Развёртывание инфраструктуры PKI с использованием внешнего УЦ

Инструкция по созданию инфраструктуры открытых ключей с использованием Внешнего УЦ

В данном разделе представлена инструкция по созданию инфраструктуры открытых ключей с использованием Внешнего доверенного удостоверяющего центра. В качестве Системы управления выступает машина с установленным дистрибутивом management, в качестве Узла NGate (англ. Node) – с установленным дистрибутивом gate. Процесс установки сертификатов в АРМ Администратора зависит от ОС, используемой на АРМ Администратора.

Для переноса сертификатов и запросов между аппаратными платформами при создании инфраструктуры PKI нужно использовать внешний носитель информации. Экспорт Сертификата администратора возможен только на внешний носитель информации.

В данном примере показана работа с одним Узел NGate, при большем числе Узлов NGate в кластере процедура установки и привязки сертификатов будет аналогичной и должна быть произведена для каждого из Узлов NGate.

Важное замечание: Используемый УЦ должен иметь класс защиты не ниже требуемого класса защиты шлюза NGate!
Рис. 1. Схема создания инфраструктуры PKI с использованием внешнего УЦ


  1. Подключитесь консольно к СУ. Запустите программу ng-certcfg, предназначенную для создания инфраструктуры ключей системы NGate.
    1. Подключитесь консольно к АП Системы управления NGate.
      Способы подключения к аппаратным платформам NGate.
    2. Авторизуйтесь в системе под суперпользователем root: 
      ngate-mc login: root
Password:
    3. Введите в консоли: 
      ng-certcfg
  2. Создайте или загрузите внешнюю гамму в Системе управления. Внешняя гамма потребуется для создания запросов на сертификат:
    Work with external CA / Work with internal MC service > External Gamma > Import / Generate > 8
    Проверка наличия внешней гаммы: Work with external CA / Work with internal MC service > External Gamma > Status
  3. Подключите и примонтируйте внешний носитель информации к Системе управления.
  4. Создайте запрос на Сертификат серверный СУ (MC Server Certificate):
    Work with external CA > MC Server Certificate > Generate request
    Важное замечание: DNS name, которое вводится в окне запроса, должно совпадать с именем Системы управления!
    Запишите на внешний носитель файл запроса на Сертификат серверный СУ (MC Server Certificate), введя путь и имя файла в адресной строке окна работы с файлами, например: /mnt/mc_server.req
  5. Создайте запрос на Сертификат сервисный СУ (MC Service Certificate):
    Work with external CA > MC Service Certificate > Generate request
    Запишите на внешний носитель файл запроса на Сертификат сервисный СУ (MC Service Certificate), введя путь и имя файла в адресной строке окна работы с файлами, например: /mnt/mc_service.req
  6. Подключитесь консольно к Узлу NGate. Запустите программу ng-certcfg.
  7. Создайте или загрузите внешнюю гамму на Узле NGate, части внешней гаммы будут использованы для создания запросов на сертификаты.
  8. Подключите к и примонтируйте Внешний носитель к Узлу NGate.
  9. Создайте запрос на Сертификат Узла NGate (Node Management Server Certificate):
    Work with external CA > Node Management Server Certificate > Generate key & Export request
    Запишите на внешний носитель файл запроса на Сертификат Узла NGate (Node Management Server Certificate), для этого введите в адресной строке окна работы с файлами путь к точке монтажа внешнего носителя и имя файла, например: /mnt/mc_node_1.req.
    Прим.: Чтобы избежать путаницы, имя файла запроса на сертификат должно содержать однозначные сведения о принадлежности к конкретному Узлу NGate!
  10. Запустите КриптоПро CSP на АРМ Администратора.
  11. Подключите внешний носитель к АРМ Администратора.
  12. Создайте запрос на Сертификат администратора (Administrator certificate). Например, при помощи оснастки Сертификаты.
  13. Передайте файлы запросов на сертификаты в Удостоверяющий центр, который предполагается использовать для создания инфраструктуры открытых ключей.
    Из УЦ должны быть получены:
    • Корневой сертификат УЦ (Root CA Certificate).
      • Промежуточный корневой сертификат УЦ (Intermediate CA Certificate). В случае получения ключей и сертификатов межкластерного взаимодействия на промежуточном УЦ (опционально).
    • Сертификат серверный СУ (MC Server Certificate) – на основании запроса с СУ.
    • Сертификат сервисный СУ (MC Service Certificate) – на основании запроса с СУ.
    • Сертификаты Узлов NGate (Node Management Server Certificate) – на основании запроса от каждого Узла NGate.
    • Сертификат Администратора (Administrator certificate) – на основании запроса с АРМ Администратора.
  14. Подключите и примонтируйте носитель информации с ключами и сертификатами к Системе управления.
  15. Загрузите Корневой сертификат УЦ (Root CA Certificate) так же в программе ng-certcfg:
    1. Work with external CA > CA Certificate > Import Root CA certificate
    2. Введите в адресной строке открывшегося окна работы с файлами путь к файлу сертификата на носителе информации, например: /mnt/ca_root_certificate.cer.
    Если при создания инфраструктуры используется промежуточный УЦ, то также загрузите Промежуточный корневой сертификат УЦ (Intermediate CA certificate):
    1. Work with external CA > CA Certificate > Import Intermediate CA certificate.
    2. Введите путь к файлу сертификата, например: /mnt/ca_intermediate_certificate.cer.
  16. Загрузите с внешнего носителя Сертификат серверный СУ (MC Server Certificate):
    Work with external CA > MC Server Certificate > Import certificate.
    Введите путь к файлу сертификата, например: /mnt/ngate_server.cer.
  17. Загрузите с внешнего носителя Сертификат сервисный СУ (MC Service Certificate):
    Work with external CA > MC Service Certificate > Import certificate
    Введите путь к файлу сертификата, например: /mnt/ngate_service.cer.
  18. В шлюзе NGate реализована возможность работы администраторов с разными ролями, кроме суперадминистратора (ng-admin) так же возможно организовать доступ для администраторов с ролями (подробнее см. Настройка управления доступом на основе ролей (RBAC)).
    : Активация портала суперадминистратора является обязательной для доступа в веб-интерфейс СУ. Портал администраторов с ролями (admin portal) нужно активировать, если планируется их использование.
    1. Активируйте портал суперадминистратора. В программе ng-certcfg выполните Work with external CA > Administrator Certificate > Activate superadmin portal.
    2. Выполните привязку сертификата Администратора к порталу.


