Сертификаты

Indeed Access Manager является веб-приложением, для которого в процессе установки по умолчанию включается обязательное требование SSL. Для защищенного соединения с сервисами Indeed Access Manager необходимо подготовить следующие сертификаты:

• Корневой сертификат — сертификат удостоверяющего центра (УЦ). Выпускается один раз и выполняет роль УЦ для вашей инфраструктуры.

  Добавляется в мастере конфигурации на шаге Сертификаты в разделе Сертификат открытого ключа.

• Серверный сертификат — выписывается на доменное имя хоста, где установлены компоненты Indeed Access Manager.

  Добавляется в мастере конфигурации на шаге Сертификаты в разделе Серверный сертификат.

Сертификаты можно получить одним из способов:

• Выпустить в удостоверяющем центре (УЦ)
• Создать самоподписанный сертификат

Важно

Самоподписанные сертификаты не признаются публичными доверенными сторонами и не рекомендуются к использованию.

Корневой сертификат

Корневой сертификат домена выпускается один раз и выполняет роль удостоверяющего центра для вашей инфраструктуры.

УЦ

Чтобы экспортировать корневой сертификат УЦ:

1. В оснастке certlm.msc откройте выпущенный сертификат веб-сервера.
2. Перейдите на вкладку Путь сертификации (Certification Path).
3. Выберите верхний сертификат в цепочке — это корневой сертификат УЦ. Нажмите Просмотр сертификата (View Certificate).
4. Перейдите на вкладку Состав (Details).
5. Нажмите Копировать в файл (Copy to File). Откроется мастер экспорта сертификатов.
6. Нажмите Далее (Next).
7. Выберите формат X.509 (.CER) в кодировке Base-64 (Base-64 encoded X.509 (.CER)). Нажмите Далее (Next).
8. Укажите имя и путь для сохранения файла (например, ca.crt). Нажмите Далее (Next).
9. Нажмите Готово (Finish).

Полученный файл ca.crt используйте для установки корневого сертификата в доверенные на всех хостах с компонентами Indeed Access Manager.

Добавьте сертификат в мастере конфигурации на шаге Сертификаты в разделе Сертификат открытого ключа.

Самоподписанный сертификат

Самоподписанный корневой сертификат создается с помощью OpenSSL.

1. Сгенерируйте секретный ключ корневого сертификата.

   openssl genrsa -out ca.key 4096

2. Создайте корневой сертификат со сроком действия 10 лет. Вместо mydomain.local подставьте имя вашего домена.

   openssl req -x509 -new -key ca.key -out ca.crt -days 3650 -nodes \
     -subj "/C=RU/ST=Moscow/L=Moscow/O=MyOrg/CN=mydomain.local Root CA"

В результате создаются следующие файлы:

• ca.key — секретный ключ корневого УЦ. Храните в надежном месте с ограниченным доступом.
• ca.crt — корневой сертификат открытого ключа. Добавляется в мастере конфигурации на шаге Сертификаты в разделе Сертификат открытого ключа.

Установка корневого сертификата в доверенные

Чтобы сертификаты, подписанные вашим УЦ, автоматически считались доверенными, установите корневой сертификат ca.crt на всех хостах с компонентами Indeed Access Manager.

RedOS / RHEL

sudo cp ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Debian / Ubuntu

sudo cp ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

Windows

Импортируйте ca.crt в хранилище Доверенные корневые центры сертификации (Trusted Root Certification Authorities) с помощью certmgr.msc или групповых политик.

После установки корневого сертификата все сертификаты хостов, подписанные вашим УЦ, автоматически считаются доверенными.

Серверный сертификат

Серверный сертификат выписывается на доменное имя хоста, где установлены компоненты Indeed Access Manager. Требуется сгенерировать файл формата PFX, содержащий сертификат хоста, закрытый ключ и корневой сертификат для построения цепочки доверия.

Требования

• Субъект (Subject) сертификата должен содержать FQDN сервера, на котором установлены компоненты Indeed Access Manager.
• Дополнительное имя субъекта (Subject Alternative Name) должно содержать DNS-имя сервера и при необходимости IP-адрес. Дополнительное имя субъекта (SAN) должно совпадать с общим именем (CN).
• Улучшенный ключ (Enhanced Key Usage) должен содержать значения Проверка подлинности сервера (Server Authentication), Проверка подлинности клиента (Client Authentication), Цифровая подпись (digitalSignature) и Шифрование ключей (keyEncipherment).

note

Если в качестве общего имени (CN) указан IP-адрес, он должен быть без протокола и порта (например, 192.168.1.100, а не https://192.168.1.100:443).

УЦ

Шаблон сертификата

Для создания шаблона сертификата необходим доступ к серверу с установленной ролью Certificate Authority.

1. В Центре сертификации (Certificate Authority) нажмите правой кнопкой мыши на Шаблоны сертификатов (Certificate Templates) и выберите Управление (Manage).
2. В списке шаблонов нажмите правой кнопкой мыши на Веб-сервер (Web Server) и выберите Скопировать шаблон (Duplicate Template).
3. В окне свойств нового шаблона настройте следующие параметры:
   1. На вкладке Обработка запроса (Request Handling) включите опцию Разрешить экспортировать закрытый ключ (Allow private key to be exported).
   2. На вкладке Безопасность (Security):
      • В разделе Группы или пользователи (Group or user names) добавьте группу Прошедшие проверку (Authenticated Users).
      • В разделе Разрешения для группы "Прошедшие проверку" (Permissions for Authenticated Users) включите Заявка (Enroll) → Разрешить (Allow).
        note

        Если система не принимает имя шаблона, уберите кавычки или переименуйте шаблон (например, в IndeedAM).

