Использование сертификатов сервиса API, выпущенных внутренним сервисом Системы управления NGate

Описание выпуска, экспорта и импорта сертификата сервиса API с использованием встроенного сервиса Системы управления NGate.

Для работы сервиса API в NGate необходимо выпустить ключи и сертификаты. Самым простым и доступным средством выпуска сертификата API является использование встроенного сервиса Системы управления NGate, также возможно использование внешнего УЦ.

Перед настройкой API сервиса убедитесь, что выполнены все настройки инфраструктуры PKI внутреннего взаимодействия, в данном случае с использованием встроенного сервиса Системы управления NGate.

  1. Подключитесь консольно к Системе управления NGate и залогиньтесь под пользователем root.
    Консольное подключение к аппаратным платформам КС1
    Консольное подключение к аппаратным платформам КС2, КС3 (ПАК «Соболь»)
    Авторизация в ПО NGate при консольном подключении
  2. Запустите программу ng-certcfg, предназначенную для создания инфраструктуры ключей системы NGate.

    ng-certcfg

  3. Создайте ключ и клиентский сертификат сервиса API.
    1. Создайте или загрузите внешнюю гамму достаточную для генерации 2 ключей.
      External gamma management > Import/Generate
    2. Перейдите в программе ng-certcfg во встроенный сервис СУ NGate в меню генерации сертификата API:

      Work with internal MC service > API service certificate > Generate key and certificate



    3. Введите данные сертификата в окне запроса и нажмите ОК:


    4. Появится сообщение об успешном создании сертификата с серийным номером.


  4. Для активации API на СУ и на Узлах NGate необходимо экспортировать сертификат для привязки. Для привязки к СУ сертификат можно экспортировать в любую директорию системы. Файл сертификата для привязки к Узлам NGate необходимо потом перенести с СУ на целевой Узел NGate, например, с помощью внешнего носителя, как описано в п. 5.
    1. Выберите в программе ng-certcfg экспорт сертификата:

      Work with internal MC service > API service certificate > Export certificate for bindings



    2. Откроется окно работы с файлами программы ng-certcfg, где в адресной строке введите путь сохранения и имя сертификата:


    3. После того, как файл сертификата успешно экспортирован в систему, выполните привязку:
      Work with internal MC service > API service certificate > Bind API Service certificate


    4. Откроется окно работы с файлами, где нужно в адресной строке ввести путь и имя к экспортированному для привязки файлу сертификата.
    5. Сертификат успешно привязан.
  5. Для активации API на Узлах NGate экспортируйте сертификат на внешний носитель для дальнейшей привязки непосредственно на Узлах NGate.
    1. Подключите и примонтируйтевнешний носитель информации с разрешением на запись для всех пользователей:

      mount /dev/sdb1 /mnt -o umask=000

      где вместо /dev/sdb1 ‒ введите текущее имя внешнего носителя.

    2. Выберите в программе ng-certcfg экспорт сертификата:

      Work with internal MC service > API service certificate > Export certificate for bindings



    3. Откроется окно работы с файлами программы ng-certcfg, где в адресной строке введите путь сохранения и имя сертификата:


    4. Файл сертификата успешно экспортирован на внешний носитель.


    5. Подключитесь консольно к Узлу NGate и залогиньтесь под пользователем root.
      Консольное подключение к аппаратным платформам КС1
      Консольное подключение к аппаратным платформам КС2, КС3 (ПАК «Соболь»)
      Авторизация в ПО NGate при консольном подключении

    7. Выберите в программе ng-certcfg привязку сертификата:

      Work with internal MC service > API service certificate > Bind API Service certificate



    8. Откроется окно работы с файлами программы ng-certcfg, укажите путь к сертификату и имя и нажмите ОК:


    9. Будет предложено перезапустить веб-сервисы, для этого выберите Yes, после этого привязанный сертификат будет активирован.


    10. Выполните привязку сертификата API сервиса ко всем Узлам NGate в кластере.
  6. Для обеспечения доступа API на целевой внешней системе экспортируйте ключ сервиса API на внешний носитель USB.
    1. Выберите в программе ng-certcfg функцию экспорта

      Work with internal MC service > API service certificate > Export to USB



    2. Выберите подключенный внешний носитель информации из списка.


    3. Введите и повторите пароль для контейнера закрытого ключа сертификата сервиса API.


    4. Закрытый ключ успешно экспортирован.
    5. На системе, на которой необходимо настроить доступ по API, требуется выполнить импорт контейнера с внешнего носителя USB.
      Пример импорта для ОС Windows по аналогии с установкой сертификата Администратора: Установка сертификата Администратора в ОС Windows