Развёртывание инфраструктуры PKI с использованием встроенного сервиса Системы управления

Инструкция по созданию инфраструктуры открытых ключей с использованием Встроенного сервиса СУ NGate

В данном разделе описана последовательность действий для создания инфраструктуры открытых ключей с использованием Встроенного сервиса СУ NGate. Схема настройки представлена на рисунке Схема создания инфраструктуры PKI с использованием встроенного сервиса СУ. В качестве Системы управления выступает машина с установленным дистрибутивом management, в качестве Узла NGate (англ. Node) – с установленным дистрибутивом gate. Процесс установки сертификатов в АРМ Администратора зависит от ОС, используемой на АРМ Администратора.

Для переноса сертификатов и файлов запросов на сертификат между аппаратными платформами при создании инфраструктуры PKI нужно использовать внешний носитель информации. Экспорт Сертификата администратора возможен только на внешний носитель информации.

Важное замечание: В данном примере указан используется один Узел NGate, при большем числе Узлов NGate в кластере процедура установки и привязки сертификатов будет аналогичной и должна быть произведена для каждого из Узлов NGate.
Рис. 1. Схема создания инфраструктуры PKI с использованием встроенного сервиса СУ


  1. Подключитесь консольно к Узлу NGate. Запустите программу ng-certcfg, предназначенную для создания инфраструктуры PKI NGate.
    1. Подключитесь консольно к АП Узла NGate.
      Способы подключения к аппаратным платформам NGate.
    2. Авторизуйтесь в системе под суперпользователем root: 
      ngate-mc login: root
Password:
    3. Введите в консоли: 
      ng-certcfg
  2. Создайте или загрузите внешнюю гамму на Узел NGate. Длинна внешней гаммы должна быть достаточной для генерации не менее 2-х закрытых ключей:
    Work with internal MC service > External Gamma > Import / Generate > 2
    Проверка наличия и длины загруженной внешней гаммы: Work with internal MC service > External Gamma > Status
  3. Подключите внешний носитель информации к Узлу NGate.
    Примонтируйте внешний носитель информации с разрешением на запись для всех пользователей: 
    mount /dev/sdb1 /mnt -o umask=000

    где вместо /dev/sdb1 ‒ введите текущее имя внешнего носителя.

  4. Создайте файл запроса, содержащий запрос к Внутреннему сервису СУ на получение Сертификата Узла NGate (Node Management Server Certificate).
    1. Выберите в программе Work with internal MC service > Node Management Server Certificate > Generate key & Export request


    2. Введите данные сертификата:
      • DNS name ‒ имя Узла NGate (обязательный);
      • Organisation ‒ название организации;
      • Organisation Unit ‒ название подразделения организации;
      • Country ‒ двухбуквенный код страны (RU).
    3. Откроется окно работы с файлами программы ng-certcfg, где в адресной строке введите путь сохранения и имя файла запроса на сертификат, например, /mnt/request_node1.req (контейнер ключа также будет создан и записан в системе).
      Прим.: Чтобы избежать путаницы, имя файла запроса на сертификат должно содержать сведения о принадлежности к конкретному Узлу NGate!


      Подробнее о навигации в окне работы с файлами программы ng-certcfg
    4. Отмонтируйте внешний носитель информации: 
      umount /mnt
    Важное замечание: Запросы на Сертификат Узла NGate (Node Management Server Certificate) должны быть сформированы для всех Узлов в кластере!
  5. Подключитесь консольно к Системе управления. Запустите программу ng-certcfg: 
    ng-certcfg
  6. Создайте или загрузите внешнюю гамму на СУ. Внешняя гамма необходима для создания сертификатов Внутренним сервисом СУ.
    Work with internal MC service > External Gamma > Generate / Import > 8
  7. Подключите и примонтируйте внешний носитель информации с файлом запроса на сертификат Узла NGate.
  8. Создайте и запишите на внешний носитель информации Корневой сертификат СУ (MC Root Certificate), будет использована часть внешней гаммы:
    1. Перейдите в окно создания сертификата: Work with internal MC service > MC Root Certificate > Generate
    2. Введите данные сертификата:
      • Name ‒ наименование сертификата (обязательный);
      • Organisation ‒ название организации;
      • Organisation Unit ‒ название подразделения организации;
      • Country ‒ двухбуквенный код страны (RU).


