Центр сертификации ejbca: различия между версиями
Srv (обсуждение | вклад) (Новая страница: «Вводная информация: Ejbca это наш внутренний центр сертификации работающий на docker Доменное имя: ejbca.gk-rte.ru Ссылка на вход : https://ejbca.gk-rte.ru/ejbca/adminweb/ На данный момент у нас есть один корневой сертификат RootCS который используется для gk-rte И подписанный сертифи...») |
Srv (обсуждение | вклад) Нет описания правки |
||
| (не показано 6 промежуточных версий этого же участника) | |||
| Строка 1: | Строка 1: | ||
Вводная информация | == Вводная информация == | ||
Ejbca это наш внутренний центр сертификации работающий на docker | Ejbca это наш внутренний центр сертификации работающий на docker | ||
| Строка 25: | Строка 25: | ||
И admin-files... | И admin-files... | ||
== Настройка Crypto Tokens == | |||
Создание | На верхней панели нажимаем '''CA Function''' потом '''Crypto Tokens''' | ||
[[Файл:Ca1.png|центр]] | |||
Мы попадаем в '''Manage Crypto Tokens''' . | |||
Нажимаем на '''Create new...''' | |||
[[Файл:Ca2.png|центр]] | |||
Далее пишем название нашего токена и вводим стандартный пароль t | |||
[[Файл:Ca3.png|центр]] | |||
Теперь в первой строке пишем signKey а во второй выбираем RSA 2048 и нажимаем '''Generate new key pair''' | |||
Повторяем то же самое только в место singKey пишем encryptKey | |||
Должно получиться вот так : | |||
[[Файл:Ca4.png|центр]] | |||
== Создание и настройка корневого сертификата == | |||
На верхней панели нажимаем '''CA Function''' потом '''Certification Authorities''' | |||
[[Файл:Ca5.png|центр]] | |||
Мы попадаем в '''Manage Certification Authorities''' и пишем под '''Add CA''' название нашего будущего корневого сертификата ( в моём случае будет RootCaRPN ) и нажимаем на '''create...''' | |||
[[Файл:Ca6.png|центр]] | |||
Приступаем к насe настройке. | |||
В '''Crypto Token''' ставим тот что мы создали выше ( у меня это MyRootRPN ) | |||
[[Файл:Ca7.png|центр]] | |||
Спускаемся ниже , нас интересует '''CA Certificate Data''' >> '''Subject DN''' и '''Validity''' | |||
Subject DN где мы указываем информацию о нашем сертификате , организации и стране | |||
Validity время действия сертификата | |||
[[Файл:Ca8.png|центр]] | |||
Нажимаем '''Save''' | |||
== Настройка профиля == | |||
Нажимаем на верхней панели '''RA Functions''' и '''End Entity Profiles''' | |||
[[Файл:Ca9.png|центр]] | |||
Под надписью '''Add End Entity Profile''' пишем название нашего профиля ( у меня это будет CA-rpn ) и нажимаем '''Add Profile''' | |||
[[Файл:Ca10.png|центр]] | |||
Теперь выбираем наш профиль и нажимаем '''Edit End Entity Profile''' | |||
[[Файл:Ca11.png|центр]] | |||
Приступим к настройки профиля | |||
В параметре '''Username''' ставим галку на '''Auto-generated''' , в параметре '''Password''' вводим стандартный пароль t и оставляем галку на '''Required''' , в параметре '''End Entity E-mail''' убираем галку на '''Use''' | |||
[[Файл:Ca12.png|центр]] | |||
Далее в параметре '''Subject DN Attributes''' нажимаем на стрелку в низ и выбираем нужные данные ( CN, С и O ) | |||
[[Файл:Ca13.png|центр]] | |||
В разделе '''Other Subject Attributes''' нас интересует '''Subject Alternative Name''' | |||
Здесь выбираем DNS Name и нажимаем add. Можно сделать один сертификат на разное количество доменов , для этого нажимаем на add столько раз сколько нам нужно доменных имён | |||
[[Файл:Dns.png|центр]] | |||
Переходим к параметрам '''Main Certificate Data''' | |||
В параметре '''Default Certificate Profile''' выбираем SERVER , в '''Available Certificate Profiles''' можно так же поставить SERVER или при необходимости выделить профили которые могут вам пригодиться | |||
В '''Default CA''' выбираем нужный нам коревой сертификат , у нас это будет RootCaRPN . | |||
В '''Available CAs''' выбираем тот же сертификат | |||
'''Default Token''' выбираем по умолчанию PEM file а в Available Tokens выделаем всё кроме User Generated | |||
== Выгружаем сертификаты == | |||
[[Файл:Ca14.png|центр]] | |||
Сохраняем наш профиль | |||
Нажимаем на '''RA Web''' | |||
[[Файл:Ca15.png|центр]] | |||
Нажимаем на '''Make New Request''' | |||
[[Файл:Ca16.png|центр]] | |||
В '''Certificate Type''' выбираем CA-rpn и '''Key-pair generation''' выбираем '''By the CA''' | |||
[[Файл:Ca17.png|центр]] | |||
Далее в '''Key algorithm''' выбираем RSA 2048 bits . | |||
