (Add).
    5. При необходимости создайте маску имени домена для Wildcard сертификатов, которые предъявляют серверы с различными именами. В поле Дополнительное имя (Alternative name) в выпадающем списке Тип (Type) выберите DNS и введите имя домена, например, *.demo.local. Нажмите Добавить (Add).
  7. Нажмите OK.
  8. Перейдите на вкладку Закрытый ключ (Private Key)→Параметры ключа (Key Options) и убедитесь, что опция Сделать закрытый ключ экспортируемым (Make private key exportable) включена. Нажмите OK.
  9. Нажмите Заявка (Enroll).

Сертификат выпущен и установлен в хранилище локального компьютера (Сертификаты (Certificates)→Личное (Personal)→Сертификаты (Certificates)) с назначением «Проверка подлинности сервера» (Server Authentication).

Установка сертификата на ОС Linux

Чтобы перенести и установить сертификат на рабочие станции под управлением ОС Linux, экспортируйте сертификат и разделите его на файл сертификата и файл закрытого ключа:

  1. Выпустите сертификат в УЦ по инструкции выше.

  2. Правой кнопкой мыши нажмите на сертификат и выберите Все задачи (All Tasks)→Экспорт (Export). Откроется мастер экспорта сертификатов.

  3. Нажмите Далее (Next), выберите Да, экспортировать закрытый ключ (Yes, export the private key) и два раза нажмите Далее (Next).

  4. Установите пароль – включите опцию Пароль (Password), введите и подтвердите пароль. Нажмите Далее (Next).

  5. Выберите папку для экспорта сертификата.

  6. Нажмите Готово (Finish).

  7. Разделите файл PFX на файл сертификата и файл закрытого ключа. Вместо PFXFILE подставьте имя импортированного файла.

    предупреждение

    При выполнении команд утилита openssl предлагает установить пароль для файла закрытого ключа. Оставьте файл без пароля: два раза нажмите Enter.

    openssl pkcs12 -in PFXFILE.pfx -nokeys | sed -ne '/-BEGIN CERTIFICATE/,/END CERTIFICATE/p' > SSL.crt
    openssl pkcs12 -in PFXFILE.pfx -cacerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > root-ca.crt
    openssl pkcs12 -in PFXFILE.pfx -nocerts -out SSLencrypted.key
    openssl rsa -in SSLencrypted.key -out SSL.key
    rm SSLencrypted.key

    Файл SSL.crt должен содержать следующее:

    -----BEGIN CERTIFICATE-----
    #Ваш сертификат#
    -----END CERTIFICATE-----

Клиентский сертификат

Сервер Indeed CM может выступать в качестве клиента для дополнительных сервисов Indeed CM Event Log Proxy и Indeed AirCard Enterprise.

В этом случае сервер Indeed CM должен иметь сертификат клиентской аутентификации, чтобы получить доступ к сервисам.

Требования к сертификату

  • Субъект (Subject) сертификата должен содержать FQDN сервера Indeed CM;
  • Улучшенный ключ (Enhanced Key Usage) сертификата должен содержать значение «Проверка подлинности клиента» (Client Authentication).

Создание шаблона сертификата

Подготовьте шаблон сертификата. В инструкции описана настройка шаблона сертификата в УЦ Microsoft CA.

  1. В оснастке управления УЦ certsrv правой кнопкой мыши нажмите на Шаблоны сертификатов (Certificate Templates) и выберите Управление (Manage).
  2. Скопируйте предустановленный шаблон Проверка подлинности рабочей станции (Workstation Authentication) – правой кнопкой мыши нажмите на название шаблона и выберите Скопировать шаблон (Duplicate Template). Откроется окно свойств нового шаблона.
  3. На вкладке Общие (General) укажите имя шаблона сертификата. При необходимости укажите период действия сертификата и период обновления.
  4. На вкладке Обработка запроса (Request Handling) включите опцию Разрешить экспортировать закрытый ключ (Allow private key to be exported).
  5. На вкладке Шифрование (Cryptography) измените минимальный размер ключа при необходимости.
  6. На вкладке Безопасность (Security) укажите имя сервера для запроса сертификата:
    1. Нажмите Добавить (Add)→Типы объектов (Object Types), включите опцию Компьютеры (Computers) и нажмите ОК.
    2. Введите имя сервера, где будет расположен Indeed CM, и нажмите ОК.
  7. В списке разрешений напротив опции Заявка (Enroll) включите Разрешить (Allow), чтобы разрешить запрос сертификата.
  8. Нажмите Применить (Apply) и ОК.
  9. Опубликуйте созданный шаблон сертификата:
    1. Перейдите в оснастку управления УЦ certsrv.
    2. Правой кнопкой мыши нажмите на Шаблоны сертификатов (Certificate Templates) и выберите Создать (New)→Выдаваемый шаблон сертификата (Certificate Template to Issue).
    3. В окне Включение шаблонов сертификатов (Enable Certificate Templates) выберите созданный шаблон. Шаблон опубликуется в УЦ.
  10. Закройте certsrv.

