Aladdin Enterprise CA

Чтобы настроить работу Indeed CM с Aladdin Enterprise CA (Aladdin eCA):

1. Создайте сервисную учетную запись.
2. Выпустите сертификат клиентской аутентификации.
3. Создайте шаблоны сертификатов пользователей.
4. Настройте подключение к Aladdin eCA в Консоли управления Indeed CM.

Создание сервисной учетной записи

Создайте сервисную учетную запись, от имени которой Indeed CM будет запрашивать сертификаты пользователей в Aladdin eCA:

1. Откройте веб-интерфейс Центра сертификации Aladdin eCA.
2. Перейдите в раздел Учетные записи.
3. Нажмите Создать.
4. Выберите роль Администратора.
5. Укажите значения в поле Отображаемое имя и Логин.
6. Нажмите Создать.

Выпуск сертификата клиентской аутентификации

Чтобы выпустить сертификат клиентской аутентификации для сервисной учетной записи:

1. Создайте шаблон сертификата.
2. Получите сертификат.
3. Установите сертификат в хранилище корневых сертификатов компьютера.

Создание шаблона

1. В веб-интерфейсе Aladdin eCA перейдите в раздел Шаблоны.

2. Создайте шаблон сертификата для Indeed CM на основе шаблона ECA-User: клонируйте шаблон и укажите имя нового шаблона. Откроется окно свойств шаблона.

3. При необходимости укажите Период действия сертификата.

4. Выберите Центр сертификации.

5. В выпадающем списке Тип субъекта выберите Пользователь.

6. В разделе Шифрование выключите опцию ECDSA. Indeed CM не поддерживает работу с сертификатами на основе алгоритма ECDSA.

   Алгоритм шифрования для формирования сертификата

   Чтобы формировать сертификат с использованием ГОСТ-шифрования, включите только опцию ГОСТ. Если включены оба варианта – ГОСТ и RSA, то используется алгоритм RSA.

7. На вкладках Расширения и Компоненты имени сертификата оставьте параметры по умолчанию.

8. Нажмите Сохранить.

Получение

1. Перейдите в раздел Учетные записи.
2. В строке с созданной сервисной учетной записью нажмите Создать сертификат и выберите опцию С закрытым ключом (PKCS#12).
3. Выберите шаблон, созданный на предыдущем этапе, и нажмите Продолжить.
4. При необходимости измените данные сервисной учетной записи и нажмите Продолжить.
5. Создайте пароль для защиты ключевого контейнера PKCS#12.
6. Выберите алгоритм ключа и длину ключа или оставьте параметры по умолчанию.
7. Нажмите Создать сертификат.
8. Нажмите Скачать.

Файл сертификата скачивается в формате P12.

Установка в личное хранилище компьютера

Выберите инструкцию в зависимости от ОС рабочей станции, где устанавливается сертификат.

ОС Windows

1. Добавьте выпущенный сертификат в Локальное хранилище компьютера (Local Computer) на сервере Indeed CM.
2. Добавьте корневой сертификат Aladdin eCA в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере Indeed CM.
3. Выдайте системе права на чтение закрытого ключа сертификата:
   1. Перейдите в оснастку Сертификаты (Certificates).
   2. Правой кнопкой мыши нажмите на сертификат, выберите Все задачи (All tasks) →Управление закрытыми ключами... (Manage Private Keys...).
   3. Нажмите Добавить (Add).
   4. в меню Размещение (Location) укажите сервер.
   5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS, нажмите Проверить имена (Check Names) и ОК.
   6. Выставите права Полный доступ (Full Control) и Чтение (Read).
   7. Нажмите Применить (Apply).

ОС Linux

1. Выполните вход в систему с учетной записью, от имени которой будет запускаться Indeed CM. По умолчанию это пользователь www-data.

   1. Проверьте наличие пользователя www-data:

      cat /etc/passwd | grep www-data
      Пример вывода, если пользователь www-data существует

      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

   2. Если пользователя www-data не существует, создайте его:

      sudo useradd -m -d /var/www -s /usr/sbin/nologin www-data

   3. Выполните вход от имени пользователя www-data:

      sudo su -s /bin/sh www-data

2. Конвертируйте формат файла сертификата, полученного в УЦ, с P12 на PFX. Вместо FILE подставьте имя файла сертификата.

   sudo mv FILE.p12 FILE.pfx

3. Разделите файл PFX на файл сертификата и файл закрытого ключа с помощью утилиты openssl.

   caution

   При выполнении команд утилита openssl предлагает установить пароль для файла закрытого ключа (KEY). Оставьте файл без пароля: два раза нажмите Enter.

   openssl pkcs12 -in FILE.pfx -nokeys | sed -ne '/-BEGIN CERTIFICATE/,/END CERTIFICATE/p' > client.crt
   openssl pkcs12 -in FILE.pfx -cacerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > root-ca.crt
   openssl pkcs12 -in FILE.pfx -nocerts -out clientencrypted.key
   openssl rsa -in clientencrypted.key -out client.key
   rm clientencrypted.key

   Файл сертификата client.crt должен содержать следующее:

   -----BEGIN CERTIFICATE-----
   #Ваш сертификат#
   -----END CERTIFICATE-----

4. Создайте поддиректорию домашнего каталога пользователя www-data:

   sudo mkdir -p /var/www/.dotnet/corefx/cryptography/x509stores/my/

5. Объедините файл сертификата и файл ключа в файл PFX. Поместите файл PFX в поддиректорию домашнего каталога пользователя.

   caution

   При выполнении команды утилита openssl предлагает установить пароль для файла PFX. Оставьте файл без пароля: два раза нажмите Enter.

   sudo openssl pkcs12 -export -out /var/www/.dotnet/corefx/cryptography/x509stores/my/FILE.pfx -inkey client.key -in client.crt

6. Настройте право доступа 600 к файлу PFX:

   sudo chmod 600 ~/.dotnet/corefx/cryptography/x509stores/my/FILE.pfx

7. Добавьте корневой сертификат УЦ в список доверенных корневых сертификатов:

   RHEL-based

   1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /etc/pki/ca-trust/source/anchors/
   2. Обновите хранилище доверенных корневых сертификатов:

      sudo update-ca-trust extract
   3. Перезапустите систему:

      sudo reboot

   Debian-based

   1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:

      sudo cp <путь к файлу CRT> /usr/share/ca-certificates/
   2. Перенастройте список доверенных корневых сертификатов:

      sudo dpkg-reconfigure ca-certificates
   3. Перезапустите систему:

      sudo reboot

Создание шаблонов сертификатов пользователей

1. В веб-интерфейсе Aladdin eCA перейдите в раздел Шаблоны.

2. Клонируйте нужный шаблон и укажите имя нового шаблона. Откроется окно свойств шаблона.

3. При необходимости укажите Период действия сертификата.

4. Выберите Центр сертификации.

5. В выпадающем списке Тип субъекта выберите Пользователь.

6. В разделе Шифрование выключите опцию ECDSA. Indeed CM не поддерживает работу с сертификатами на основе алгоритма ECDSA.

7. На вкладке Расширения укажите необходимые параметры.

8. На вкладке Компоненты имени сертификата выберите атрибуты, из которых формируются отличительное и альтернативное имя субъекта сертификата.

   caution

   Поле Domain qualifier не поддерживается как обязательное в имени субъекта сертификата, выпускаемого через Indeed CM.

9. Нажмите Сохранить.