4. Нажмите OK для сохранения шаблона и закройте окно управления шаблонами.
5. Вернитесь в Центр сертификации, нажмите правой кнопкой мыши на Шаблоны сертификатов (Certificate Templates) и выберите Создать (New) → Выдаваемый шаблон сертификата (Certificate Template to Issue).
6. В списке выберите созданный шаблон (например, IndeedAM) и нажмите OK.

Запрос сертификата веб-сервера по шаблону

1. Откройте certlm.msc и перейдите в раздел Сертификаты (локальный компьютер) (Certificates (Local Computer)).
2. Правой кнопкой мыши нажмите на Личное (Personal).
3. Выберите Все задачи (All Tasks) → Запросить новый сертификат (Request New Certificate).
4. В окне Регистрация сертификатов (Certificate Enrollment) два раза нажмите Далее (Next) и включите опцию с названием шаблона сертификата.
5. Нажмите на ссылку Требуется больше данных для подачи заявки на этот сертификат. Щелкните здесь для настройки параметров, чтобы указать дополнительную информацию. Откроется окно свойств сертификата.
6. На вкладке Субъект (Subject):
   1. В поле Имя субъекта (Subject name):
      • В выпадающем списке Тип (Type) выберите Общее имя (Common name).
      • Введите FQDN сервера, на котором установлены компоненты Indeed Access Manager, и нажмите Добавить (Add).
   2. В поле Дополнительное имя (Alternative name):
      • В выпадающем списке Тип (Type) выберите DNS.
      • Введите FQDN сервера, на котором установлены компоненты Indeed Access Manager, и нажмите Добавить (Add).
   3. Нажмите OK.
7. Перейдите на вкладку Закрытый ключ (Private Key) → Параметры ключа (Key Options) и убедитесь, что опция Сделать закрытый ключ экспортируемым (Make private key exportable) включена. Нажмите OK.
8. Нажмите Заявка (Enroll). Сертификат появится в хранилище Личное (Personal) → Сертификаты (Certificates).

Экспорт серверного сертификата в формате PFX

1. Откройте certlm.msc и перейдите в Личное (Personal) → Сертификаты (Certificates).
2. Правой кнопкой мыши нажмите на выпущенный сертификат и выберите Все задачи (All Tasks) → Экспорт (Export).
3. В мастере экспорта нажмите Далее (Next).
4. Выберите Да, экспортировать закрытый ключ (Yes, export the private key). Нажмите Далее (Next).
5. Выберите формат Файл обмена личной информацией — PKCS #12 (.PFX):
   1. Включите опцию Включить по возможности все сертификаты в путь сертификации (Include all certificates in the certification path if possible).
   2. Включите опцию Включить конфиденциальность сертификата (Enable certificate privacy).
6. Нажмите Далее (Next).
7. Установите пароль для PFX-файла. Нажмите Далее (Next).
8. Укажите путь для сохранения файла и нажмите Готово (Finish).

Созданный PFX-файл добавьте в мастере конфигурации на шаге Сертификаты в разделе Серверный сертификат.

Самоподписанный сертификат

Для создания серверного сертификата потребуется корневой сертификат (ca.key и ca.crt), созданный на предыдущем шаге.

1. Сгенерируйте ключ хоста.

   openssl genrsa -out srv01.key 2048

2. Создайте файл конфигурации srv01-san.cnf. Вместо srv01.mydomain.local подставьте FQDN сервера, на котором установлены компоненты Access Manager, вместо 192.168.1.100 — IP-адрес сервера, на котором установлены компоненты Access Manager.

   Пример файла srv01-san.cnf

   [req]
   distinguished_name = req_distinguished_name
   req_extensions = v3_req
   prompt = no
   
   [req_distinguished_name]
   C  = RU
   ST = Moscow
   L  = Moscow
   O  = MyOrg
   CN = srv01.mydomain.local
   
   [v3_req]
   keyUsage = digitalSignature, keyEncipherment, dataEncipherment
   extendedKeyUsage = serverAuth, clientAuth
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = srv01.mydomain.local
   DNS.2 = srv01
   IP.1 = 192.168.1.100

3. Сгенерируйте запрос на подпись сертификата (CSR).

   openssl req -new -key srv01.key -out srv01.csr -config srv01-san.cnf

4. Подпишите CSR корневым сертификатом.

   openssl x509 -req -in srv01.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
     -out srv01.crt -days 365 -extensions v3_req -extfile srv01-san.cnf

5. Создайте PFX-файл. Замените YourPassword123 на надежный пароль.

   openssl pkcs12 -export -out srv01.pfx \
     -inkey srv01.key -in srv01.crt -certfile ca.crt \
     -passout pass:YourPassword123

Созданный PFX-файл добавьте в мастере конфигурации на шаге Сертификаты в разделе Серверный сертификат.