Далее следует подготовить материал для создания клонов на основе базового профиля – для каждого управляемого VPN устройства создайте локальный сертификат, политику безопасности (LSP), файлы с лицензиями на S-Terra Gate и CryptoPro (при использовании), сохранив все это на Сервере управления.
1. Создайте запрос на сертификат при помощи инструмента CA tools (подробнее см. раздел «Получение локальных сертификатов при помощи инструмента CA tools»).
2. Затем отправьте созданный запрос в Удостоверяющий центр и получите локальный сертификат для управляемого VPN устройства, например, “gate01”.
3. Посмотрите имя контейнера выпущенного сертификата в окне CA tools – Requests sender – Created requests. Создайте файл C:\Clone\cont.ini, содержащий информацию о контейнерах:
[CONTAINER_01]
SourceName=file_p15://VPN-h3456mmj-346h-krk6n-xxxxxx
SourcePassword=
DestinationName=file_p15://gate01
DestinationPassword=
где
• SourceName – имя контейнера на Сервере управления
• SourcePassword – пароль к контейнеру
• DestinationName – имя контейнера на жестком диске нового устройства, в который будет скопирован контейнер file_p15://VPN-h3456mmj-346h-krk6n-xxxxxx, для криптобиблиотеки CryptoPro в формате – \\.\HDIMAGE\HDIMAGE\gate01
• DestinationPassword – пароль к контейнеру на управляемом устройстве (пустой)
4. Сохраните сертификат в файл на Сервере управления в директорию, например, C:\Clone - C:\Clone\gate01.cer.
5. Создайте файл C:\Clone\st_gate01.lic с лицензией на продукт S-Terra Gate, например:
[license]
CustomerCode=test
ProductCode=GATE
LicenseNumber=1
LicenseCode=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
6. Если используется криптобиблиотека CryptoPro, создайте файл C:\Clone\cp_gate01.lic с лицензией на продукт КриптоПро CSP, например:
LicenseSerialNumber=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
7. Создайте файл, содержащий соответствие логических и физических имен интерфейсов C:\Clone\ia_gate01.txt, например:
FastEthernet0/0=eth0
FastEthernet0/1=eth1
8. Создайте файл с настройками сетевых интерфейсов C:\Clone\ifdesc_gate01.txt, например,
[ExtendedDeviceRoutes]
!Route to net of UPServer (10.0.0.0/16) via gate (192.168.10.2)
Route_0=10.0.0.0/16 192.168.10.2
!Description eth0
[IF_eth0]
STATE=UP
Address_0=192.168.10.8/24
!Description eth1
[IF_eth1]
STATE=UP
Address_0=172.16.1.5/12
9. Создайте файл нового профиля C:\Clone\gate01.vpd на основе базового профиля, выполнив следующие команды:
• для криптобиблиотеки S-Terra:
"C:\Program Files\S-Terra\S-Terra KP\vpnmaker.exe" replace -fi C:\Clone\base_gate.vpd -fo C:\Clone\gate01.vpd -lic C:\Clone\st_gate01.lic -cert C:\Clone\gate01.cer -certkey system::file_p15://gate01 -certkeypwd "" -ifaliases C:\Clone\ia_gate01.txt -ifdesc C:\Clone\ifdesc_gate01.txt
где
• system::file_p15://gate01 – имя контейнера на жестком диске нового устройства, в который будет скопирован контейнер file_p15://VPN-h3456mmj-346h-krk6n-xxxxxx.
• "" - пустой пароль на скопированный контейнер на жестком диске.
• для криптобиблиотеки CryptoPro:
"C:\Program Files\S-Terra\S-Terra KP\vpnmaker.exe" replace -fi C:\Clone\base_gate.vpd -fo C:\Clone\gate01.vpd -lic C:\Clone\st_gate01.lic -cryptolic C:\Clone\cp_gate01.lic -cert C:\Clone\gate01.cer -certkey \\.\HDIMAGE\HDIMAGE\\gate01 -certkeypwd "" -ifaliases C:\Clone\ia_gate01.txt -ifdesc C:\Clone\ifdesc_gate01.txt
где
• \\.\HDIMAGE\HDIMAGE\\gate01 – имя контейнера на жестком диске нового устройства, в который будет скопирован контейнер gate01 с USB-флеш. Контейнер на USB-флеш будет найден по локальному сертификату.
• "" - пустой пароль на скопированный контейнер на жестком диске.
10. В консоли С-Терра КП создайте учетную запись gate01 на основе нового профиля, а потом переведите ее в состояние Enable:
"C:\Program Files\S-Terra\S-Terra KP\upmgr.exe" create -i gate01 -p C:\Clone\gate01.vpd
"C:\Program Files\S-Terra\S-Terra KP\upmgr.exe" enable -i gate01
11. Создайте два скрипта для настройки S-Terra Gate и Клиента управления на управляемом VPN устройстве, сохранив их на USB-флеш в директории gate01:
mkdir E:\gate01
"C:\Program Files\S-Terra\S-Terra KP\upmgr.exe" get -i gate01 -d E:\gate01 -cont_list C:\Clone\cont.ini
В директории gate01 будут сохранены два скрипта:
• setup_product.sh – скрипт для настройки продукта S-Terra Gate, содержит контейнер с ключевой парой
• setup_upagent.sh – скрипт для настройки Клиента управления
12. Скопируйте установочный файл Клиента управления с Сервера управления на USB-флеш:
C:\Program Files\S-Terra\S-Terra KP\upagent\<OS>\vpnupagent.tar
Таким образом, на USB-флеш записаны два инициализационных скрипта, установочный файл Клиента управления и контейнер с ключевой парой в составе инсталляционного файла VPN продукта.