В '''DNS Name''' пишем нужный нам домен ( домены можно указать заранее в профиле ). | |||
В '''Provide User Credentials''' вводим стандартный пароль t | |||
[[Файл:Ca18.png|центр]] | |||
Теперь осталось скачать наши сертификаты | |||
Выбираем расширение которое нам нужно ( в моём случае это pem ) и скачиваем сертификат | |||
В один pem файл входит 3 сертификата ( приватный , публичный и корневой) | |||
Разделить их можно через текстовый редактор , копируем из общего файла от BEGIN PRIVATE KEY до END PRIVATE KEY к примеру приватный ключ и переносим в пустой pem файл . | |||
Получается отдельный приватный ключ , то же самое можем делать с остальными ключами | |||
Текущая версия от 06:40, 30 июля 2024
Вводная информация
Ejbca это наш внутренний центр сертификации работающий на docker
Доменное имя: ejbca.gk-rte.ru
Ссылка на вход : https://ejbca.gk-rte.ru/ejbca/adminweb/
На данный момент у нас есть один корневой сертификат RootCS который используется для gk-rte
И подписанный сертификат для доменных имён :
portal.gk-rte.ru
portal-ob.gk-rte
portals4.gk-rte.ru
portal-ob2.gk-rte.ru
В данной инструкции создадим корневой сертификат для rpn-sfera . Так же публичный и приватный ключ для домена portal.rpn-sfera.ru.
Примечание : Все нужные сертификаты буду находится на cloud2.rpn-sfera.ru... И admin-files...
Настройка Crypto Tokens
На верхней панели нажимаем CA Function потом Crypto Tokens
Мы попадаем в Manage Crypto Tokens .
Нажимаем на Create new...
Далее пишем название нашего токена и вводим стандартный пароль t
Теперь в первой строке пишем signKey а во второй выбираем RSA 2048 и нажимаем Generate new key pair
Повторяем то же самое только в место singKey пишем encryptKey
Должно получиться вот так :
Создание и настройка корневого сертификата
На верхней панели нажимаем CA Function потом Certification Authorities
Мы попадаем в Manage Certification Authorities и пишем под Add CA название нашего будущего корневого сертификата ( в моём случае будет RootCaRPN ) и нажимаем на create...
Приступаем к насe настройке.
В Crypto Token ставим тот что мы создали выше ( у меня это MyRootRPN )
Спускаемся ниже , нас интересует CA Certificate Data >> Subject DN и Validity
Subject DN где мы указываем информацию о нашем сертификате , организации и стране
Validity время действия сертификата
Нажимаем Save
Настройка профиля
Нажимаем на верхней панели RA Functions и End Entity Profiles
Под надписью Add End Entity Profile пишем название нашего профиля ( у меня это будет CA-rpn ) и нажимаем Add Profile
Теперь выбираем наш профиль и нажимаем Edit End Entity Profile
Приступим к настройки профиля
В параметре Username ставим галку на Auto-generated , в параметре Password вводим стандартный пароль t и оставляем галку на Required , в параметре End Entity E-mail убираем галку на Use
Далее в параметре Subject DN Attributes нажимаем на стрелку в низ и выбираем нужные данные ( CN, С и O )
В разделе Other Subject Attributes нас интересует Subject Alternative Name
Здесь выбираем DNS Name и нажимаем add. Можно сделать один сертификат на разное количество доменов , для этого нажимаем на add столько раз сколько нам нужно доменных имён
Переходим к параметрам Main Certificate Data
В параметре Default Certificate Profile выбираем SERVER , в Available Certificate Profiles можно так же поставить SERVER или при необходимости выделить профили которые могут вам пригодиться
В Default CA выбираем нужный нам коревой сертификат , у нас это будет RootCaRPN . В Available CAs выбираем тот же сертификат
Default Token выбираем по умолчанию PEM file а в Available Tokens выделаем всё кроме User Generated
Выгружаем сертификаты
Сохраняем наш профиль
Нажимаем на RA Web
Нажимаем на Make New Request
В Certificate Type выбираем CA-rpn и Key-pair generation выбираем By the CA
Далее в Key algorithm выбираем RSA 2048 bits . В DNS Name пишем нужный нам домен ( домены можно указать заранее в профиле ). В Provide User Credentials вводим стандартный пароль t
Теперь осталось скачать наши сертификаты
Выбираем расширение которое нам нужно ( в моём случае это pem ) и скачиваем сертификат
В один pem файл входит 3 сертификата ( приватный , публичный и корневой)
Разделить их можно через текстовый редактор , копируем из общего файла от BEGIN PRIVATE KEY до END PRIVATE KEY к примеру приватный ключ и переносим в пустой pem файл .
Получается отдельный приватный ключ , то же самое можем делать с остальными ключами
