Пример настройки демонстрационного стенда минимальной конфигурации

Развёртывание демонстрационного стенда производится на примере виртуальных машин (допустимо использовать аппаратную платформу NGate). Подробное описание процесса установки ПО NGate и настройки в консоли сетевых интерфейсов и других основных параметров см. в разделе: Мастер настройки при первом запуске. Подробное описание создания инфраструктуры PKI описано в Развёртывание инфраструктуры PKI с использованием встроенного сервиса Системы управления.

Схема демонстрационного стенда показана на рисунке Схема демонстрационного стенда для бесклиентского доступа. В качестве шлюза NGate выступает ВМ с дистрибутивом complete, в котором Узел NGate и СУ совмещены, имя машины ngate-vm-complete. В качестве АРМ Администратора выступает ПК с ОС Windows с уже установленным криптопровайдером КриптоПро CSP. АРМ Администратора должен находиться в той же локальной сети, что и виртуальная машина NGate для стенда.

Рис. 1. Схема демонстрационного стенда для бесклиентского доступа


Прим.: Схемы IP-адресации, используемые в данном примере, носят условный характер и могут отличаться в зависимости от настроек сети предприятия.
  1. Создайте в программном обеспечении виртуализации виртуальную машину с параметрами:
    • Гостевая операционная система Debian Linux 9 x64;
    • ОЗУ – 1 ГБ;
    • Жесткий диск – 10 ГБ;
    • Виртуальные сетевые интерфейсы – 2 шт., тип сетевого адаптера E1000, тип сетевого взаимодействия Bridged Networking.
    Подробнее: Параметры виртуальных машин для NGate.
  2. Смонтируйте образ installer-vmcomplete.iso (дистрибутив complete для виртуальных машин) в виртуальный привод машины и установите ПО NGate. Во время установки нужно ввести пароли для суперпользователя консоли root, административного пользователя ng-admin, и ввести имя машины (в нашем примере: ngate-vm-complete).
    Подробнее: Установка программного обеспечения NGate.
  3. Запустится мастер настройки при первом запуске, где нужно задать параметры сетевых интерфейсов, часовой пояс, сгенерировать внешнюю гамму (4) и открыть доступ по SSH.
  4. Первой запустится утилита ng-netcfg, где нужно задать параметры сетевых интерфейсов.
    1. Выберите Configure interfaces, нажмите OK:


    2. Выберите первый интерфейс для настройки, нажмите ОК:


    3. Выберите тип статический static: Configure static address, нажмите ОК:


    4. Введите параметры сетевого интерфейса, в данном примере параметры вводятся в соответствии со схемой на рисунке Схема демонстрационного стенда для бесклиентского доступа. После завершения ввода нажмите ОК.


    5. Выберите второй интерфейс для настройки:


    6. Выберите тип статический static: Configure static address, нажмите ОК:


    7. Введите параметры второго сетевого интерфейса, также в соответствии со схемой на рисунке Схема демонстрационного стенда для бесклиентского доступа. После завершения ввода нажмите ОК.


    8. Выберите один из интерфейсов для интерфейса управления management interface. Через данный интерфейс будет осуществляться доступ с АРМ Администратора к веб-интерфейсу управления ВМ NGate. Для выбора войдите в меню Select management interface.


    9. Установите курсор на нужный сетевой интерфейс и нажмите Пробел для выбора. В поле выбранного интерфейса появится (*). В качестве интерфейса управления для данного стенда назначим внутренний 192.168.1.3. Нажмите OK для сохранения и возврата в основное меню утилиты.


    10. Перезагрузите сетевые интерфейсы для применения настроек: выберите Restart network.


    11. Выберите перезагрузку всех интерфейсов ALL и нажмите OK.


  5. Нажмите Cancel в основном меню утилиты ng-netcfg для продолжения настройки.


  6. Затем в мастере настройки запустится утилита ng-timezone для установки часового пояса.
    1. Выберите регион, соответсвующий вашему часовому поясу. Нажмите OK.


    2. Выберите город, соответсвующий вашему часовому поясу. Нажмите OK.


    3. Настройка завершена.


  7. Сгенерируйте элементы внешней гаммы в специальной утилите.
    1. В поле External Gamma нажмите OK.


    2. Выберите Generate.


    3. В дальнейшем будет использовано 8 элементов гаммы, столько .


    4. Введите Yes на запрос об перезаписи гаммы.


    5. Вводите произвольные символы с клавиатуры до завершения.


    6. Успешное завершение создания внешней гаммы. Нажмите OK для продолжения.


    7. Выберите дважды Cancel для возврата в главное меню и ещё раз Cancel в главном меню для продолжения работы мастера настройки.
  8. Откройте доступ по SSH для суперпользователя root по паролю: выберите Yes в запросе.


