Руководство по управлению системами с помощью Web-администратора системы

Администрирование нескольких систем

Описанный ниже сценарий может применяться в случае, когда у вас есть несколько систем, и вы не хотите, чтобы файл набора личных ключей передавался из одной системы в другую. Предположим, что у вас есть системы A и B, причем внутренняя функция выдачи сертификатов (CA) Web-администратора системы определена в системе A. Инструкции по настройке CA приведены в описании шага 1 в разделе "Готовые файлы наборов ключей".

Примечание: Для всех клиентов и серверов, расположенных в системе A, можно выполнить процедуру, описанную в разделе Применение готовых файлов наборов ключей.

Для серверов, расположенных в системе B, выполните следующие действия:

1. Создайте личные ключи и запросы на выдачу сертификатов для серверов Web-администратора системы.

   Укажите полные имена хостов серверов Web-администратора системы, расположенных в системе B. Вы можете по-очереди ввести эти имена в окне диалога, либо создать файл со списком имен (каждое имя должно располагаться на отдельной строке).

   Войдите в систему B с локального компьютера как пользователь root и запустите Web-администратор системы. Если Web-администратор системы будет запущен от имени другого пользователя, в удаленном приложении или в режиме аплета, то функции настройки защиты будут недоступны.

   Выберите Среда управления --> имя хоста --> Функции защиты --> Защита сервера.

   В списке задач из категории Защита сервера выберите пункт Создать личные ключи и запросы на получение сертификатов для серверов. Укажите следующую информацию:

   • Список серверов
     Добавьте в этот список имена серверов Web-администратора системы, расположенных в системе B. Вы можете по-очереди ввести эти имена в окне диалога, либо создать файл, содержащий список имен (каждое имя должно располагаться на отдельной строке). Для добавления имен серверов из файла укажите имя файла в поле Файл со списком серверов и нажмите кнопку Просмотреть файл. В окне диалога Просмотреть файл со списком серверов выберите некоторые или все имена серверов в списке.
     
   • Организация
     Укажите имя вашей фирмы или организации.
     
   • Код страны ISO
     Укажите двухсимвольный код страны ISO или выберите его в списке.
     
   • Каталог для файлов наборов личных ключей
     Укажите каталог, в котором должны быть созданы файлы наборов личных ключей серверов и запросы на получение сертификатов. На шаге 2 передайте файлы с запросами на получение сертификатов функции CA, расположенной в системе A. Эта функция должна подписать сертификаты. На шаге 3 отправьте подписанные сертификаты обратно из системы A в этот каталог.
     
   • Размер ключей сервера в битах
     Выберите размер ключа (это поле доступно только в том случае, если установлен набор файлов sysmgt.websm.security-us).
     
   • Зашифруйте файлы наборов личных ключей серверов
     Данное окно диалога позволяет создать файлы наборов личных ключей для указанных серверов. Этот файл содержит личный ключ сервера, поэтому он должен быть защищен. Для защиты файла с набором личных ключей его необходимо зашифровать. Если вы выберете эту опцию, то появится приглашение на ввод пароля. Этот же пароль потребуется указать при импорте подписанных сертификатов и при установке файлов наборов личных ключей.
     

   После нажатия кнопки OK для всех серверов будут созданы запросы на получение сертификата и файлы наборов личных ключей.

   Для создания личных ключей и запросов на получение сертификатов из командной строки введите /usr/websm/bin/smgenkeycr.

2. Получите сертификаты, подписанные функцией CA, расположенной в системе A.

   Передайте файлы с запросами на получение сертификатов функции CA, расположенной в системе A. Эти запросы не содержат конфиденциальных данных. Однако при передаче запроса должна быть обеспечена целостность и возможность его идентификации.

   Скопируйте файлы с запросами на выдачу сертификатов из системы B в каталог системы A.

   Войдите в систему A с локального компьютера как пользователь root и запустите Web-администратор системы. Если Web-администратор системы будет запущен от имени другого пользователя, в удаленном приложении или в режиме аплета, то функции настройки защиты будут недоступны.

   Выберите Среда управления --> имя хоста --> Функции защиты --> Функция выдачи сертификатов.

   В списке задач из категории Функция выдачи сертификатов выберите Подписать запросы на получение сертификатов. Укажите следующую информацию:

   • Каталог с запросами на получение сертификатов
     Укажите каталог, в котором расположены запросы на получение сертификатов. Затем нажмите кнопку Обновить список. Появится список запросов на получение сертификатов.
     
