17. Настройка центра сертификации

# 17. Настройка центра сертификации

Вариант реализации:

srv1-cod (alt-server):

  • Создадим директорию /var/ca:
mkdir /var/ca
  • Отредактируем конфигурационный файл /etc/openssl/openssl.cnf:

  • Перейдём в директорию /var/ca и создадим необходимую структуру:
cd /var/ca
mkdir certs
mkdir crl
mkdir newcerts
mkdir private
touch index.txt
touch serial
touch crlnumber
echo 01 > serial
echo 01 > crlnumber
  • Должна получиться следующая структура:

  • Создадим ключ:
openssl genrsa -out private/cakey.pem
  • Создадим запрос:
openssl req -new -key private/cakey.pem -out cacert.csr
    • Указав имя организации и центра сертификации:

  • Подписываем запрос и выпускаем сертификат сроком на 5 лет:

  • Разрешим доступ до srv1-cod по SSH для пользователя root

cli-cod, admin-cod, cli1-a и cli2-a (alt-workstation):

  • Забираем через scp корневой сертификат и помещаем его в локальное хранилище сертификатов:
scp root@srv1-cod.cod.ssa2026.region:/var/ca/cacert.pem /etc/pki/ca-trust/source/anchors/ca.crt
  • Обновляем:
update-ca-trust
  • Проверить в браузере наличие корневого УЦ:

srv1-cod (alt-server):

  • Перейдём в директорию /var/ca:
cd /var/ca
  • Создаём ключ для сертификата (для системы мониторинга):
openssl genrsa -out necerts/monitoring.key
  • Создаём запрос на подпись (для системы мониторинга):
openssl req -new -key newcerts/monitoring.key -out newcerts/monitoring.csr
    • Результат:

  • Создадим файл с расширениями:
cat <<EOF > monitoring.ext

  authorityKeyIdentifier=keyid,issuer

  basicConstraints=CA:FALSE

  subjectAltName=@alt_names

  [alt_names]

  DNS.1=srv1-cod.cod.ssa2026.region

  DNS.2=monitoring.cod.ssa2026.region

  IP.1=192.168.10.1

EOF
  • Подписываем запрос выпуская сертификат (для системы мониторинга):
openssl x509 -req -CA cacert.pem -CAkey private/cakey.pem -in newcerts/monitoring.csr -out newcerts/monitoring.crt -days 365 -CAcreateserial -extfile monitoring.ext
    • Результат:

  • Проверить содержимое сертификата:

Последнее изменение: среда, 19 ноября 2025, 17:06