Руководство по управлению системами с помощью Web-администратора системы

Применение готовых файлов наборов ключей

Готовые файлы наборов ключей позволяют быстрее всего настроить защиту соединений. В данном сценарии на одном из компьютеров устанавливается внутренняя функция выдачи сертификатов (CA), с помощью которой создаются файлы наборов ключей для всех серверов и клиентов Web-администратора системы. В частности, создается файл набора общих ключей, который нужно скопировать на все серверы и клиенты, а также файлы с уникальным набором личных ключей для всех серверов.

Ниже приведено более подробное описание процедуры создания готовых файлов наборов ключей:

1. Определите внутреннюю функцию выдачи сертификатов Web-администратора системы.

   CA необходимо создать в защищенной системе, так как ее личный ключ играет наиболее важную роль в конфигурации защиты Web-администратора системы.

   Примечание: Не следует определять функцию выдачи сертификатов на клиенте без дисков или без данных, так как в этом случае личный ключ придется передавать по сети.

   После выбора компьютера для создания CA войдите в систему этого компьютера как пользователь root и запустите Web-администратор системы. Если Web-администратор системы будет запущен от имени другого пользователя, в удаленном приложении или в режиме аплета, то функции настройки защиты будут недоступны.

   Выберите Среда управления --> имя хоста --> Функции защиты --> Функция выдачи сертификатов.

   В списке задач из категории Функция выдачи сертификатов выберите пункт Настроить данную систему в качестве функции выдачи сертификатов Web-администратора системы. После появления окна мастера укажите следующую информацию:

   • Отличительное имя функции выдачи сертификатов
     Введите имя, которое упростит поиск компьютера CA и экземпляра CA в списке. Например, в качестве имени можно указать имя хоста, добавив к нему порядковый номер. Имя может содержать пробелы. Если вы определяете не первый экземпляр CA, укажите другой порядковый номер, чтобы вы всегда могли определить, какой именно экземпляр CA подписал сертификат. Указанное имя не должно совпадать с полным именем хоста, так как это вызовет ошибку в работе демона SMGate.
     
   • Организация
     Укажите имя вашей фирмы или организации.
     
   • Код страны ISO
     Укажите двухсимвольный код страны ISO или выберите его в списке.
     
   • Дата истечения срока действия
     После истечения срока действия сертификата вам потребуется повторно настроить защиту Web-администратора системы, заново определив CA и создав новые файлы наборов личных ключей для всех серверов. Укажите дату или оставьте значение по умолчанию.
     
   • Каталог набора общих ключей
     Каталог, в котором будет сохранен набор общих ключей, содержащий сертификат CA. Скопируйте этот файл в каталог /usr/websm/codebase всех серверов и клиентов Web-администратора системы.
     
   • Пароль
     Пароль, с помощью которого будет зашифрован файл набора личных ключей CA. Этот пароль потребуется вводить при выполнении любых действий с CA.

   Для того чтобы определить внутреннюю CA из командной строки, введите команду /usr/websm/bin/smdefca.

2. Создайте файлы наборов личных ключей для серверов Web-администратора системы.

   Укажите полные имена хостов серверов Web-администратора системы.

   В списке задач Функция выдачи сертификатов выберите пункт Создать файлы наборов личных ключей серверов. В окне ввода пароля CA укажите пароль, заданный при определении CA. Затем укажите следующую информацию:

   • Список серверов
     Добавьте имена серверов Web-администратора системы в этот список. Вы можете по-очереди ввести эти имена в окне диалога, либо создать файл, содержащий список имен (каждое имя должно располагаться на отдельной строке). Для добавления имен серверов из файла укажите имя файла в поле Файл со списком серверов и нажмите кнопку Просмотреть файл. В окне диалога Просмотреть файл со списком серверов выберите некоторые или все имена серверов в списке.
     
   • Организация
     Укажите имя вашей фирмы или организации.
     
   • Код страны ISO
     Укажите двухсимвольный код страны ISO или выберите его в списке.
     
   • Каталог для файлов наборов личных ключей
     Укажите каталог, в котором будут созданы файлы наборов личных ключей серверов. Позднее эти файлы потребуется передать и установить на сервере.
     
   • Размер ключей сервера в битах
     Выберите размер ключа (это поле доступно только в том случае, если в системе установлен набор файлов sysmgt.websm.security-us).
     
   • Дата истечения срока действия
     После истечения срока действия сертификата вам потребуется заново создать файлы наборов личных ключей серверов. Укажите дату или оставьте значение по умолчанию.
     
   • Зашифруйте файлы наборов личных ключей серверов
     Данное окно диалога позволяет создать файлы наборов личных ключей для указанных серверов. Файл набора личных ключей содержит личный ключ сервера, поэтому он должен быть защищен. Для защиты файла с набором личных ключей его необходимо зашифровать. Если вы выберете эту опцию, то появится приглашение на ввод пароля. Этот же пароль потребуется указать и при установке наборов личных ключей на серверах.
     

   После нажатия кнопки OK будут созданы файлы наборов личных ключей для указанных серверов.

   Для создания файлов с набором общих ключей из командной строки введите команду /usr/websm/bin/smgenprivkr.

3. Разошлите файл набора общих ключей (SM.pubkr) всем серверам и клиентам.

   Скопируйте файл набора общих ключей CA из каталога, указанного на шаге 1, в каталог /usr/websm/codebase серверов и клиентов Web-администратора системы.

   Примечание: Этот файл не содержит конфиденциальную информацию. Однако он определяет, какую функцию CA клиент считает надежной. Следовательно, в системе клиента необходимо ограничить доступ к этому файлу. В режиме аплета после получения данного файла от сервера клиент (и сам аплет) будет считать этот сервер надежным и разрешит ему передачу данных по соединению HTTPS.

4. Разошлите файлы наборов личных ключей всем серверам.

   Эти файлы необходимо установить на серверах.

   Файлы можно передать на сервер любым способом, обеспечивающим достаточный уровень защиты. Ниже описано, каким образом эти файлы можно передать с помощью общего каталога или дискеты TAR:

   • Общий каталог: Поместите все файлы наборов ключей в общий каталог, доступ к которому есть у всех серверов (например, каталог NFS или DFS).

     Примечание: Если вы решите передать файлы этим способом, предварительно зашифруйте файлы наборов личных ключей в окне диалога Создать файлы наборов личных ключей сервера. Это необходимо сделать, поскольку в данном случае файлы передаются в исходном виде. Доступ к общему каталогу рекомендуется предоставить только администратору.

   • Дискета TAR: Создайте дискету TAR, содержащую все файлы наборов личных ключей серверов. Архив TAR должен содержать только имена файлов, а не полные пути к файлам. Для создания такого архива перейдите в каталог, содержащий файлы наборов личных ключей серверов, и вызовите команду tar -cvf /dev/fd0 *.privkr.

   Затем установите наборы личных ключей на всех серверах. Для этого войдите в систему сервера как пользователь root, запустите Web-администратор системы и выберите Среда управления --> имя-хоста --> Функции защиты --> Защита сервера. В списке задач выберите пункт Установить файл набора личных ключей на данном сервере. Выберите носитель, на котором расположен файл набора личных ключей сервера. Если он расположен на дискете, выберите опцию Дискета tar, вставьте дискету и нажмите кнопку OK. Если файл набора личных ключей зашифрован, то появится приглашение на ввод пароля. Личный ключ сервера будет установлен в файле /var/websm/security/SM.privkr. Выполните описанную процедуру на каждом сервере.

   Файлы наборов личных ключей можно разослать всем серверам с помощью команды /usr/websm/bin/sminstkey.