Использование сертификатов сервиса API, выпущенных внутренним сервисом Системы управления NGate

Описание выпуска, экспорта и импорта сертификата сервиса API с использованием встроенного сервиса Системы управления NGate.

Для работы сервиса API в NGate необходимо выпустить ключи и сертификаты. Самым простым и доступным средством выпуска сертификата API является использование встроенного сервиса Системы управления NGate, также возможно использование внешнего УЦ.

Перед настройкой API сервиса убедитесь, что выполнены все настройки инфраструктуры PKI внутреннего взаимодействия, в данном случае с использованием встроенного сервиса Системы управления NGate.

  1. Подключитесь консольно к Системе управления NGate и залогиньтесь под пользователем root.
    Консольное подключение к аппаратным платформам КС1
    Консольное подключение к аппаратным платформам КС2, КС3 (ПАК «Соболь»)
    Авторизация в ПО NGate при консольном подключении
  2. Запустите программу ng-certcfg, предназначенную для создания инфраструктуры ключей системы NGate.

    ng-certcfg

  3. Создайте ключ и клиентский сертификат сервиса API.
    1. Создайте или загрузите внешнюю гамму по числу Узлов NGate.
      External gamma management > Import/Generate
    2. Перейдите в программе ng-certcfg в встроенный сервис СУ NGate в меню генерации сертификата API:

      Work with internal MC service > API service certificate > Generate key and certificate

    3. Введите данные сертификата в окне запроса и нажмите ОК:


    4. Появится сообщение об успешном создании сертификата с серийным номером.


  4. Экспортируйте сертификат для дальнейшей привязки к Узлам NGate.
    1. Подключите и примонтируйтевнешний носитель информации с разрешением на запись для всех пользователей:

      mount /dev/sdb1 /mnt -o umask=000

      где вместо /dev/sdb1 ‒ введите текущее имя внешнего носителя.

    2. Выберите в программе ng-certcfg экспорт сертификата:

      Work with internal MC service > API service certificate > Export certificate for bindings

    3. Откроется окно работы с файлами программы ng-certcfg, где в адресной строке введите путь сохранения и имя сертификата:


    4. Файл сертификата успешно экспортирован на внешний носитель.


  5. Экспортируйте ключ сервиса API на внешний носитель USB.
    1. Выберите в программе ng-certcfg функцию экспорта

      Work with internal MC service > API service certificate > Export to USB

    2. Выберите подключенный внешний носитель информации из списка.
    3. Введите и повторите пароль для контейнера закрытого ключа сертификата сервиса API.

    4. Закрытый ключ успешно экспортирован.
  6. Привяжите сертификат API сервиса к Узлам NGate.
    1. Подключитесь консольно к Узлу NGate (далее СУ) и залогиньтесь под пользователем root.
      Консольное подключение к аппаратным платформам КС1
      Консольное подключение к аппаратным платформам КС2, КС3 (ПАК «Соболь»)
      Авторизация в ПО NGate при консольном подключении
    2. Подключите и примонтируйтевнешний носитель информации с разрешением на запись для всех пользователей:

      mount /dev/sdb1 /mnt -o umask=000

      где вместо /dev/sdb1 ‒ введите текущее имя внешнего носителя.

    3. Выберите в программе ng-certcfg привязку сертификата:

      Work with internal MC service > API service certificate > Bind API Service certificate

    4. Откроется окно работы с файлами программы ng-certcfg, укажите путь к сертификату и имя и нажмите ОК:


    5. Будет предложено перезапустить веб-сервисы, для этого выберите Yes, после этого привязанный сертификат будет активирован.
    6. Выполните привязку сертификата API сервиса ко всем узлам в кластере.