Бэт-сервер не предоставил корневой сертификат

Обновлено: 21.11.2024

Инструкции по обеспечению безопасности Red Hat JBoss Enterprise Application Platform и ее интерфейсов управления.

Аннотация

Цель этого документа — предоставить практическое руководство по обеспечению безопасности Red Hat JBoss Enterprise Application Platform (JBoss EAP). В частности, в этом руководстве подробно описано, как защитить все интерфейсы управления в JBoss EAP. Прежде чем читать это руководство, пользователи должны прочитать документ «Архитектура безопасности для Red Hat JBoss Enterprise Application Platform» и получить четкое представление о том, как JBoss EAP обеспечивает безопасность. В этом документе также используется интерфейс командной строки JBoss EAP для внесения изменений в конфигурацию. При заполнении этого документа читатели должны хорошо понимать, как защитить JBoss EAP.

1.1. Строительные блоки

1.1.1. Интерфейсы и привязки сокетов

JBoss EAP использует интерфейсы своего хоста, например inet-address и nic , а также порты для связи как со своими веб-приложениями, так и со своими интерфейсами управления. Эти интерфейсы и порты определяются и настраиваются с помощью параметров интерфейсов и групп привязки сокетов в JBoss EAP.

Дополнительную информацию о том, как определять и настраивать интерфейсы и группы привязки сокетов, см. в разделе "Привязки сокетов" Руководства по настройке JBoss EAP .

Пример: интерфейсы

Пример: группа привязки сокетов

1.1.2. Подсистема Элитрон

1.1.2.1. Включить Elytron Security на сервере

Есть простой способ включить Elytron на сервере. JBoss EAP 7.1 представил пример сценария конфигурации, который позволяет Elytron выступать в качестве поставщика безопасности. Этот сценарий находится в каталоге EAP_HOME /docs/examples установки сервера.

Выполните следующую команду, чтобы включить защиту Elytron на сервере.

1.1.2.2. Создайте домен безопасности Elytron

Домены безопасности в подсистеме elytron, когда они используются вместе с областями безопасности, используются как для аутентификации основного управления, так и для аутентификации приложений.

Развертывания ограничены использованием одного домена безопасности Elytron для каждого развертывания. Сценарии, для которых могло потребоваться несколько устаревших доменов безопасности, теперь можно реализовать с помощью одного домена безопасности Elytron.

Добавить домен безопасности с помощью интерфейса командной строки
Добавить домен безопасности с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Другие настройки» и нажмите «Просмотр».
  3. Выберите SSL → Домен безопасности и используйте кнопку "Добавить", чтобы настроить новый домен безопасности.

1.1.2.3. Создайте сферу безопасности Elytron

Области безопасности в подсистеме elytron при использовании в сочетании с доменами безопасности используются как для проверки подлинности основного управления, так и для проверки подлинности приложений. Области безопасности также специально типизированы на основе их хранилища идентификаторов, например jdbc-realm , filesystem-realm , properties-realm и т. д.

Добавить область безопасности с помощью интерфейса командной строки

Примеры добавления конкретных областей, таких как jdbc-realm , filesystem-realm и properties-realm, можно найти в предыдущих разделах.

Добавить область безопасности с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Области безопасности» и нажмите «Просмотр».
  3. Выберите соответствующий тип области безопасности на вкладке "Область безопасности" и нажмите "Добавить", чтобы настроить новую область безопасности.

1.1.2.4. Создайте декодер ролей Elytron

Декодер ролей преобразует атрибуты удостоверения, предоставленного областью безопасности, в роли. Декодеры ролей также классифицируются в соответствии с их функциональностью, например, empty-role-decoder , simple-role-decoder и custom-role-decoder .

Добавление декодера ролей с помощью интерфейса командной строки
Добавление декодера ролей с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Мапперы/декодеры» и нажмите «Просмотр».
  3. Нажмите "Декодер ролей" , выберите соответствующий тип декодера ролей и нажмите "Добавить", чтобы настроить новый декодер ролей.

1.1.2.5. Создайте сопоставитель ролей Elytron

Сопоставитель ролей сопоставляет роли после их декодирования другим ролям. Примеры включают нормализацию имен ролей или добавление и удаление определенных ролей участников после их декодирования.Сопоставители ролей также имеют особый тип в зависимости от их функциональности, например add-prefix-role-mapper , add-suffix-role-mapper и Constant-role-mapper .

Добавление сопоставления ролей принимает общую форму
Добавление сопоставления ролей с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Мапперы/декодеры» и нажмите «Просмотр».
  3. Нажмите «Сопоставитель ролей» , выберите соответствующий тип сопоставителя ролей и нажмите «Добавить», чтобы настроить новый сопоставитель ролей.

1.1.2.6. Создайте набор разрешений Elytron

Наборы разрешений можно использовать для назначения разрешений удостоверению.

Добавить набор разрешений с помощью интерфейса командной строки

Параметр разрешений состоит из набора разрешений, где каждое разрешение имеет следующие атрибуты:

  • имя-класса — это полное имя класса разрешения. Это единственный требуемый атрибут разрешения.
  • модуль — это необязательный модуль, используемый для загрузки разрешения.
  • target-name – это необязательное целевое имя, которое передается разрешению при его создании.
  • действие – это необязательное действие, которое передается разрешению при его создании.

