Центр сертификации ejbca
Вводная информация
Ejbca это наш внутренний центр сертификации работающий на docker
Доменное имя: ejbca.gk-rte.ru
Ссылка на вход : https://ejbca.gk-rte.ru/ejbca/adminweb/
На данный момент у нас есть один корневой сертификат RootCS который используется для gk-rte
И подписанный сертификат для доменных имён :
portal.gk-rte.ru
portal-ob.gk-rte
portals4.gk-rte.ru
portal-ob2.gk-rte.ru
В данной инструкции создадим корневой сертификат для rpn-sfera . Так же публичный и приватный ключ для домена portal.rpn-sfera.ru.
Примечание : Все нужные сертификаты буду находится на cloud2.rpn-sfera.ru... И admin-files...
Настройка Crypto Tokens
На верхней панели нажимаем CA Function потом Crypto Tokens
Мы попадаем в Manage Crypto Tokens .
Нажимаем на Create new...
Далее пишем название нашего токена и вводим стандартный пароль t
Теперь в первой строке пишем signKey а во второй выбираем RSA 2048 и нажимаем Generate new key pair
Повторяем то же самое только в место singKey пишем encryptKey
Должно получиться вот так :
Создание и настройка корневого сертификата
На верхней панели нажимаем CA Function потом Certification Authorities
Мы попадаем в Manage Certification Authorities и пишем под Add CA название нашего будущего корневого сертификата ( в моём случае будет RootCaRPN ) и нажимаем на create...
Приступаем к насe настройке.
В Crypto Token ставим тот что мы создали выше ( у меня это MyRootRPN )
Спускаемся ниже , нас интересует CA Certificate Data >> Subject DN и Validity
Subject DN где мы указываем информацию о нашем сертификате , организации и стране
Validity время действия сертификата
Нажимаем Save
Настройка профиля
Нажимаем на верхней панели RA Functions и End Entity Profiles
Под надписью Add End Entity Profile пишем название нашего профиля ( у меня это будет CA-rpn ) и нажимаем Add Profile
Теперь выбираем наш профиль и нажимаем Edit End Entity Profile
Приступим к настройки профиля
В параметре Username ставим галку на Auto-generated , в параметре Password вводим стандартный пароль t и оставляем галку на Required , в параметре End Entity E-mail убираем галку на Use
Далее в параметре Subject DN Attributes нажимаем на стрелку в низ и выбираем нужные данные ( CN, С и O )
В разделе Other Subject Attributes нас интересует Subject Alternative Name
Здесь выбираем DNS Name и нажимаем add. Можно сделать один сертификат на разное количество доменов , для этого нажимаем на add столько раз сколько нам нужно доменных имён
Переходим к параметрам Main Certificate Data
В параметре Default Certificate Profile выбираем SERVER , в Available Certificate Profiles можно так же поставить SERVER или при необходимости выделить профили которые могут вам пригодиться
В Default CA выбираем нужный нам коревой сертификат , у нас это будет RootCaRPN . В Available CAs выбираем тот же сертификат
Default Token выбираем по умолчанию PEM file а в Available Tokens выделаем всё кроме User Generated
Выгружаем сертификаты
Сохраняем наш профиль
Нажимаем на RA Web
Нажимаем на Make New Request
В Certificate Type выбираем CA-rpn и Key-pair generation выбираем By the CA
Далее в Key algorithm выбираем RSA 2048 bits . В DNS Name пишем нужный нам домен ( домены можно указать заранее в профиле ). В Provide User Credentials вводим стандартный пароль t
Теперь осталось скачать наши сертификаты
Выбираем расширение которое нам нужно ( в моём случае это pem ) и скачиваем сертификат
В один pem файл входит 3 сертификата ( приватный , публичный и корневой)
Разделить их можно через текстовый редактор , копируем из общего файла от BEGIN PRIVATE KEY до END PRIVATE KEY к примеру приватный ключ и переносим в пустой pem файл .
Получается отдельный приватный ключ , то же самое можем делать с остальными ключами
