Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline deadmeat  
#11 Оставлено : 24 сентября 2024 г. 14:59:56(UTC)
deadmeat

Статус: Участник

Группы: Участники
Зарегистрирован: 19.09.2024(UTC)
Сообщений: 23
Мужчина
Российская Федерация
Откуда: Великий Новгород

Сказал «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: deadmeat Перейти к цитате
Перечитал и увидел "первый сертификат подписи выпускается без nats tls", то есть мы имеем:
1. Выпускаю сертификат подписи для оператора без NATS TLS.
2. Включаю NATS TLS, выпускаю еще один серт по шаблону TLS server и подписываю его отпечатком от сертификата с пункта 1.

Так?


Для тех кто разворачивает УЦ в тестовой среде и наткнется на этот тред:
После запуска NATS TLS необходимо создать RA, оператора и папку, все это привязать согласно инструкции.
1. Для оператора можно использовать stan сертификат в момент его регистрации (выделено подсветкой):
./pkica ra operator add --last-name "Петров" --first-name "Петр" --tls-cert-file
operator-auth.cer --signing-cert-file operator-sign.cer --group Operators --defaultfolder Ra --login Petrov

ДА, это может быть один сертификат, в моем случае stan.cer (у вас может быть любой другой кроме CA и TLS сервера), актуальная инструкция на их создание *тут*.

2. После создания оператора с действующим сертификатом, необходимо создать запрос на новый TLS сертификат для "вебморды" самого УЦ, как это делается - *тут* (8 пункт).

3. Т.к. у нас запущен NATS TLS - запрос на сертификат с пункта 2 необходимо подписать, подписывается он таким планом:
/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint *ОТПЕЧАТОК (THUMBPRINT) ВАШЕГО СЕРТИФИКАТА ОПЕРАТОРА (В моем случае stan) БЕЗ ЗВЕЗДОЧЕК* -der <путь к файлу запроса> <путь к подписанному файлу>
Сохраняем по прежнему в .req формате.

4. Подписываем через ./pkica ca issue-cert

5. Устанавливаем в хранилище как по гайду, обновляем .crl

6. Запуска службу вебморды в терминале (этого в гайдах нет):
cd /opt/cpca/CryptoPro.Ra.Web
./CryptoPro.Ra.Web

7. Устанавливаем BROWSER PLUG-IN + склейку между ним и системой, скачать *тут*

8. Рестартим браузер, входим по адресу https://fqdn

9. Авторизуемся по сертификату который мы указывали для оператора (в моем случае STAN).

10. Готово, догружаем шаблоны и можно изучать.


НЕ ПОВТОРЯЙТЕ ЭТОТ ГАЙД НА ПИЛОТНОМ ВНЕДРЕНИИ В ВАШЕЙ ОРГАНИЗАЦИИ, ЭТО ТЕСТОВЫЙ ВАРИАНТ, ВСЕ СЕРТИФИКАТЫ ДОЛЖНЫ БЫТЬ ВЫПУЩЕНЫ СТРОГО ПО ГАЙДУ ИДУЩЕГО В КОМПЛЕКТЕ С УЦ 2.0

Отредактировано пользователем 24 сентября 2024 г. 15:05:25(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.