Page tree

Чтобы выпустить сертификат клиентской аутентификации для сервисной учетной записи:

  1. Создайте шаблон сертификата.
  2. Получите сертификат.
  3. Установите сертификат в хранилище корневых сертификатов компьютера.

Создание шаблона

  1. В веб-интерфейсе Aladdin eCA перейдите в раздел Шаблоны.

  2. Создайте шаблон сертификата для Рутокен KeyBox на основе шаблона ECA-User: клонируйте шаблон и укажите имя нового шаблона. Откроется окно свойств шаблона.

  3. При необходимости укажите Период действия сертификата.

  4. Выберите Центр сертификации.

  5. В выпадающем списке Тип субъекта выберите Пользователь.

  6. В разделе Шифрование выключите опцию ECDSA. Рутокен KeyBox не поддерживает работу с сертификатами на основе алгоритма ECDSA.

    Алгоритм шифрования для формирования сертификата

    Чтобы формировать сертификат с использованием ГОСТ-шифрования, включите только опцию ГОСТ. Если включены оба варианта — ГОСТ и RSA, то используется алгоритм RSA.

  7. На вкладках Расширения и Компоненты имени сертификата оставьте параметры по умолчанию.

  8. Нажмите Сохранить.

Получение

  1. Перейдите в раздел Учетные записи.
  2. В строке с созданной сервисной учетной записью нажмите Создать сертификат и выберите опцию С закрытым ключом (PKCS#12).
  3. Выберите шаблон, созданный на предыдущем этапе, и нажмите Продолжить.
  4. При необходимости измените данные сервисной учетной записи и нажмите Продолжить.
  5. Создайте пароль для защиты ключевого контейнера PKCS#12.
  6. Выберите алгоритм и длину ключа или оставьте параметры по умолчанию.
  7. Нажмите Создать сертификат.
  8. Нажмите Скачать.

Файл сертификата скачивается в формате P12.

Установка в личное хранилище компьютера

Выберите инструкцию в зависимости от ОС рабочей станции, где устанавливается сертификат.

  1. Добавьте выпущенный сертификат в Локальное хранилище компьютера (Local Computer) на сервере Рутокен KeyBox.
  2. Добавьте корневой сертификат Aladdin eCA в Доверенные корневые центры сертификации (Trusted Root Certification Authorities) на сервере Рутокен KeyBox.
  3. Выдайте системе права на чтение закрытого ключа сертификата:
    1. Перейдите в оснастку Сертификаты (Certificates).
    2. Правой кнопкой мыши нажмите на сертификат и выберите Все задачи (All tasks) → Управление закрытыми ключами... (Manage Private Keys...).
    3. Нажмите Добавить (Add).
    4. в меню Размещение (Location) укажите сервер.
    5. В поле Введите имена выбранных объектов (Enter the object names to select) укажите локальную группу IIS_IUSRS и нажмите Проверить имена (Check Names) и ОК.
    6. Выставите права Полный доступ (Full Control) и Чтение (Read).
    7. Нажмите Применить (Apply).
  1. Выполните вход в систему с учетной записью, от имени которой запускается Рутокен KeyBox. По умолчанию это пользователь www-data.

    1. Проверьте наличие пользователя www-data:

      cat /etc/passwd | grep www-data
      Пример вывода, если пользователь www-data существует
      www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
    2. Если пользователя www-data не существует, создайте его:

      sudo useradd -m -d /var/www -s /usr/sbin/nologin www-data
    3. Выполните вход от имени пользователя www-data:

      sudo su -s /bin/sh www-data

  2. Конвертируйте формат файла сертификата, полученного в УЦ, с P12 на PFX.

    sudo mv FILE.p12 <имя pfx-файла сертификата>
  3. Разделите файл PFX на файл сертификата и файл закрытого ключа с помощью утилиты openssl.

    При выполнении команд утилита openssl предлагает установить пароль для файла закрытого ключа (KEY). Оставьте файл без пароля: два раза нажмите Enter.

    openssl pkcs12 -in FILE.pfx -nokeys | sed -ne '/-BEGIN CERTIFICATE/,/END CERTIFICATE/p' > client.crt
    openssl pkcs12 -in FILE.pfx -cacerts -nokeys | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > root-ca.crt
    openssl pkcs12 -in FILE.pfx -nocerts -out clientencrypted.key
    openssl rsa -in clientencrypted.key -out client.key
    rm clientencrypted.key

    Файл сертификата client.crt должен содержать следующее:

    -----BEGIN CERTIFICATE-----
    #Ваш сертификат#
    -----END CERTIFICATE-----

  4. Создайте поддиректорию домашнего каталога пользователя www-data:

    sudo mkdir -p /var/www/.dotnet/corefx/cryptography/x509stores/my/
  5. Объедините файл сертификата и файл ключа в файл PFX. Поместите файл PFX в поддиректорию домашнего каталога пользователя.

    При выполнении команды утилита openssl предлагает установить пароль для файла PFX. Оставьте файл без пароля: два раза нажмите Enter.

    sudo openssl pkcs12 -export -out /var/www/.dotnet/corefx/cryptography/x509stores/my/FILE.pfx -inkey client.key -in client.crt
  6. Настройте право доступа 600 к файлу PFX:

    sudo chmod 600 /var/www/.dotnet/corefx/cryptography/x509stores/my/FILE.pfx
  7. Добавьте корневой сертификат УЦ в список доверенных корневых сертификатов:

    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:
      sudo cp <путь к файлу CRT> /usr/share/ca-certificates/
    2. Перенастройте список доверенных корневых сертификатов:
      sudo dpkg-reconfigure ca-certificates
    3. Перезапустите систему:
      sudo reboot

    1. Поместите корневой сертификат в хранилище доверенных корневых сертификатов:
      sudo cp <путь к файлу CRT> /etc/pki/ca-trust/source/anchors/
    2. Перенастройте список доверенных корневых сертификатов:
      sudo update-ca-trust extract
    3. Перезапустите систему:
      sudo reboot
  • No labels