Product SiteDocumentation Site

Глава 31. Удостоверяющий центр

Модуль Удостоверяющий центр (пакет alterator-са) из раздела Система служит для выдачи сертификатов службам на серверах и рабочих станциях.
Для обеспечения безопасности соединения для клиента (в качестве клиентского ПО может выступать, например, веб-браузер) основным является вопрос о принятии сертификата. При принятии сертификата возможны описанные ниже варианты.
Сертификат сервера подписан одним из известных клиенту удостоверяющим центром (УЦ)
В этом случае сертификат принимается и устанавливается безопасное SSL-соединение. Обычно клиентское ПО (например, веб-браузер) содержит список наиболее известных УЦ и предоставляет возможность управления (добавление/удаление) сертификатами таких УЦ.
Сертификат сервера подписан УЦ неизвестным клиенту
В этом случае следует самостоятельно решить вопрос о принятии такого сертификата:
  • можно временно (на время одной сессии) принять сертификат сервера;
  • можно принять сертификат сервера на постоянной основе;
  • если вы доверяете УЦ, подписавшему сертификат, можно добавить сертификат самого УЦ к списку известных сертификатов, и таким образом, в дальнейшем все сертификаты, подписанные этим УЦ, будут приниматься автоматически.
Сертификат сервера является самоподписанным
Это случай, когда сертификат сервера не подтверждён вообще никакой третьей стороной. Такие сертификаты используются в локальных сетях, где вы самостоятельно можете проверить аутентичность сервера. В случае самоподписанных сертификатов вы должны самостоятельно убедиться в том, что сервер является тем, за кого себя выдаёт. Сделать это можно, сверив отпечатки полученного сертификата и реально находящегося на сервере.

Примечание

При первом обращении к модулю Удостоверяющий центр необходимо создать УЦ, указав страну и организацию:
Удостоверяющий центр. Создать УЦ
Модуль Удостоверяющий центр включает две вкладки: Управление УЦ и Управление сертификатами.
Удостоверяющий центр. Вкладка «Управление УЦ»
На вкладке Управление УЦ можно:
  • просмотреть информацию о сертификате УЦ;
  • выгрузить для дальнейшего использования сертификат УЦ (файл ca-root.pem). Этот файл можно будет добавить к списку УЦ, используемому клиентским ПО, после чего все сертификаты, подписанные данным УЦ будут приниматься автоматически;
  • выгрузить, для дальнейшего использования, запрос на подпись сертификата УЦ (файл ca-root.csr). Этот запрос можно подписать сторонним УЦ;
  • перегенерировать сертификат УЦ с другими параметрами (можно изменить параметры: Страна (С) и Организация (O)).
Удостоверяющий центр. Вкладка «Управление сертификатами»
На вкладке Управление сертификатами можно:
  • настроить ежедневное обновление подписей сертификатов, используемых локальными службами и службами подчинённых серверов;
  • подписать произвольный сертификат (запрос на подпись) корневым сертификатом УЦ, настроенным на вкладке Управление УЦ;
  • просмотреть состояния и подпись локальных сертификатов и сертификатов подчинённых серверов:
    Удостоверяющий центр. Локальные сертификаты
Чтобы подписать сертификат необходимо на вкладке Управление сертификатами нажать кнопку Выберите файл, выбрать файл с запросом на подпись и нажать кнопку Загрузить запрос. В результате на экране отобразится запрос на подпись. Далее следует нажать кнопку Подписать:
Удостоверяющий центр. Запрос на подпись
Подписанный сертификат (файл output.pem) будет загружен в каталог загрузок.