Referenz_VISION

Создание SSL-сертификатов с помощью панели

Оставить комментарий

«КАСКАД Цифра» позволяет создавать SSL-сертификаты, которые используются для мультиплексного прокси-сервера и взаимодействия между менеджерами посредством SSL, а также для HTTP-сервера. Сертификаты также необходимы при аутентификации менеджеров на стороне сервера.

Панель для создания SSL-сертификатов находится в разделе Управление системой -> Средства связи -> Cертификаты SSL.

ВНИМАНИЕ

Не используйте сертификаты, созданные до возникновения проблемы heartbleed (см. http://heartbleed.com/)!


ПРИМЕЧАНИЕ

При шифровании связи с использованием SSL возможен отказ от списков контроля доступа, формируемых при помощи ключевых слов «ip_deny» и «ip_allow» в конфигурационном файле. SSL-сертификаты также предотвращают доступ несанкционированных хостов.

Сертификат хоста

Данная панель позволяет создавать новые сертификаты для ваших хостов. Эти сертификаты необходимо скопировать в соответствующие хосты для дальнейшего использования.

Тип сертификата определяет имя созданного сертификата. Доступны следующие варианты:

  • Сертификат общего назначения – позволяет использовать пользовательское имя. С помощью этой опции вы можете создавать ключи и сертификаты с пользовательским именем. Используйте этот параметр для аутентификации на стороне сервера для менеджеров, кроме мультиплексного прокси и HTTP-сервера.
  • Сертификат для мультиплексного прокси – сертификат, составленный по требованиям прокси-сервера.
  • Сертификат для HTTP-сервера – сертификат, составленный по требованиям HTTP-сервера.

Для создания сертификата хоста требуется существующий корневой сертификат. Этот корневой сертификат можно создать с помощью кнопки «Создать» в разделе «Корневой сертификат». Сертификаты хоста создаются в разделе «Сертификат хоста».

ПРИМЕЧАНИЕ

Вам не нужно создавать новый корневой сертификат для стандартного проекта (макс. параметры безопасности). При создании проекта создается корневой сертификат.

Рисунок: создание сертификата хоста

Секция корневого сертификата

Корневой сертификат

В данном поле представлен путь к корневому сертификату, который используется для подписи сертификата хоста

Файл ключа корневого сертификата

В данном поле представлен путь к файлу с закрытым ключом для корневого сертификата

ПРИМЕЧАНИЕ

В имени проекта не может быть никаких периодов.

Пароль файла ключа

Используется для ввода и проверки пароля для файла с закрытым ключом корневого сертификата. Пароль был установлен во время создания корневого файла ключей.

Создать

Данная кнопка открывает диалоговое окно «Корневой сертификат» (см. ниже) для создания нового корневого сертификата.

Корневой сертификат

Панель «Корневой сертификат» позволяет создавать новый корневой сертификат, который можно использовать, например, для аутентификации на стороне сервера, мультиплексного прокси или HTTP-сервера.

Рисунок: создание корневого сертификата

Тип сертификата

Тип сертификата определяет имя созданного сертификата. Доступны следующие варианты:

Целевой путь

Путь к каталогу, в котором создается корневой сертификат.

Имя сертификата/ключа

Имя, которое используется для корневого сертификата.

Пароль для корневого файла ключей

Пароль, который используется для обеспечения безопасности корневого файла ключей. Данный пароль требуется для создания сертификатов хоста.

Дата истечения срока действия

Введите дату истечения срока действия сертификата.

Вдобавок, можно ввести такую информацию, как код страны, провинцию, город, организацию, отдел и имя продукта.

CN (Общее имя)

Общее название сертификата. Сертификат хоста должен быть подписан корневым сертификатом. Общее имя корневого и хост-сертификатов не должны совпадать, но сертификат хоста должен быть подписан корневым сертификатом.

ПРИМЕЧАНИЕ

Названия организации для сертификата хоста и корневого сертификата должны отличаться.

Создать

Кнопка «Создать» создает новый корневой сертификат и корневой файл ключей в целевой папке.

ВНИМАНИЕ

При попытке создать сертификат с существующим именем отображается сообщение об ошибке.

Различные типы корневых сертификатов:

Рисунок: корневой SSL-сертификат для HTTP-сервера

Рисунок: корневой сертификат и файл ключей для HTTP-сервера

Рисунок: корневой сертификат SSL-сертификат для мультиплексного прокси

Рисунок: корневой сертификат и файл ключей для мультиплексного прокси

Рисунок: корневой SSL-сертификат общего назначения

Рисунок: корневой сертификат и файл ключей общего назначения

Секция сертификата хоста

Тип сертификата

Тип сертификата определяет имя созданного сертификата. Доступны следующие варианты:

  • Сертификат общего назначения – позволяет использовать пользовательское имя. С помощью этой опции вы можете создавать ключи и сертификаты с пользовательским именем. Используйте этот параметр для аутентификации на стороне сервера для менеджеров.
  • Сертификат для мультиплексного прокси – сертификат, составленный по требованиям прокси-сервера.
  • Сертификат для HTTP-сервера – сертификат, составленный по требованиям HTTP-сервера.

Рисунок: сертификат хоста для HTTP-сервера

Рисунок: созданный сертификат хоста (.pem) и файл ключей (.pem) для HTTP-сервера

Рисунок: сертификат хоста для мультиплексного прокси

Рисунок: созданный сертификат хоста (.pem) и файл ключей (.pem) для мультиплексного прокси

Рисунок: сертификат хоста общего назначения

Рисунок: созданный сертификат хоста общего назначения (.pem) и файл ключей (.pem)

Целевой путь

Путь к каталогу, в котором создается сертификат хоста.

Имя сертификата/ключа

Имя, которое используется для сертификата хоста.

Дата истечения срока действия

Введите дату истечения срока действия сертификата.

Вдобавок, можно ввести такую информацию, как код страны, провинцию, город, организацию, отдел и имя продукта.

ВНИМАНИЕ

Наименование страны не должен быть длиннее двух букв, таких как AT.

CN (Общее имя)

Общее название сертификата. Сертификат хоста должен быть подписан корневым сертификатом. Общее имя корневого и хост-сертификатов не должны совпадать, но сертификат хоста должен быть подписан корневым сертификатом.

Роль/Пользователь (необязательно)

Текст из поля роль/пользователь используется для установки свойства roleOccupant («КАСКАД Цифра» user) сертификата. Если поле оставлено пустым, свойство roleOccupant («КАСКАД Цифра» user) сертификата не будет установлено. Данное поле оценивается в сертификатах TLS во время аутентификации на стороне сервера.

Поле роль/пользователь должно содержать имя пользователя «КАСКАД Цифра». Пользователь является свойством сертификата и используется для аутентификации. Обратите внимание, что вам необходимо создать отдельный сертификат (сертификат с именем пользователя) для каждого пользователя, от имени которого вы хотите запустить менеджер. Все пользователи могут проходить аутентификацию.

Поле roleOccupant используется для связующей сессии при аутентификации менеджеров на стороне сервера.

ПРИМЕЧАНИЕ

Названия организации для сертификата хоста и корневого сертификата должны отличаться.

Создать

Данная кнопка создает новый сертификат хоста и файл ключей в целевой папке.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *