Регистрация сертификатов

В данном сценарии для аутентификации используются сертификаты. Для корректной работы необходимо зарегистрировать доверенный сертификат УЦ и локальный сертификат, выданный данным УЦ.

1.    Установите правильное системное время.

Например:

administrator@sterragate] run date -s "01/31/2017 15:00"

Tue Jan 31 15:00:00 MSK 2017

Данная запись соответствует 31 января 2017 года 15:00.

В данном случае формат даты указывается в виде месяц/день/год (ММ/ДД/ГГГГ).

Для автоматической настройки правильного времени рекомендуется настроить NTP-клиент по соответствующей инструкции.

2.    Подключите к шлюзу USB-носитель. Он будет автоматически примонтирован в системе.

3.    Узнайте под каким именем USB-носитель был примонтирован. В данном случае - 041F-4C1B.

administrator@sterragate] dir media

    1  drwx         8192  Thu Jan  1 03:00:00 1970  041F-4C1B

4.    Сформируйте запрос на сертификат при помощи утилиты cert_mgr:

administrator@sterragate] run cert_mgr create -subj "C=RU,O=S-Terra CSP,OU=Research,CN=GW1" -GOST_R341012_256 –fb64 media:041F-4C1B/gw1.req

·         Ключ -subj <DN> задает поля сертификата.

·         Ключ -GOST_R341012_256 предполагает использование ГОСТ 2012. На УЦ для его поддержки должно быть установлено СКЗИ «КриптоПро CSP» версии 4.0 или новее. При необходимости, можно воспользоваться более старым ключом -GOST_R3410EL.

·         Ключ -fb64 <путь до файла> позволяет сохранить запрос в файл по указанному пути.

1.    Передайте полученный запрос сертификата на УЦ. Процедура выдачи сертификата на УЦ по запросу описана в документации.

5.    Перенесите полученный локальный сертификат и сертификат УЦ на шлюз безопасности. В данном сценарии сертификаты будут на USB-носителе.

6.    С помощью утилиты cert_mgr зарегистрируйте сертификат УЦ в базе продукта:

administrator@sterragate] run cert_mgr import -f media:041F-4C1B/ca.cer -t

1 OK C=RU,L=Moscow,O=S-Terra CSP,OU=Research,CN=Research Root CA

Ключ -t в данной команде указывает на то, что импортируемый сертификат – корневой (сертификат УЦ).

7.    Зарегистрируйте локальный сертификат в базе продукта:

administrator@sterragate] run cert_mgr import -f media:041F-4C1B/gw1.cer

1 OK C=RU,O=S-Terra CSP,OU=Research,CN=GW1

8.    Убедитесь, что сертификаты импортированы успешно:

administrator@sterragate] run cert_mgr show

Found 2 certificates. No CRLs found.

1 Status: trusted C=RU,L=Moscow,O=S-Terra CSP,OU=Research,CN=Research Root CA

2 Status: local   C=RU,O=S-Terra CSP,OU=Research,CN=GW1