Выпуск сертификата

Выпустите TLS-сертификат на имя сервера Indeed CM.

  • в УЦ;
  • с помощью самоподписанного сертификата.

В инструкции описан процесс выпуска сертификата в УЦ Microsoft CA.

  1. Откройте оснастку certs и перейдите в раздел хранилища локального компьютера Сертификаты (локальный компьютер) (Certificates (Local Computer)).
  2. Правой кнопкой мыши нажмите Личное (Personal).
  3. Выберите Все задачи (All Tasks)→Запросить новый сертификат (Request New Certificate).
  4. В окне Регистрация сертификатов (Certificate Enrollment) два раза нажмите Далее (Next) и активируйте чекбокс с названием шаблона сертификата.
  5. Нажмите на ссылку Требуется больше данных для подачи заявки на этот сертификат. Щелкните здесь для настройки параметров (More information is required to enroll for this certificate. Click here to configure settings), чтобы указать дополнительную информацию для запроса сертификата. Откроется окно свойств сертификата.
  6. На вкладке Субъект (Subject):
    1. В поле Имя субъекта (Subject name) в выпадающем списке Тип (Type) выберите Общее имя (Common name).
    2. Введите FQDN сервера Indeed CM и нажмите Добавить (Add).
    3. В поле Дополнительное имя (Alternative name) в выпадающем списке Тип (Type) выберите DNS.
    4. Введите FQDN сервера Indeed CM и нажмите Добавить (Add).
    5. При необходимости создайте маску имени домена для Wildcard сертификатов, которые предъявляют серверы с различными именами. В поле Дополнительное имя (Alternative name) в выпадающем списке Тип (Type) выберите DNS и введите имя домена, например, *.demo.local. Нажмите Добавить (Add).
  7. Нажмите OK.
  8. Перейдите на вкладку Закрытый ключ (Private Key)→Параметры ключа (Key Options) и убедитесь, что включена опция Сделать закрытый ключ экспортируемым (Make private key exportable). Нажмите OK.
  9. Нажмите Заявка (Enroll).

Сертификат выпущен и установлен в хранилище локального компьютера (Сертификаты (Certificates)→Личное (Personal)→Сертификаты (Certificates)) с назначением «Проверка подлинности рабочей станции» (Client Authentication).

Установка сертификата на ОС Linux

Чтобы перенести и установить сертификат на рабочие станции под управлением ОС Linux, экспортируйте сертификат и разделите его на файл сертификата и файл закрытого ключа:

  1. Выпустите сертификат в УЦ по инструкции выше.

  2. Правой кнопкой мыши нажмите на сертификат и выберите Все задачи (All Tasks)→Экспорт (Export). Откроется мастер экспорта сертификатов.

  3. Нажмите Далее (Next), выберите Да, экспортировать закрытый ключ (Yes, export the private key) и два раза нажмите Далее (Next).

  4. Установите пароль – включите опцию Пароль (Password), введите и подтвердите пароль. Нажмите Далее (Next).

  5. Выберите папку для экспорта сертификата.

  6. Нажмите Готово (Finish).

  7. Разделите файл PFX на файл сертификата и файл закрытого ключа. Вместо PFXFILE подставьте имя импортированного файла.

    предупреждение

    При выполнении команд утилита openssl предлагает установить пароль для файла закрытого ключа. Оставьте файл без пароля: два раза нажмите Enter.

    openssl pkcs12 -in PFXFILE.pfx -nokeys | sed -ne '/-BEGIN CERTIFICATE/,/END CERTIFICATE/p' > client.crt
    openssl pkcs12 -in PFXFILE.pfx -cacerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > root-ca.crt
    openssl pkcs12 -in PFXFILE.pfx -nocerts -out clientencrypted.key
    openssl rsa -in clientencrypted.key -out client.key
    rm clientencrypted.key

    Файл client.crt должен содержать следующее:

    -----BEGIN CERTIFICATE-----
    #Ваш сертификат#
    -----END CERTIFICATE-----