    3. Нажмите OK, Корневой сертификат СУ (MC Root Certificate) будет создан и записан в хранилище.
      Прим.: Корневой сертификат также автоматически создаётся в /tmp/mc_root_generated.cer, можно скопировать на внешний носитель Корневой сертификат из данной директории.
    4. Экспортируйте сертификат на внешний носитель информации:
      Work with internal MC service > MC Root Certificate > Export certificate
    5. Введите путь сохранения на внешний носитель информации и название файла сертификата в адресной строке окна работы с файлами:


  9. Создайте Сертификат серверный СУ (MC Server Certificate). Учтите, что Корневой сертификат СУ (MC Root Certificate) уже должен быть сформирован, также необходима внешняя гамма:
    1. Перейдите в окно создание сертификата: Work with internal MC service > MC Server Certificate > Generate key and certificate


    2. Введите данные сертификата:
      • DNS name ‒ имя СУ NGate (обязательный);
      • Organisation ‒ название организации;
      • Organisation Unit ‒ название подразделения организации;
      • Country ‒ двухбуквенный код страны (RU).
    3. Нажмите ОК.
    Важное замечание: DNS name должно совпадать с именем данной Системы управления!
    Сертификат и контейнер закрытого ключа автоматически устанавливаются в реестр доверенных сертификатов текущей СУ.
  10. Создайте Сертификат сервисный СУ (MC Service Certificate). Учтите, что корневой сертификат уже должен быть сформирован, также необходима внешняя гамма:
    1. Перейдите в окно создания сертификата: Work with internal MC service > MC Service Certificate > Generate key and certificate


    2. Введите данные сертификата:
      • Common name ‒ имя Узла NGate (обязательный);
      • Organisation ‒ название организации;
      • Organisation Unit ‒ название подразделения организации;
      • Country ‒ двухбуквенный код страны (RU).
    3. Нажмите OK.
    4. Экспортируйте Сертификат сервисный СУ (MC Service Certificate) на внешний носитель информации (данный сертификат потребуется для привязки (binding) к Узлам кластера):
      Work with internal MC service > MC Service Certificate > Export certificate
    5. Введите путь сохранения и название файла сертификата (например mnt/mc_service.cer) в адресной строке окна работы с файлами:


  11. Подпишите запрос на Сертификат Узла NGate (Node Management Server Certificate) и экспортируйте полученный Сертификат на внешний носитель информации:
    1. Выполните команду подписи запроса и экспорта: Work with internal MC service > Node Management Server Certificate > Sign request and Export Certificate
    2. Утилита автоматически перейдёт в окно работы с файлами, введите путь к файлу запроса в адресной строке:


    3. Затем введите путь расположения файла на внешнем носителе информации и имя файла для хранения Сертификата Узла NGate (Node Management Server Certificate) (например, mnt/cert_node1.cer).


    Важное замечание: Помните, что созданный сертификат должен быть записан именно на тот Узел NGate, на котором и был сформирован запрос на сертификат, поэтому выбирайте имя Сертификата так, чтобы было понятно для какого Узла данный сертификат предназначен!
  12. Создайте Сертификат Администратора (Administrator certificate), будет использована часть внешней гаммы:
    1. Перейдите в окно создание сертификата: Work with internal MC service > Administrator Certificate > Generate key and certificate


    2. Введите данные сертификата:
      • Common name ‒ имя клиентского сертификата (обязательный);
      • Organisation ‒ название организации;
      • Organisation Unit ‒ название подразделения организации;
      • Country ‒ двухбуквенный код страны (RU).
    3. Выполните экспорт файла Сертификата Администратора, это необходимо для последующей привязки этого сертификата к порталу суперадминистратора: Work with internal MC service > Administrator Certificate > Export Certificate for bindings
      Выберите директорию для экспорта и введите имя файла в адресной строке: /tmp/admin.cer

    4. Перезагрузите веб-сервер и сервер веб-приложений uWSGI: нажмите Yes в окне запроса. Это необходимо для активации привязки.
    5. Отмонтируйте внешний носитель.
    6. Произведите экспорт контейнера с закрытым ключом Сертификата Администратора на внешний носитель:
      Work with internal MC service > Administrator Certificate > Export Administrator cert to USB flash
      Внимание: Внешний носитель должен быть подключен, но НЕ примонтирован.