    3. Введите в адресной строке окна работы с файлами путь к файлу сертификата, например: /mnt/admin.cer.
    4. Портал суперадминистратора успешно активирован.


    5. Для применения изменений необходимо перезапустить веб-сервер и сервер веб-приложений uWSGI. Выберите Yes в окне запроса.


    6. Перейдите в меню действия с сертификатом Администратора и активируйте портал для Администраторов с ролями: Work with external CA > Administrator certificate > Activate admin portal.
    7. Портал суперадминистратора успешно активирован.


  19. Подключите внешний носитель с ключами и сертификатами к Узлу NGate.
    Прим.: Операции, описанные ниже, по установке сертификатов на Узлы NGate выполните последовательно для каждого Узла, который предполагается задействовать в кластере.
  20. Загрузите Корневой сертификат УЦ (Root CA certificate) и при необходимости Промежуточного корневого сертификата УЦ (Intermediate CA certificate):
    Загрузка Корневого сертификата УЦ:
    1. Work with external CA > CA Certificate > Import Root CA certificate.
    2. Введите в адресной строке открывшегося окна работы с файлами путь к файлу сертификата на внешнем носителе, например: /mnt/ca_root_certificate.cer.
    Загрузка Промежуточного корневого сертификата УЦ (Intermediate CA certificate):
    1. Work with external CA > CA Certificate > Import Intermediate CA certificate.
    2. Введите путь к файлу сертификата, например: /mnt/ca_intermediate_certificate.cer.
  21. Выполните импорт Сертификата Узла NGate (Node Management Server Certificate) с внешнего носителя:
    Work with external CA > Node Management Server Certificate > Import certificate.
    Введите путь к файлу сертификата, например: /mnt/mc_node_1.cer.
    Важное замечание: Каждый загружаемый Сертификат Узла NGate (Node Management Server Certificate) должен быть получен строго по запросу на сертификат с данного Узла!
  22. Выполните привязку Сертификата сервисного УЦ (MC Service Certificate) с внешнего носителя:
    Work with external CA > MC Service Certificate > Create certificate bindings
    Введите путь к файлу сертификата, например: /mnt/mc_admin.cer.
  23. Подключите внешний носитель информации с сертификатами к компьютеру АРМ Администратора.
  24. Загрузите и установите программу СКЗИ «КриптоПро CSP», если ранее данная программа не установлена на АРМ Администратора.
  25. Установите Корневой сертификат СУ (при необходимости и промежуточный) сертификата на АРМ Администратора.
  26. Установите Сертификат Администратора из контейнера открытого ключа с внешнего носителя.
    Установка для версии СКЗИ «КриптоПро CSP» для ОС Windows.
  27. Не забудьте создать сервисные ключи, если это не было сделано до настройки инфраструктуры PKI.
    Создание и экспорт служебных ключей
После завершения установки возможно подключение с АРМ Администратора к Системе управления по защищённому TLS каналу https