4. Выполните настройку центра сертификации на базе HQ-SRV1

Задача:

5. Выполните настройку центра сертификации на базе HQ-SRV1

• Необходимо использовать отечественные алгоритмы шифрования;
• Сертификаты выдаются на 365 дней;
• Выдайте сертификаты для всех веб-серверов;

Вариант реализации:

HQ-SRV1:

• Установим пакет openssl - с поддержкой ГОСТ:

apt-get install -y openssl-gost-engine

• Включим поддержку ГОСТ, используя control:

control openssl-gost enabled

• Генерируем закрытый ключ нового УЦ c длиной ключа 512 бит и набором параметров подписи "C" (ca.key):

openssl genpkey -aes256 -algorithm gost2012_512 -pkeyopt paramset:C -out ca.key

• • защищаем закрытый ключ паролем
    • результат:

• Создаём корневой сертификат на 365 дней (ca.crt):

openssl req -x509 -md_gost12_512 -new -days 365 -key ca.key -out ca.crt

• • результат:

• Проверяем корневой сертификат:

Далее передаём корневой сертификат ca.crt на HQ-CLI и BR-CLI

HQ-CLI | BR-CLI:

• Добавляем корневой сертификат ca.crt в качестве доверенного Центра сертификации:

cp /home/user/ca.crt /etc/pki/ca-trust/source/anchors/ && update-ca-trust

• Проверяем наличие сертификата в браузере:

HQ-SRV1:

Выдаём сертификат для веб-сервиса zabbix

• Генерируем приватный ключ ГОСТ-2012 длиной 512 с параметром подписи "С" (zabbix.key) и запрос сертификата (zabbix.csr):

openssl req -newkey gost2012_512 -pkeyopt paramset:C -keyform PEM -outform PEM -nodes -keyout zabbix.key -out zabbix.csr

• • результат:

• Перед тем как подписать запрос на выпуск сертификата - создаём файл с расширениями:

cat <<EOF > zabbix.ext
  authorityKeyIdentifier=keyid,issuer
  basicConstraints=CA:FALSE
  subjectAltName=@alt_names
  [alt_names]
  DNS.1=zabbix.au.team
  IP.1=192.168.200.65
EOF

• Подписываем запрошенный сертификат на срок 365 дней (zabbix.crt):