Для работы Агентов требуются следующие сертификаты:
- RutokenKeyBox Agent CA — корневой сертификат Агента RutokenKeyBox. Используется для выдачи сертификатов рабочим станциям пользователей, на которых будут устанавливаться Агенты.
- RutokenKeyBox Agent SSL — сертификат проверки подлинности, подписан корневым сертификатом. Необходим для установления двухстороннего защищенного соединения между сервером и рабочей станцией с установленным Агентом. Сертификат выдается на имя рабочей станции, на которой развернут сервер RutokenKeyBoxРутокен KeyBox.
- Сертификат рабочей станции — выдается выдаётся автоматически при регистрации Агента. Обращаясь к серверу клиентский компьютер предоставляет свой сертификат, сервер RutokenKeyBox проверяет подлинность сертификата после чего начинает доверять Агенту, установленному на рабочей станции пользователя, и готов передавать на него задачи.
Сертификаты Агента создаются при помощи утилиты IndeedCM.Agent.Cert.Generator.exe, входящей в состав дистрибутива RutokenKeyBox Рутокен KeyBox (располагается в RutokenKeyBox.Server\Misc\AgentCertGenerator).
1. Запустите в командной строке, запущенной от имени администратора, на сервере RutokenKeyBox утилиту IndeedCM.Agent.Cert.Generator.exe c параметрами: /root /csn /installToStore. Дождитесь завершения работы утилиты.
Tip |
---|
Параметры утилиты Генерация корневого и SSL-сертификата: /root - генерация корневого сертификата сервисов агента. |
Note |
Параметр /csn запускает процедуру выпуска сертификатов на DNS-имя рабочей станции, на которой запускается утилита. Для создания сертификатов для рабочей станции с другим именем запустите утилиту с параметром /sn<DNS-имя рабочей станции>.
Генерация только SSL-сертификата, используя уже выпущенный корневой сертификат CM Agent CA: /rootKey - путь до файла корневого сертификата сервисов агента. |
Запуск утилиты генерации сертификатов сервисов агента
- На ОС Windows:
- Запустите в командной строке, запущенной от имени администратора, на сервере RutokenKeyBox утилиту IndeedCM.
...
- Agent.Cert.Generator.exe c параметрами /root /csn /installToStore.
Пример:
|
- На ОС Linux:
На сервере Рутокен KeyBox запустите терминал.
Перейдите в директорию с утилитой и измените права на файл, добавив право на выполнение файла Cm.Agent.Cert.Generator:
sudo
chmod
+x Cm.Agent.Cert.Generator
- Запустите утилиту c параметрами /root /csn и дождитесь завершения её работы.
Пример:
|
В каталоге с утилитой появятся файлы:
- agent_root_ca.json - корневой сертификат сервисов агента с закрытым ключом в формате JSON.
- agent_root_ca.cer - корневой сертификат сервисов агента.
- agent_root_ca.key - закрытый ключ корневого сертификата сервисов агента.
- agent_ssl_cert.cer - SSL-сертификат сайта сервисов агента.
- agent_ssl_cert.key - закрытый ключ SSL-сертификата сайта сервисов агента.
- agent_ssl_cert.pfx - SSL-сертификат сервисов агента с закрытым ключом в формате PFX.
Поместите сертификат CM Agent CA (agent_root_ca.cer)2. В каталоге с утилитой появятся файл RutokenKeyBox Agent CA.key, содержащий отпечаток сертификата RutokenKeyBox Agent CA и значение ключа сертификата.
3. Поместите сертификат RutokenKeyBox Agent CA в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на всех рабочих станциях пользователей.
Info |
---|
Для распространения сертификата на рабочие станции пользователей удобно использовать механизм групповых политик Active Directory. |
...
сервере системы.
Если в вашем окружении используется несколько серверов Рутокен KeyBox с агентами, то для каждого сервера требуется выпустить SSL-сертификат сервисов агента, используя общий корневой сертификат CM Agent CA (корневой сертификат сервисов агента на всех серверах должен быть один и тот же). Для создания SSL-сертификата дополнительного сервера или обновления истекшего сертификата перенесите каталог с утилитой Cm.Agent.Cert.Generator и корневой сертификат сервисов агента с закрытым ключом в формате JSON (agent_root_ca.json) на сервер и выполните команду:
Cm.Agent.Cert.Generator.exe /rootKey <путь к файлу agent_root_ca.json> /ssl /sn <DNS-имя сервера Рутокен KeyBox> /installToStore |
Пример запуска утилиты для создания дополнительного или обновление истекшего SSL-сертификата сервисов агента:
ОС Windows: |
Настройка защищенного соединения с сайтом сервисов агента
Для ОС Windows
...
- Перейдите в Диспетчер служб IIS (Internet Information Services (IIS) Manager).
- Выберите сайт
...
- Rutoken KeyBox Agent Site и перейдите в раздел Привязки... (Bindings...).
- Выберите привязку по порту 3003.
- Нажмите Изменить... (Edit...)
...
- .
- Укажите в качестве SSL-сертификата сертификат CM Agent SSL или другой SSL/TLS-сертификат, выпущенный с любого доверенного УЦ в инфраструктуре на имя сервера системы и нажмите OK.
Notewarning |
---|
Порт 3003 устанавливается по умолчанию. Если вы используете другой порт, то создайте и настройте новую привязку для него. Убедитесь в том, что порт открыт для входящих подключений в брандмауэре. |
...
В качестве |
...
SSL/TLS-сертификата допускается использование RSA-сертификата |
...
5. Пример настройки привязки для сайта RutokenKeyBox Agent Site.
6. Если в вашем окружении используется несколько серверов RutokenKeyBox с Агентами, то для каждого сервера потребуется свой SSL-сертификат Агента (корневой сертификат на всех серверах один и тот же). Для создания SSL-сертификата дополнительного сервера перенесите на него каталог с утилитой IndeedCM.Agent.Cert.Generator.exe и файл ключа корневого сертификата RutokenKeyBox Agent CA.key, затем выполните команду:
...
IndeedCM.Agent.Cert.Generator.exe /ssl /сsn /rootKey <путь к каталогу с ключом корневого сертификата> /installToStore
Пример:
...
, выпущенного c любого доверенного УЦ на имя сервера Рутокен KeyBox.
|
Для ОС Linux
Скопируйте созданный утилитой SSL-сертификат сайта агентских сервисов и его приватный ключ в соответствующие хранилища на сервере Рутокен KeyBox, а также корневой сертификат Агента в хранилище доверенных корневых сертификатов:
Пример:sudo
cp
.
/agent_ssl_cert
.cer
/etc/ssl/certs/
sudo
cp
.
/agent_ssl_cert
.key
/etc/ssl/private/
sudo
cp
.
/agent_root_ca
.cer
/usr/local/share/ca-certificates/
- Запустите команду обновления хранилища доверенных корневых сертификатов:
sudo
update-ca-certificates
- Укажите пути до сертификата и закрытого ключа в конфигурационном файле используемого web-сервера в разделе, описывающем сайт сервисов агента.
Expand | ||
---|---|---|
| ||
|
Note |
---|
Порт 3003 используется по умолчанию. Если вы используете другой порт, то создайте и настройте новую привязку для него. Убедитесь в том, что порт открыт для входящих подключений в брандмауэре. В качестве SSL/TLS-сертификата допускается использование RSA-сертификата, выпущенного c любого доверенного УЦ на имя сервера Рутокен KeyBox.
|