Для добавления локального сертификата ресурса в базу С-Терра TLSШлюз выполните ряд следующих действий:
Шаг 1: На С-Терра TLS Шлюз локально или удаленно по протоколу SSH по доверенному каналу связи войдите в консоль разграничения доступа (administrator, s-terra), а затем в режим настройки системы, введя команду system (Рисунок 54).
Рисунок 54
Шаг 2: В командной строке сформируйте запрос на локальный сертификат ресурса с использованием утилиты tls_cert_mgr, выполнив команду, например, для host2:
root@sterragate:~# tls_cert_mgr create -id host2 -subj “CN=host2.ru” -ps TCB -GOST_R341012_256 -kcp 1234 -dns host2.ru |
где опции:
-id - идентификатор создаваемого сертификата - ID. ID должен быть уникальным для каждого сертификата;
-subj - значение поля Subject Name локального сертификата ресурса. В расширении CN должен быть указан внешний IP-адрес или доменное имя защищаемого ресурса, например: CN=host2.ru;
-GOST _R341012_256 - идентификатор алгоритма ГОСТ Р 34.10-2012, используемого при генерации ключевой пары с длиной ключа 256 бит, далее применяется при создании электронной подписи данного запроса;
-ps TCB - устанавливает набор параметров эллиптической кривой TCB для шифрования;
-dns - внешнее доменное имя ресурса, которое вносится в поле Alternative Subject Name локального сертификата ресурса. Опция -dns или -IP должна быть задана и совпадать со значением в CN в опции subj. Требуется, чтобы избежать появления ошибок в браузере при подключении пользователя ресурса к ресурсу;
-kcp- пароль от контейнера с закрытым ключом.
Более подробное описание утилиты приведено в разделе «Утилита tls_cert_mgr».
Внимание! |
При создании запроса на сертификат запись о сертификате с указанным ID в базе С-Терра TLS Шлюз должна отсутствовать. Если сертификат или запрос на сертификат для указанного ID уже существуют, то их нужно предварительно удалить с помощью веб-интерфейса С-Терра TLS Шлюз. В противном случае, в консоль выводится сообщение: TLS Gate certificate record with ID “host” already exists! Remove it using TLS Gate backend or “remove” command (if the process was interrupted by error). После удаления сертификата перед созданием нового с таким же ID, необходимо применить конфигурацию. |
После запуска утилиты происходит биологическая инициализация ДСЧ с указанием нажимать предлагаемые клавиши (Рисунок 55).
Рисунок 55
По окончании в консоль выводится сообщение об успешном создании запроса на сертификат ресурса:
TLS Gate Certificate Management Tool
Generating a new CSR with ID “host2”…
CSR with “D "h”st" has been successfully created
Созданный запрос сохраняется на С-Терра TLS Шлюз в каталоге /opt/TLSGate/etc/ssl/certs/resource/<ID>/. Имя каталога и файла запроса совпадает с id запроса, расширение файла - csr.pem.
Созданный запрос передайте в УЦ для создания сертификата ресурса. Либо скопируйте в буфер обмена как будет показано на Шаге 5.
Шаг 3: В
главном меню веб-интерфейса выберите Сертификаты
ресурсов,
в таблице справа нажмите кнопку 
(Рисунок 56).
Рисунок 56
Шаг 4: В открывшемся окне Регистрация сертификата ресурса (Рисунок 57) укажите ID созданного на шаге 2 запроса на сертификат в поле Идентификатор сертификата и нажмите кнопку Проверить.
Шаг 5: В поле Запрос на получение сертификата появится текст созданного запроса. Скопируйте запрос в буфер обмена и отправьте в УЦ для создания сертификата ресурса в формате PEM и кодировке BASE 64.
Шаг 6: Созданный сертификат доставьте в файловую систему рабочего места администратора.
Шаг 7: В окне Регистрация сертификата ресурса нажмите кнопку Browse и выберите файл локального сертификата ресурса. Нажмите кнопку Открыть. Затем нажмите кнопку Установить.
Рисунок 57
В левом нижнем углу страницы появится уведомление о том, что локальный сертификат ресурса импортирован и зарегистрирован на С-Терра TLS Шлюз (Рисунок 58).
Рисунок 58
В таблице Сертификаты ресурсов отобразится имя ресурса, его сертификат и статус сертификата (Рисунок 59).
Рисунок 59
Локальный сертификат ресурса зарегистрирован на С-Терра TLS Шлюз Таким же образом создаются сертификаты для всех корпоративных ресурсов в локальной сети и регистрируются на С-Терра TLS Шлюз.