Руководство по управлению системами с помощью Web-администратора системы

Работа с другой функцией выдачи сертификатов

Этот сценарий предназначен для случая, когда вместо внутренней функции выдачи сертификатов Web-администратора системы требуется применить другую внутреннюю функцию CA, установленную в системе. В данном сценарии запросы на выдачу сертификатов будут подписаны другой CA.

1. Создайте личные ключи и запросы на выдачу сертификатов для серверов Web-администратора системы.

   Укажите полные имена хостов серверов Web-администратора системы. Вы можете по-очереди ввести эти имена в окне диалога, либо создать файл, содержащий список имен (каждое имя должно располагаться на отдельной строке).

   Войдите в систему сервера с локального компьютера как пользователь root и запустите Web-администратор системы. Если Web-администратор системы будет запущен от имени другого пользователя, в удаленном приложении или в режиме аплета, то функции настройки защиты будут недоступны.

   Выберите Среда управления --> имя-хоста --> Функции защиты --> Защита сервера.

   В списке задач из категории Защита сервера выберите пункт Создать личные ключи и запросы на получение сертификатов для этого и других серверов. Укажите следующую информацию:

   • Список серверов
     Добавьте имена серверов Web-администратора системы в этот список. Вы можете по-очереди ввести эти имена в окне диалога, либо создать файл, содержащий список имен (каждое имя должно располагаться на отдельной строке). Для добавления имен серверов из файла укажите имя файла в поле Файл со списком серверов и нажмите кнопку Просмотреть файл. В окне диалога Просмотреть файл со списком серверов выберите некоторые или все имена серверов в списке.
     
   • Организация
     Укажите имя вашей фирмы или организации.
     
   • Код страны ISO
     Укажите двухсимвольный код страны ISO или выберите его в списке.
     
   • Каталог для файлов наборов личных ключей
     Укажите каталог, в котором должны быть созданы файлы наборов личных ключей серверов и запросы на получение сертификатов. На шаге 2 передайте файлы с запросами на получение сертификатов функции CA, которая должна подписать сертификаты. На шаге 3 отправьте подписанные сертификаты обратно из системы CA в этот каталог.
     
   • Размер ключей сервера в битах
     Выберите размер ключа (это поле доступно только в том случае, если установлен набор файлов sysmgt.websm.security-us).
     
   • Зашифруйте файлы наборов личных ключей серверов
     Данное окно диалога позволяет создать файлы наборов личных ключей для указанных серверов. Этот файл содержит личный ключ сервера, поэтому он должен быть защищен. Для защиты файла с набором личных ключей его необходимо зашифровать. Если вы выберете эту опцию, то появится приглашение на ввод пароля. Этот же пароль потребуется указать при импорте подписанных сертификатов и при установке файлов наборов личных ключей.

   При нажатии кнопки OK для всех серверов будут созданы запросы на получение сертификатов и файлы личных ключей.

   Для выполнения этой задачи из командной строки введите /usr/websm/bin/smgenkeycr.

2. Получите сертификаты, подписанные CA

   Передайте файлы с запросами на получение сертификатов функции CA. Эти запросы не содержат конфиденциальную информацию. Однако при передаче запроса должна быть обеспечена целостность и возможность его идентификации.

   Скопируйте файлы с запросами на получение сертификатов с сервера в каталог компьютера, на котором установлена функция CA.

   Создайте подписанные сертификаты на основании подготовленных запросов, следуя инструкциям своей функции CA.

3. Импортируйте подписанные сертификаты в файлы наборов личных ключей серверов.

   Передайте сертификаты, подписанные CA, на сервер. Скопируйте их в каталог, содержащий запросы на получение сертификатов и файлы личных ключей серверов, созданные на шаге 1. Необходимо, чтобы файл сертификата сервера S назывался S.cert.

   Затем в системе сервера выберите в списке задач из категории Защита сервера пункт Импортировать подписанные сертификаты.