  9. Залогиньтесь в системе NGate как суперпользователь root, пароль был задан при установке. 
    ngate-vm-complete login: root
Password:
  10. Запустите утилиту для создания инфраструктуры PKI внутреннего взаимодействия: введите ng-certcfg в командной строке. В демонстрационном стенде присутствует только одна машина NGate с дистрибутивом complete, и из всей инфраструктуры необходимо создать только защищённый доступ к веб-интерфейсу управления с АРМ Администратора.
  11. Создайте корневой сертификат MC Root Certificate.
    1. В данном примере в качестве замены Удостоверяющего центра используем внутренний сервис СУ. Выберите Work with internal MC service.


    2. Выберите MC Root Certificate.


    3. Создайте сертификат Generate.


    4. Выберите Yes в окне запроса про удаление текущего сертификата.


    5. Введите данные Корневого сертификата (MC Root Certificate) и нажмите OK.


    6. Сертификат успешно создан и установлен на данную машину NGate. Нажмите OK для возврата в меню работы с корневыми сертификатами.


  12. Создайте Серверный сертификат MC Server Certificate.
    1. Перейдите в меню взаимодействия с сертификатами внутреннего сервиса СУ. Выберите в данном меню MC Server Certificate.


    2. Выберите Generate key and certificate.


    3. Введите DNS-имя машины NGate в поле DNS-имя, в данном пример это ngate-vm-complete.


    4. Сертификат успешно создан, нажмите OK для возврата в главное меню утилиты.


  13. Создайте Сертификат Администратора Administrator certificate.
    1. Выберите в меню работы с сертификатами Administrator certificate.


    2. Выберите Generate key and certificate.


    3. Введите данные сертификата.


    4. Сертификат Администратора успешно сформирован.


  14. Выполните привязку Сертификат Администратора.
    1. Экспортируйте файл для привязки Export certificate for bindings.


    2. Введите директорию для экспорта. При помощи кнопки Tab выберите адресную строку в окне работы с файлами и введите директорию и имя файла сертификата, например: /tmp/admin.cer.


    3. Сертификат успешно экспортирован.


    4. Привяжите сертификат администратора к данной машине NGate, выберите Create certificate bindings.


    5. Введите путь к файлу /tmp/admin.cer.


    6. Сертификат успешно привязан.


    7. Появится запрос о перезапуске сервисов для применения новых настроек.


    8. Успешный перезапуск.


  15. Экспортируйте закрытый ключ Сертификата Администратора на флеш-накопитель.
    1. Подключите к виртуальной машине NGate флеш-накопитель (без записанных файлов, в формате FAT32).
    2. Выберите Export Administrator key to USB.


    3. Выберите из списка флеш-накопитель для экспорта закрытого ключа.


    4. Введите пароль для контейнера закрытого ключа. Затем ещё раз повторите пароль.


    5. Контейнер закрытого ключа успешно экспортирован.


  16. В консоли шлюза необходимо сформировать сервисные ключи. .
    1. Выберите в главном меню утилиты ng-certcfg Service keys management.


    2. Создайте новые сервисные ключи Generate.


    3. Сервисные ключи успешно сформированы, нажмите ОК для возврата в меню утилиты.


  17. Настройте АРМ Администратора для подключения к веб-интерфейсу управления машины NGate по защищённому каналу. Установите корневой сертификат (MC Root Certificate) на АРМ Администратора.
    1. Скопируйте файл корневого сертификата с машины NGate на АРМ Администратора. По умолчанию файл расположен: /tmp/mc_root_generated.cer. Используйте файловый менеджер c подключением по SSH или перенесите файл через флеш-накопитель.


    2. Установите корневой сертификат в хранилище доверенных корневых сертификатов. Нажмите правой кнопкой мыши на файле и выберите Установить сертификат.


    3. Выберите Локальный компьютер и нажмите Далее.


    4. Выберите хранилище для установки корневого сертификата: Поместить все сертификаты в следующее хранилище > Обзор > Доверенные корневые центры сертификации > ОК.


  18. Установите Сертификат Администратора (Administrator Certificate).
    1. Подключите к АРМ Администратора флеш-накопитель с контейнером закрытого ключа Сертификата администратора.
    2. Запустите КриптоПро CSP. Перейдите на вкладку Сервис и выберите Просмотреть сертификаты в контейнере.


    3. Нажмите Обзор.


    4. Выберите сертификат на флеш-накопителе, который был получен ранее.


    5. Нажмите Установить.


  19. Пропишите на DNS-сервере сети или в файле хостов АРМ Администатора соответсвия DNS-имени (ngate-vm-complete) и адреса управления (192.168.1.3).
  20. Теперь возможно подключение к веб-интерфейсу машины NGate через браузер с поддержкой ГОСТ TLS, в котором производится дальнейшая настройка шлюза.