Сертификаты
Подготовьте сертификаты перед установкой Indeed PAM. У всех сертификатов должен быть один и тот же пароль.
Все сертификаты, кроме сертификата удостоверяющего центра, должны быть в формате .pfx.
Сертификат удостоверяющего центра должен быть в формате .crt.
Требования к сертификатам
- Сертификаты должны быть действующими.
- Минимальная длина RSA-ключа: 2048.
- Заданы настройки:
- Для расширения Enhanced Key Usage (EKU) указано Server Authentication.
Настройка позволяет использовать сертификат для аутентификации сервера. - Для расширения Key Usage указано Digital Signature и Key Encipherment.
Настройка определяет криптографические операции: позволяет ключу создавать цифровые подписи и разрешает шифровать симметричные ключи сессии.
- Для расширения Enhanced Key Usage (EKU) указано Server Authentication.
- В сертификате указаны Common Name (CN) и Subject Alternative Names (SAN).
Поля содержат доменные имена хоста в формате FQDN.
Схема заполнения CN и SAN
При формировании сертификата поля CN и SAN заполняются в зависимости от роли и принадлежности хоста отказоустойчивому кластеру (Keepalived), а также от наличия балансировщика.
| Наличие балансировщика | Хост — балансировщик в кластере Keepalived | Хост совмещает сервер доступа | Конфигурация сертификата |
|---|---|---|---|
| Нет | - | - | Поле Subject:CN — имя хоста Поле SAN: DNS — имя хоста |
| Да | Да | - | Поле Subject:CN — имя хоста Поле SAN: DNS — имя хоста DNS — FQDN PAM |
| Да | Нет | Да | Поле Subject:CN — имя хоста Поле SAN: DNS — имя хоста DNS — FQDN PAM |
| Да | Нет | Нет | Поле Subject:CN — имя хоста Поле SAN: DNS — имя хоста |
Перечень сертификатов
- Инсталляция без балансировки
- Отказоустойчивая инсталляция с HAProxy
- Отказоустойчивая инсталляция со сторонним балансировщиком
Вам понадобятся следующие сертификаты:
- Сертификат удостоверяющего центра без приватного ключа в формате PEM (Base64) с расширением
.crt. - Сертификат на FQDN PAM с приватным ключом в формате
.pfx. - Сертификаты на все серверы доступа RDP, RDS и PostgreSQL с приватным ключом в формате
.pfx. Кроме случая, когда сервер доступа установлен на одном хосте с сервером управления.
Вам понадобятся следующие сертификаты:
- Сертификат удостоверяющего центра без приватного ключа в формате PEM (Base64) с расширением
.crt. - Сертификат на FQDN PAM с приватным ключом в формате
.pfx. - Сертификаты на все серверы управления с приватным ключом в формате
.pfx. - Сертификаты на все серверы доступа RDP, RDS и PostgreSQL с альтернативными именами всех балансировщиков и FQDN PAM с приватным ключом в формате
.pfx. Кроме случая, когда сервер доступа установлен на одном хосте с сервером управления.
Если на одном хосте планируется расположить балансировщик и сервер управления, то потребуется сертификат с альтернативным именем FQDN PAM.
При использовании vIP в каждом сертификате балансировщика нужно альтернативное имя FQDN PAM.
Если есть серверы доступа на Windows, то их сертификаты должны содержать FQDN PAM или быть такими же, как для FQDN PAM, иначе проверка сертификатов в мастере приведет к ошибке.
Вам понадобятся следующие сертификаты:
- Сертификат удостоверяющего центра без приватного ключа в формате PEM (Base64) с расширением
.crt. - Сертификаты на все серверы управления с приватным ключом в формате
.pfx. - Сертификаты на все серверы доступа RDP, RDS и PostgreSQL с альтернативными именами всех балансировщиков и FQDN PAM с приватным ключом в формате
.pfx. Кроме случая, когда сервер доступа установлен на одном хосте с сервером управления. - Сертификаты на все балансировщики с приватным ключом в формате
.pfx.
Если на одном хосте планируется расположить балансировщик и сервер управления, то потребуется сертификат с альтернативным именем FQDN PAM.
При использовании vIP в каждом сертификате балансировщика нужно альтернативное имя FQDN PAM.
Доступно использование wildcard-сертификата. В этом случае сертификат должен быть выпущен на весь домен или иметь в альтернативных именах адреса всех хостов PAM.
Для корректной работы LDAPS поместите сертификат удостоверяющего центра в IndeedPAM_3.2_RU\indeed-pam\state\target\ca-certificates перед запуском мастера.