Регистрация локального сертификата ресурса на С-Терра TLS Шлюз

Для добавления локального сертификата ресурса в базу С-Терра TLS Шлюз выполните ряд следующих действий:

Шаг 1:        На С-Терра TLS Шлюз локально или удаленно по протоколу SSH по доверенному каналу связи войдите в консоль разграничения доступа (administrator, s-terra), а затем в режим настройки системы, введя команду system (Рисунок 24).

Рисунок 24

Шаг 2:      На С-Терра TLS Шлюз в командной строке сформируйте запрос на локальный сертификат ресурса с использованием утилиты tls_cert_mgr, выполнив команду, например, для host:

               где опции:

               -id - идентификатор создаваемого сертификата - ID. ID должен быть уникальным для каждого сертификата;

               -subj - значение поля Subject Name  локального сертификата ресурса. В расширении CN должен быть указан внешний IP-адрес или доменное имя защищаемого ресурса, например: CN=host.ru;

               -GOST_R341012_256 - идентификатор алгоритма ГОСТ Р 34.10-2012, используемого при генерации ключевой пары с длиной ключа 256 бит, далее применяется при создании электронной подписи данного запроса;

               -ps  TCB  - устанавливает набор параметров эллиптической кривой TCB  для шифрования;

               -dns - внешнее доменное имя ресурса, которое вносится в поле Alternative Subject Name  локального сертификата ресурса. Опция -dns или -IP должна быть задана и совпадать со значением в CN в опции subj. Требуется, чтобы избежать появления ошибок в браузере при подключении пользователя ресурса к ресурсу;

               -kcp - пароль от контейнера с закрытым ключом.

               Более подробное описание утилиты приведено в разделе «Утилита tls_cert_mgr».

               После запуска утилиты происходит биологическая инициализация ДСЧ с указанием нажимать предлагаемые клавиши (Рисунок 25).

Рисунок 25

               По окончании в консоль выводится сообщение об успешном создании запроса на сертификат ресурса:

               Созданный запрос сохраняется на С-Терра TLS Шлюз в каталоге /opt/TLSGate/etc/ssl/certs/resource/<ID>/. Имя каталога и файла запроса совпадает с id запроса, расширение файла - csr.pem.

               Созданный запрос передайте в УЦ для создания сертификата ресурса. Либо скопируйте запрос в буфер обмена как будет показано на Шаге 5, а затем передайте в УЦ.

Шаг 3:      В главном меню веб-интерфейса выберите Сертификаты ресурсов, в таблице справа нажмите кнопку  (Рисунок 26).

Рисунок 26

Шаг 4:      В открывшемся окне Регистрация сертификата ресурса укажите в поле Идентификатор сертификата ID созданного на Шаге 2 запроса на сертификат и нажмите кнопку Проверить.

Шаг 5:      В поле Запрос на получение сертификата появится текст созданного запроса (Рисунок 27). Скопируйте запрос в буфер обмена и отправьте в УЦ для создания сертификата ресурса в формате PEM и кодировке BASE 64.

Рисунок 27

Шаг 6:      Созданный сертификат доставьте в файловую систему рабочего места администратора.

Шаг 7:      В окне Регистрация  сертификата ресурса нажмите кнопку Browse и выберите файл локального сертификата ресурса. Нажмите кнопку Открыть. Затем нажмите кнопку Установить (Рисунок 28).

Рисунок 28

               В левом нижнем углу страницы появится уведомление о том, что локальный сертификат ресурса импортирован и зарегистрирован на С-Терра TLS Шлюз (Рисунок 29).

Рисунок 29

               В таблице Сертификаты ресурсов отобразится имя ресурса, его сертификат и статус сертификата (Рисунок 30)

Рисунок 30

               Локальный сертификат ресурса зарегистрирован на С-Терра TLS Шлюз. Таким же образом создаются сертификаты для всех корпоративных ресурсов в локальной сети и регистрируются на С-Терра TLS Шлюз.