   Укажите следующую информацию:

   • Каталог сертификатов и личных ключей
     Укажите каталог, в котором хранятся подписанные сертификаты и файлы наборов личных ключей серверов. Затем нажмите кнопку Обновить список. Появится список серверов, для которых были найдены подписанные сертификаты и файлы наборов личных ключей.
     
   • Выберите в списке один или несколько серверов
     Для выбора отдельных серверов щелкните на их именах в списке. Для выбора всех серверов нажмите кнопку Выбрать все.

   После нажатия кнопки OK появится приглашение на ввод пароля, если файлы наборов личных ключей серверов были зашифрованы на шаге 1. Сертификаты выбранных серверов будут импортированы в файлы личных ключей, а затем будут созданы файлы наборов личных ключей.

   Для выполнения этой задачи из командной строки введите /usr/websm/bin/smimpservercert.

4. Разошлите файлы наборов личных ключей всем серверам.

   Эти файлы необходимо установить на серверах.

   Файлы можно передать на сервер любым способом, обеспечивающим достаточный уровень защиты. Ниже описано, каким образом эти файлы можно передать с помощью общего каталога или дискеты TAR:

   • Общий каталог: Поместите все файлы наборов ключей в общий каталог, доступ к которому есть у всех серверов (например, каталог NFS или DFS).

     Примечание: Если вы решите передать файлы этим способом, предварительно зашифруйте файлы наборов личных ключей в окне диалога Создать личные ключи и запросы на получение сертификатов для данного сервера и других серверов. Это необходимо сделать, поскольку в данном случае файлы передаются в исходном виде. Доступ к общему каталогу рекомендуется предоставить только администратору.

   • Дискета TAR: Создайте дискету TAR, содержащую все файлы наборов личных ключей серверов. Архив TAR должен содержать только имена файлов, а не полные пути к файлам. Для создания такого архива перейдите в каталог, содержащий файлы наборов личных ключей серверов, и вызовите команду tar -cvf /dev/fd0 *.privkr.

   Затем установите наборы личных ключей на всех серверах. Войдите в систему сервера как пользователь root и запустите Web-администратор системы. Выберите Среда управления --> имя-хоста --> Функции защиты --> Защита сервера. Выберите пункт Установить набор личных ключей, а затем выберите носитель, на котором расположены файлы наборов личных ключей. Если файл расположен на дискете TAR, то вставьте дискету в дисковод перед тем, как нажать кнопку OK. Если файл набора личных ключей зашифрован, то появится приглашение на ввод пароля. Личный ключ сервера будет установлен в файле /var/websm/security/SM.privkr. Выполните описанную процедуру на каждом сервере.

   Для выполнения этой задачи из командной строки введите /usr/websm/bin/sminstkey.

5. Импортируйте сертификат CA в файл набора общих ключей.

   Получите собственный сертификат CA. Скопируйте его в текущий каталог сервера.

   Затем в системе сервера выберите в списке задач Защита сервера пункт Импортировать сертификат CA.

   Укажите следующую информацию:

   • Каталог, содержащий файл набора общих ключей
     Укажите имя каталога, содержащего файл набора общих ключей CA. Этот файл нужно разослать всем серверам и клиентам.
     
   • Каталог файла сертификата CA
     Укажите каталог, содержащий собственный сертификат CA.

   После нажатия кнопки OK в указанный каталог будет записан файл набора общих ключей SM.pubkr.

   Для выполнения этой задачи из командной строки введите /usr/websm/bin/smimpcacert.

6. Разошлите файл набора общих ключей всем клиентам и серверам.

   Скопируйте файл набора общих ключей CA в каталог /usr/websm/codebase всех серверов и клиентов Web-администратора системы.

   Примечание: Этот файл не содержит конфиденциальную информацию. Однако он определяет, какую функцию CA клиент считает надежной. Следовательно, в системе клиента необходимо ограничить доступ к этому файлу. В режиме аплета после получения данного файла от сервера клиент (и сам аплет) будет считать этот сервер надежным и разрешит ему передачу данных по соединению HTTPS.