Глава 31. Удостоверяющий центр
Модуль (пакет alterator-са) из раздела служит для выдачи сертификатов службам на серверах и рабочих станциях.
Для обеспечения безопасности соединения для клиента (в качестве клиентского ПО может выступать, например, веб-браузер) основным является вопрос о принятии сертификата. При принятии сертификата возможны описанные ниже варианты.
Сертификат сервера подписан одним из известных клиенту удостоверяющим центром (УЦ)
В этом случае сертификат принимается и устанавливается безопасное SSL-соединение. Обычно клиентское ПО (например, веб-браузер) содержит список наиболее известных УЦ и предоставляет возможность управления (добавление/удаление) сертификатами таких УЦ.
Сертификат сервера подписан УЦ неизвестным клиенту
В этом случае следует самостоятельно решить вопрос о принятии такого сертификата:
можно временно (на время одной сессии) принять сертификат сервера;
можно принять сертификат сервера на постоянной основе;
если вы доверяете УЦ, подписавшему сертификат, можно добавить сертификат самого УЦ к списку известных сертификатов, и таким образом, в дальнейшем все сертификаты, подписанные этим УЦ, будут приниматься автоматически.
Сертификат сервера является самоподписанным
Это случай, когда сертификат сервера не подтверждён вообще никакой третьей стороной. Такие сертификаты используются в локальных сетях, где вы самостоятельно можете проверить аутентичность сервера. В случае самоподписанных сертификатов вы должны самостоятельно убедиться в том, что сервер является тем, за кого себя выдаёт. Сделать это можно, сверив отпечатки полученного сертификата и реально находящегося на сервере.
При первом обращении к модулю необходимо создать УЦ, указав страну и организацию:
Модуль включает две вкладки: Управление УЦ и Управление сертификатами.
На вкладке
Управление УЦ можно:
просмотреть информацию о сертификате УЦ;
выгрузить для дальнейшего использования сертификат УЦ (файл ca-root.pem
). Этот файл можно будет добавить к списку УЦ, используемому клиентским ПО, после чего все сертификаты, подписанные данным УЦ будут приниматься автоматически;
выгрузить, для дальнейшего использования, запрос на подпись сертификата УЦ (файл ca-root.csr
). Этот запрос можно подписать сторонним УЦ;
перегенерировать сертификат УЦ с другими параметрами (можно изменить параметры: Страна (С) и Организация (O)).
На вкладке
Управление сертификатами можно:
настроить ежедневное обновление подписей сертификатов, используемых локальными службами и службами подчинённых серверов;
подписать произвольный сертификат (запрос на подпись) корневым сертификатом УЦ, настроенным на вкладке Управление УЦ;
просмотреть состояния и подпись локальных сертификатов и сертификатов подчинённых серверов:
Чтобы подписать сертификат необходимо на вкладке Управление сертификатами нажать кнопку Выберите файл, выбрать файл с запросом на подпись и нажать кнопку Загрузить запрос. В результате на экране отобразится запрос на подпись. Далее следует нажать кнопку Подписать:
Подписанный сертификат (файл output.pem
) будет загружен в каталог загрузок.