Для тех кто разворачивает УЦ в тестовой среде и наткнется на этот тред:
После запуска NATS TLS необходимо создать RA, оператора и папку, все это привязать согласно инструкции.
1. Для оператора можно использовать stan сертификат в момент его регистрации (выделено подсветкой):
./pkica ra operator add --last-name "Петров" --first-name "Петр" --tls-cert-file
operator-auth.cer --signing-cert-file operator-sign.cer --group Operators --defaultfolder Ra --login Petrov

ДА, это может быть один сертификат, в моем случае stan.cer (у вас может быть любой другой кроме CA и TLS сервера), актуальная инструкция на их создание *тут*.

2. После создания оператора с действующим сертификатом, необходимо создать запрос на новый TLS сертификат для "вебморды" самого УЦ, как это делается - *тут* (8 пункт).

3. Т.к. у нас запущен NATS TLS - запрос на сертификат с пункта 2 необходимо подписать, подписывается он таким планом:
/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint *ОТПЕЧАТОК (THUMBPRINT) ВАШЕГО СЕРТИФИКАТА ОПЕРАТОРА (В моем случае stan) БЕЗ ЗВЕЗДОЧЕК* -der <путь к файлу запроса> <путь к подписанному файлу>
Сохраняем по прежнему в .req формате.

4. Подписываем через ./pkica ca issue-cert

5. Устанавливаем в хранилище как по гайду, обновляем .crl

6. Запуска службу вебморды в терминале (этого в гайдах нет):
cd /opt/cpca/CryptoPro.Ra.Web
./CryptoPro.Ra.Web

7. Устанавливаем BROWSER PLUG-IN + склейку между ним и системой, скачать *тут*

8. Рестартим браузер, входим по адресу https://fqdn

9. Авторизуемся по сертификату который мы указывали для оператора (в моем случае STAN).

10. Готово, догружаем шаблоны и можно изучать.


НЕ ПОВТОРЯЙТЕ ЭТОТ ГАЙД НА ПИЛОТНОМ ВНЕДРЕНИИ В ВАШЕЙ ОРГАНИЗАЦИИ, ЭТО ТЕСТОВЫЙ ВАРИАНТ, ВСЕ СЕРТИФИКАТЫ ДОЛЖНЫ БЫТЬ ВЫПУЩЕНЫ СТРОГО ПО ГАЙДУ ИДУЩЕГО В КОМПЛЕКТЕ С УЦ 2.0

Отредактировано пользователем 24 сентября 2024 г. 15:05:25(UTC)  | Причина: Не указана