SafeTech CA
Чтобы настроить работу Indeed CM с SafeTech CA:
- Создайте сервисную учетную запись.
- Настройте шаблоны сертификатов.
- Установите корневой сертификат УЦ на сервер Indeed CM.
- Настройте подключение к SafeTech CA в Консоли управления Indeed CM.
Создание сервисной учетной записи
Чтобы управлять пользователями, клиентами и группами, используйте сервис управления доступом KeyCloak.
Создайте сервисную учетную запись, от имени которой Indeed CM будет запрашивать сертификаты пользователей в SafeTech CA.
- Откройте веб-консоль администратора KeyCloak:
https://<имя сервера УЦ>:8443/. - В основном меню перейдите в раздел Manage realms и выберите Realm (область) из списка. Realm по умолчанию для SafeTech CA –
st-ca. - Используйте клиенты по умолчанию (CA Core и CA Gateway) или создайте новый клиент.
Как создать клиент в KeyCloak
- Перейдите в раздел Clients и нажмите Create client.
- В разделе General settings:
- В выпадающем списке Client type выберите OpenID Connect.
- В поле Client ID введите идентификатор клиента.
- Нажмите Next.
- В разделе Capability config:
- Включите Client Authentication.
- В параметре Authentication flow включите опции Standard flow, Implicit flow, Direct access grants, Service accounts roles.
- Нажмите Next и Save.
- В меню управления клиентом назначьте созданному клиенту роль Администратора или Оператора УЦ:
- Перейдите на вкладку Service accounts roles.
- Нажмите Assign role.
- В фильтре выберите Filter by realm roles.
- Выберите роль CaAdministrator или CaOperator.
- Нажмите Assign.
- Настройте соответствие атрибута
instance_relation, чтобы клиент имел доступ к нужному экземпляру SafeTech CA:- Перейдите на вкладку Client scopes.
- Нажмите Add client scope.
- Выберите scope
<имя_клиента>-dedicated. - Нажмите Add mapper → By configuration → User Attibute.
- Заполните поля:
- Name: укажите произвольное имя маппера
- User Attribute:
instance_relation - Token Claim Name:
instance_relation
- Нажмите Save.
- Создайте сервисную учетную запись и добавьте ее в группу доступа SafeTech CA.
- В разделе Users нажмите Add user.
- Укажите Username.
- В поле Groups нажмите Join Groups.
- Выберите группу access-ST-CA-Root.
- Нажмите Create. Появится меню управления пользователем.
- Перейдите на вкладку Credentials и установите пароль для пользователя.
- Назначьте пользователю роль Администратора или Оператора УЦ:
- Перейдите на вкладку Role mapping и нажмите Assign role.
- В фильтре выберите Filter by realm roles.
- Выберите роль CaAdministrator или CaOperator.
- Нажмите Assign.
Настройка шаблонов сертификатов
Выберите инструкцию в зависимости от используемой версии SafeTech CA.
- 3.1
- 3.2
- Войдите в веб-интерфейс SafeTech CA от имени сервисной учетной записи, выберите нужный УЦ и нажмите Работать с этим УЦ.
- Перейдите в раздел Настройки → Шаблоны и нажмите Добавить шаблон.
- Укажите следующие параметры:
- Наименование шаблона
- Описание шаблона
- Тип протокола – ST_CA
- Максимальный срок действия сертификата в днях
- Минимальная длина ключа
- В разделе Использование ключа:
- Выберите как минимум одну политику использования ключа.
- Включите опцию Использовать значения из шаблона.
- В разделе Роли шаблона для каждой роли задайте права на действия с шаблоном. Администратор по умолчанию обладает всеми правами. Чтобы настроить права для роли Оператора:
- Нажмите Добавить.
- В выпадающем списке выберите Оператор.
- Выдайте необходимые права.
- В разделе Атрибуты сертификата в выпадающем списке выберите Enhanced Key Usage и нажмите Добавить. Значение атрибута оставьте пустым.
- В разделе Расширения использования ключей (EKU):
- Нажмите Добавить расширение.
- Выберите необходимые расширения из списка и нажмите Подтвердить.
- Включите опцию Использовать значения из шаблона.
- Нажмите Создать → Сохранить на сервер.