    7. Выберите внешний носитель.


    8. Введите и затем подтвердите пароль для контейнера ключа, данный пароль потребуется ввести при установке сертификата из контейнера на АРМ Администратора.


  13. В шлюзе NGate реализована возможность работы администраторов с разными ролями, кроме суперадминистратора (ng-admin) так же возможно организовать доступ для администраторов с ролями (подробнее см. Настройка управления доступом на основе ролей (RBAC)).
    : Активация портала суперадминистратора является обязательной для доступа в веб-интерфейс СУ. Портал администраторов с ролями (admin portal) нужно активировать, если планируется их использование.
    1. Активируйте портал суперадминистратора. В программе ng-certcfg выполните Work with internal MC service > Administrator Certificate > Activate superadmin portal.


    2. Выполните привязку сертификата Администратора к порталу.


    3. Введите путь к файлу и имя файла сертификата Администратора в адресной строке, нажмите OK


    4. Портал суперадминистратора успешно активирован.


    5. Для применения изменений необходимо перезапустить веб-сервер и сервер веб-приложений uWSGI. Выберите Yes в окне запроса.


    6. Перейдите в меню действия с сертификатом Администратора и активируйте портал для Администраторов с ролями: Work with internal MC service > Administrator certificate > Activate admin portal.


    7. Для применения изменений необходимо перезапустить веб-сервер и сервер веб-приложений uWSGI. Выберите Yes в окне запроса.


  14. На внешнем носителе информации должны быть в итоге записаны:
    • файл Корневого сертификата (MC Root Certificate);
    • файлы Сертификата Узлов NGate (Node Management Server Certificate), полученные подписанием Запросов на сертификат Узла;
    • контейнер ключа и сертификат Администратора (Administrator Certificate);
    • файл Сервисного сертификата СУ (MC Service Certificate) для привязки к Узлам NGate.
    Если записаны все нужные файлы, то отключите внешний носитель.
  15. Подключите и примонтируйте внешний носитель информации с сертификатами к Узлу NGate (в данном примере директория монтажа: /mnt).
    Подробнее: Подключение и отключение внешнего носителя информации.
  16. Импортируйте Корневой сертификат СУ (MC Root Certificate) на Узел NGate с внешнего носителя:
    1. Work with internal MC service > MC Root Certificate > Import certificate
    2. Введите путь к файлу Корневого сертификата СУ в адресной строке, нажмите OK:


  17. Импортируйте сертификат Узла NGate:
    1. Work with internal MC service > Node Management Server Certificate > Import certificate
    2. Введите путь к файлу сертификата для привязки:


      Прим.: При наличии нескольких Узлов NGate для каждого узла выбирайте соответствующий запросу сертификат!
  18. Выполните привязку Сертификата сервисного СУ (MC Service Certificate) к Узлу NGate:
    1. Work with internal MC service > MC Service Certificate > Create certificate bindings
    2. Введите путь к файлу сертификата для привязки:


    3. Для применения изменений необходимо перезапустить веб-сервер и сервер веб- приложений uWSGI. Выберите Yes в окне запроса.
      Прим.: В случае отказа перезагрузку сервисов можно выполнить позже.
    Для корректной привязки должен быть назначен Интерфейс управления (англ. Management Interface) в программе ng-netcfg.
  19. Подключите внешний носитель информации с сертификатами к компьютеру АРМ Администратора.
  20. Загрузите и установите программу СКЗИ «КриптоПро CSP», если ранее данная программа не установлена на АРМ Администратора.
  21. Установите Корневой сертификат СУ (при необходимости и промежуточный) сертификата на АРМ Администратора.
  22. Установите Сертификат Администратора из контейнера открытого ключа с внешнего носителя.
    Установка для версии СКЗИ «КриптоПро CSP» для ОС Windows.
  23. Не забудьте создать сервисные ключи, если это не было сделано до настройки инфраструктуры PKI.
    Создание и экспорт служебных ключей
После завершения установки возможно подключение с АРМ Администратора к Системе управления по защищённому TLS каналу https.