Добавление TLS-сертификата на агенте
Для шифрования соединения между агентами и шлюзами необходимо использовать TLS-сертификат.
TLS-сертификат — это цифровой документ, позволяющий использовать протокол безопасного соединения TLS (Transport Layer Security). Наличие TLS-сертификата предоставляет следующие гарантии:
-
Ресурс, на котором расположен агент, является подлинным и не принадлежит злоумышленникам.
-
Передаваемая информация защищена от злоумышленников благодаря установке зашифрованного соединения между агентом и шлюзом.
Чтобы добавить TLS-сертификат на агент:
| Добавление сертификатов выполняется после установки агента. |
Генерация TLS-сертификата
|
В представленной инструкции в качестве примера используются файлы со следующими названиями:
|
Чтобы сгенерировать TLS-сертификат, выполните на компьютере с установленным агентом следующие действия:
-
Создайте файл server.ext со следующей конфигурацией TLS-сертификата:
authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = <domain_name_1> ... DNS.N = <domain_name_N>Здесь:
-
<domain_name_1>, …,<domain_name_N>— доменные имена шлюзов, с которыми необходимо настроить безопасное соединение.
Пример конфигурации TLS-сертификата
authorityKeyIdentifier=keyid,issuer basicConstraints=CA:FALSE keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = worker01.rpoint.local DNS.2 = worker02.rpoint.local DNS.3 = worker03.rpoint.local -
-
Создайте приватный ключ ca.key для корневого сертификата:
openssl genrsa -out ca.key 4096 -
Создайте самоподписанный корневой сертификат ca.crt:
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt -
Создайте приватный ключ server.key для TLS-сертификата:
openssl genrsa -out server.key 2048 -
Создайте запрос на выпуск сертификата server.csr:
openssl req -new -key server.key -out server.csr -
Подпишите запрос server.csr с помощью корневого сертификата ca.crt:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 825 -sha256 -extfile server.extВ результате будет сгенерирован файл TLS-сертификата server.crt.
Установка корневого сертификата на компьютере с агентом
| В представленной инструкции в качестве примера используется файл корневого сертификата ca.crt. |
Для TLS-шифрования соединения между агентом и шлюзом необходимо установить корневой сертификат, созданный на этапе Генерация TLS-сертификата, на компьютере агента.
Процесс установки корневого сертификата отличается в зависимости от используемой ОС:
Установка корневого сертификата в ОС Linux
|
В инструкции для установки сертификата в ОС Linux используется пакет ca-certificates: |
Чтобы установить корневой сертификат в ОС Linux:
-
Для Debian-подобных дистрибутивов:
-
Скопируйте файл корневого сертификата в каталог
/usr/local/share/ca-certificates/:cp <path_to_cert> /usr/local/share/ca-certificates/Здесь:
-
<path_to_cert>— полный путь до файла корневого сертификата ca.crt.
-
-
Выполните команду:
update-ca-certificatesКорневой сертификат будет добавлен в список доверенных.
-
-
Для RedHat-подобных дистрибутивов:
-
Скопируйте файл корневого сертификата в каталог
/etc/pki/ca-trust/source/anchors/:cp <path_to_cert> /etc/pki/ca-trust/source/anchors/Здесь:
-
<path_to_cert>— полный путь до файла корневого сертификата ca.crt.
-
-
Выполните команду:
update-ca-trustКорневой сертификат будет добавлен в список доверенных.
-
Установка корневого сертификата в ОС Windows
Чтобы установить корневой сертификат в ОС Windows:
-
Откройте диспетчер сертификатов. Для этого выполните следующие действия:
-
Нажмите сочетание клавиш WIN+R. Откроется окно Выполнить.
-
Введите в окне
certlm.mscи нажмите ОК.
-
-
Перейдите в раздел Доверенные корневые центры сертификации → Сертификаты с помощью дерева разделов в диспетчере сертификатов.
-
Выполните команду Все задачи → Импорт в контекстном меню раздела Доверенные корневые центры сертификации → Сертификаты в дереве разделов. Откроется мастер импорта сертификатов.
-
Нажмите Далее на стартовой странице мастера.
-
Выберите файл корневого сертификата ca.crt на странице выбора сертификата и нажмите Далее.
-
Удостоверьтесь, что на странице выбора хранилища выбран вариант Поместить все сертификаты в следующее хранилище и выбрано хранилище Доверенные корневые центры сертификации. Нажмите Далее.
-
Проверьте корректность указанных параметров на странице завершения импорта и нажмите Готово. Корневой сертификат будет добавлен в список доверенных.
|
Вы также можете установить корневой сертификат следующим способом:
|
Установка корневого сертификата в macOS
Чтобы установить корневой сертификат в macOS:
-
Откройте приложение Связка ключей.
-
Откройте приложение Finder и найдите в нем файл корневого сертификата ca.crt. Перетащите найденный файл в окно приложения Связка ключей.
-
Перейдите на вкладку Сертификаты в приложении Связка ключей.
-
Дважды нажмите на добавленный корневой сертификат. Откроется окно сведений о сертификате.
-
Раскройте группу параметров Доверие и для каждого параметра выберите вариант Всегда доверять. Корневой сертификат будет добавлен в список доверенных.
|
Вы также можете установить корневой сертификат в macOS с помощью команды: Здесь:
|