   • Выберите запросы на получение сертификатов, которые нужно подписать
     Для выбора отдельных запросов щелкните на них в списке. Для выбора всех перечисленных запросов нажмите кнопку Выбрать все.
     
   • Дата истечения срока действия сертификата
     После истечения срока действия сертификата вам потребуется заново создать файлы наборов личных ключей серверов. Укажите дату или оставьте значение по умолчанию.
     

   После нажатия кнопки OK для всех выбранных серверов будет создан файл сертификата. Сертификаты будут созданы в том каталоге, в котором расположены запросы на получение сертификатов.

   Для создания сертификатов, подписанных CA, из командной строки вызовите команду /usr/websm/bin/smsigncert.

3. Импортируйте подписанные сертификаты в файлы наборов личных ключей серверов.

   Передайте сертификаты, подписанные CA, из системы A в систему B. Скопируйте их в каталог, содержащий запросы на получение сертификатов и файлы личных ключей серверов, созданные на шаге 1.

   В системе B выберите в списке задач Защита сервера пункт Импортировать подписанные сертификаты.

   Укажите следующую информацию:

   • Каталог сертификатов и личных ключей
     Укажите каталог, в котором хранятся подписанные сертификаты и файлы наборов личных ключей серверов. После этого нажмите кнопку Обновить список. Появится список серверов, для которых были найдены подписанные сертификаты и файлы наборов личных ключей.
     
   • Выберите в списке один или несколько серверов
     Для выбора отдельных серверов щелкните на их именах в списке. Для выбора всех серверов нажмите кнопку Выбрать все.
     

   После нажатия кнопки OK появится приглашение на ввод пароля, если файлы наборов личных ключей серверов были зашифрованы на шаге 1. Сертификаты выбранных серверов будут импортированы в файлы личных ключей, а затем будут созданы файлы наборов личных ключей.

   Для импорта подписанных сертификатов из командной строки вызовите команду /usr/websm/bin/smimpservercert.

4. Разошлите файлы наборов личных ключей всем серверам.

   Эти файлы необходимо установить на серверах.

   Файлы можно передать на сервер любым способом, обеспечивающим достаточный уровень защиты. Ниже описано, каким образом эти файлы можно передать с помощью общего каталога или дискеты TAR:

   • Общий каталог: Поместите все файлы наборов ключей в общий каталог, доступ к которому есть у всех серверов (например, каталог NFS или DFS).

     Примечание: Если вы решите передать файлы этим способом, предварительно зашифруйте файлы наборов личных ключей в окне диалога Создать личные ключи и запросы на получение сертификатов для данного сервера и других серверов. Это необходимо сделать, поскольку в данном случае файлы передаются в исходном виде. Доступ к общему каталогу рекомендуется предоставить только администратору.

   • Дискета TAR: Создайте дискету TAR, содержащую все файлы наборов личных ключей серверов. Архив TAR должен содержать только имена файлов, а не полные пути к файлам. Для создания такого архива перейдите в каталог, содержащий файлы наборов личных ключей серверов, и вызовите команду tar -cvf /dev/fd0 *.privkr.

   Затем установите наборы личных ключей на всех серверах. Войдите в систему сервера как пользователь root и запустите Web-администратор системы. Выберите Среда управления --> имя-хоста --> Функции защиты --> Защита сервера. Затем выберите пункт Установить файлы наборов личных ключей для данного сервера. Выберите носитель, на котором расположен файл набора личных ключей сервера. Если файл расположен на дискете TAR, то вставьте дискету в дисковод перед тем, как нажать кнопку OK. Если файл набора личных ключей зашифрован, то появится приглашение на ввод пароля. Личный ключ сервера будет установлен в файле /var/websm/security/SM.privkr. Выполните описанную процедуру на каждом сервере.

   Файлы наборов личных ключей можно разослать всем серверам с помощью команды /usr/websm/bin/sminstkey .

5. Рассылка файла набора общих ключей CA всем серверам и клиентам системы B.

   Скопируйте файл набора общих ключей CA из каталога, указанного на шаге 1, в каталог /usr/websm/codebase серверов и клиентов Web-администратора системы.

   Примечание: Этот файл не содержит конфиденциальную информацию. Однако он определяет, какую функцию CA клиент считает надежной. Следовательно, в системе клиента необходимо ограничить доступ к этому файлу. В режиме аплета после получения данного файла от сервера клиент (и сам аплет) будет считать этот сервер надежным и разрешит ему передачу данных по соединению HTTPS.