Пример настройки защищённого подключения АРМ Администратора на ОС Linux к СУ NGate

Основные этапы настройки защищённого подключения АРМ Администратора на ОС Linux к системе управления NGate.

В данном разделе описаны основные этапы настройки подключения по защищённому протоколу httpsАРМ Администратора на ОС Linux к СУ NGate. В примере используется АРМ Администратора на ОС Astra Linux, особенности использования других дистрибутивов Linux смотрите в документации для данных дистрибутивов.

В данном примере настройка осуществляется с использованием встроенного сервиса СУ NGate (Internal MC service), настройка с внешним УЦ будет происходить аналогично, но выпуск сертификатов и ключей должен быть проведён в используемом внешнем УЦ.

Подробнее о создании инфраструктуры открытых ключей внутреннего взаимодействия NGate читайте в главе: Создание инфраструктуры открытых ключей внутреннего взаимодействия NGate.

  1. Установите дистрибутив ПО NGate management (complete) на СУ NGate.
    Установка программного обеспечения NGate
  2. Подключитесь консольно к системе управления NGate и авторизуйтесь как суперпользователь root. 
    ngate-mc login: root
Password:
    Способы подключения к аппаратным платформам NGate
  3. Настройте сетевые параметры в консольной программе ng-netcfg, обязательно задайте интерфейс управления (management interface). 
    ng-netcfg
    Настройка сетевого интерфейса управления
  4. Запустите консольную программу настройки инфраструктуры PKI ng-certcfg. 
    ng-certcfg
  5. Создайте или загрузите внешнюю гамму длиной не менее 4 отрезков: External gamma management > Generate > 4.
    Создание внешней гаммы в консольной утилите ng-certcfg
  6. Создайте Корневой сертификат СУ (MC Root Certificate), будет использована часть внешней гаммы: Work with internal MC service > MC Root Certificate > Generate.
    Подробнее см: 8.
  7. Примонтируйте и запишите на внешний носитель информации файл корневого сертификата. Отмонтируйте внешний носитель. Пример команд:
    mount /dev/sdb1 /mnt -o umask=000
    cp /tmp/mc_root_generated.cer /mnt
    umount /mnt
  8. Создайте Сертификат Администратора (Administrator certificate), будет использована часть внешней гаммы: Work with internal MC service > Administrator Certificate > Generate key and certificate
    Подробнее см. 12
    Подключение и отключение внешнего носителя информации
    Копирование ключевого носителя
  9. Выполните экспорт сертификата Администратора в локальную директорию для последующей привязки к порталу суперадминистратора:
    Work with internal MC service > Administrator Certificate > Export Certificate for bindings
    Подробнее см. 12
  10. Активируйте портал суперадминистратора, выполните в процессе привязку сертификата администратора:
  11. Экспортируйте контейнер закрытого ключа сертификата Администратора на внешний носитель (носитель должен быть подключен, но не примонтирован к СУ).
    Work with internal MC service > Administrator Certificate > Export Administrator key to USB
  12. Подключите и примонтируйте внешний носитель с корневым сертификатом к АРМ Администратора. Установите сертификат в хранилище. Установка возможна также с использованием графической версии приложения

    sudo mount dev/sdb1 /mnt

    /opt/cprocsp/bin/amd64/certmgr -inst -cert -file ~/Загрузки/<название файла>.cer -store uRoot

    umount /mnt
  13. Установите сертификат Администратора
    /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file ~/cert.cer -cont '\\.\HDIMAGE\HDIMAGE\\username\0000' -pin <если_есть>
  14. Запустите браузер и введите адрес СУ NGate с протоколом https и 8000 портом.