Опциональные настройки
Следующие настройки являются опциональными и не требуются для интеграции Indeed CM с SafeTech CA:
- Опция Всегда проверять уникальность публичного ключа в разделе Использование ключа
- Настройка обязательных имен субъекта сертификата
- Войдите в веб-интерфейс SafeTech CA от имени сервисной учетной записи, выберите нужный УЦ и нажмите Работать с этим УЦ.
- Перейдите в раздел Настройки → Шаблоны и нажмите Добавить шаблон.
- Укажите следующие параметры:
- Наименование шаблона
- Описание шаблона
- Тип протокола – ST_CA
- Максимальный срок действия сертификата в днях
- Минимальная длина ключа
- В поле Выпуск сертификата в выпадающем списке Сценарий выпуска выберите Стандартный.
- В поле Настройка криптографии включите Требуется настройка и выберите алгоритм шифрования:
- RSA
В поле Алгоритмы подписи выберите SHA256WITHRSA. В поле Длина ключа выберите любое значение. - GOST
В поле Алгоритмы подписи выберите любое значение.
- RSA
- В разделе Использование ключа:
- Выберите как минимум одну политику использования ключа.
- Включите опцию Использовать значения из шаблона.
- В разделе Роли шаблона задайте права на действия с шаблоном. Администратор по умолчанию обладает всеми правами. Чтобы настроить права для роли Оператора:
- Нажмите Добавить.
- В выпадающем списке выберите Оператор.
- Выдайте необходимые права.
- В разделе Атрибуты сертификата в выпадающем списке выберите Enhanced Key Usage и нажмите Добавить. Поле Значение атрибута оставьте пустым.
- В разделе Расширения использования ключей (EKU):
- Нажмите Добавить расширение.
- Выберите необходимые расширения из списка и нажмите Подтвердить.
- Включите опцию Использовать значения из шаблона.
- Нажмите Создать → Сохранить на сервер.
Опциональные настройки
Следующие настройки являются опциональными и не требуются для интеграции Indeed CM с SafeTech CA:
- Опция Всегда проверять уникальность публичного ключа в разделе Использование ключа
- Настройка обязательных альтернативных имен и обязательных имен субъекта сертификата
- Опции Критичный и Включать SID в сертификат в разделе Атрибуты сертификата
Установка корневого сертификата УЦ на сервер Indeed CM
Установите корневой сертификат SafeTech CA на сервер Indeed CM. Выберите инструкцию в зависимости от ОС рабочей станции, где вы планируете установить сервер Indeed CM.
- ОС Windows
- ОС Linux
- Откройте файл корневого сертификата SafeTech CA и нажмите Установить сертификат....
- В мастере импорта сертификатов выберите расположение хранилища Локальный компьютер и нажмите Далее.
- Выберите Поместить все сертификаты в следующее хранилище, нажмите Обзор и выберите Доверенные корневые центры сертификации.
- Нажмите Далее и Готово.
Выполните вход в систему с учетной записью, от имени которой запускается Indeed CM. По умолчанию это пользователь www-data.
Проверьте наличие пользователя www-data.
cat /etc/passwd | grep www-dataПример вывода, если пользователь www-data существуетwww-data:x:33:33:www-data:/var/www:/usr/sbin/nologinЕсли пользователя www-data не существует, создайте его.
sudo useradd -m -d /var/www -s /usr/sbin/nologin www-dataВыполните вход от имени пользователя www-data.
sudo su -s /bin/sh www-data
Если вы используете ГОСТ-экземпляр SafeTech CA, то поместите корневой сертификат в пользовательское хранилище корневых сертификатов КриптоПро CSP.
/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file <путь к файлу CRT>Добавьте корневой сертификат SafeTech CA в список доверенных корневых сертификатов.
- RHEL-based
- Debian-based
- Поместите корневой сертификат в хранилище доверенных корневых сертификатов.
sudo cp <путь к файлу CRT> /etc/pki/ca-trust/source/anchors/ - Обновите хранилище доверенных корневых сертификатов.
sudo update-ca-trust extract - Перезапустите систему.
sudo reboot
- Поместите корневой сертификат в хранилище доверенных корневых сертификатов.
sudo cp <путь к файлу CRT> /usr/share/ca-certificates/ - Перенастройте список доверенных корневых сертификатов.
sudo dpkg-reconfigure ca-certificates - Перезапустите систему.
sudo reboot