1.1.2.7. Создайте сопоставитель разрешений Elytron

Помимо ролей, назначаемых удостоверению, также могут назначаться разрешения. Преобразователь разрешений назначает разрешения удостоверению. Сопоставители разрешений также имеют особый тип в зависимости от их функциональности, например логическое-сопоставление-разрешений , простое-сопоставление-разрешений и пользовательское-сопоставление-разрешений .

Добавление сопоставления разрешений с помощью интерфейса командной строки
Добавление сопоставления разрешений с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Мапперы/декодеры» и нажмите «Просмотр».
  3. Нажмите «Основной декодер» , выберите соответствующий тип основного декодера и нажмите «Добавить», чтобы настроить новый основной декодер.

1.1.2.8. Создание конфигурации аутентификации

Конфигурация проверки подлинности содержит учетные данные, используемые при установлении соединения. Дополнительные сведения о конфигурациях аутентификации см. в разделе Настройка аутентификации клиента с помощью Elytron Client в разделе Как настроить управление идентификацией для JBoss EAP.

Вместо хранилища учетных данных вы можете настроить домен безопасности Elytron для использования учетных данных запрашивающего пользователя. Например, домен безопасности можно использовать вместе с Kerberos для аутентификации входящих пользователей. Следуйте инструкциям в разделе Настройка подсистемы Elytron раздела Как настроить систему единого входа с помощью Kerberos для JBoss EAP и установите параметрgetget-kerberos-ticket=true в фабрике безопасности Kerberos.

Добавление конфигурации аутентификации с помощью интерфейса командной строки
Добавить конфигурацию аутентификации с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Другие настройки» и нажмите «Просмотр».
  3. Нажмите «Аутентификация» → «Конфигурация аутентификации» и нажмите «Добавить», чтобы настроить новую конфигурацию аутентификации.

Полный список атрибутов конфигурации аутентификации см. в справочнике по компонентам подсистемы Elytron.

1.1.2.9. Создание контекста аутентификации

Контекст проверки подлинности содержит набор правил и либо конфигурации проверки подлинности, либо контексты SSL, используемые для установления соединения. Дополнительные сведения о контекстах аутентификации см. в разделе «Настройка аутентификации клиента с помощью Elytron Client» раздела Как настроить управление идентификацией для JBoss EAP.

Добавление контекста аутентификации с помощью CLI управления

Контекст аутентификации можно создать с помощью следующей команды CLI управления.

Как правило, контекст проверки подлинности содержит набор правил и либо конфигурацию проверки подлинности, либо контекст SSL. Следующая команда CLI демонстрирует определение контекста аутентификации, который работает только в том случае, если имя хоста — localhost .

Добавить контекст аутентификации с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Другие настройки» и нажмите «Просмотр».
  3. Нажмите «Аутентификация» → «Контекст аутентификации» и нажмите «Добавить», чтобы настроить новый контекст аутентификации.

Полный список атрибутов контекста аутентификации см. в справочнике по компонентам подсистемы Elytron.

1.1.2.10. Создайте фабрику аутентификации Elytron

Добавление фабрики аутентификации с помощью интерфейса командной строки
Добавление фабрики аутентификации с помощью консоли управления

1.1.2.11. Создайте хранилище ключей Elytron

Хранилище ключей — это определение хранилища ключей или хранилища доверенных сертификатов, включая тип хранилища ключей, его местоположение и учетные данные для доступа к нему.

Чтобы создать пример хранилища ключей для использования с подсистемой elytron, используйте следующую команду:

Добавить хранилище ключей с помощью интерфейса командной строки

Чтобы определить хранилище ключей в Elytron, которое ссылается на вновь созданное хранилище ключей, выполните следующую команду интерфейса командной строки. Эта команда указывает путь к хранилищу ключей относительно предоставленного пути к файловой системе, ссылку на учетные данные, используемую для доступа к хранилищу ключей, и тип хранилища ключей.

Вышеприведенная команда использует относительное значение для ссылки на расположение файла хранилища ключей. Кроме того, вы можете указать полный путь к хранилищу ключей в path и опустить относительное значение .

Добавить хранилище ключей с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Другие настройки» и нажмите «Просмотр».
  3. Нажмите «Хранилища» → «Хранилище ключей» и нажмите «Добавить», чтобы настроить новое хранилище ключей.

1.1.2.12. Создайте диспетчер ключей Elytron

Диспетчер ключей ссылается на хранилище ключей и используется в сочетании с контекстом SSL.

Добавление диспетчера ключей с помощью интерфейса командной строки

Следующая команда указывает базовое хранилище ключей для ссылки, алгоритм, используемый при инициализации диспетчера ключей, и ссылку на учетные данные для доступа к записям в базовом хранилище ключей.

Если алгоритм не указан, будет установлено имя алгоритма KeyManagerFactory по умолчанию.

Доступные алгоритмы диспетчера ключей предоставляются используемым JDK. Например, JDK, использующий SunJSSE, предоставляет алгоритмы PKIX и SunX509.

Добавить диспетчер ключей с помощью консоли управления
  1. Доступ к консоли управления. Дополнительные сведения см. в разделе «Консоль управления» в Руководстве по настройке JBoss EAP.
  2. Перейдите в «Конфигурация» → «Подсистемы» → «Безопасность (Elytron)» → «Другие настройки» и нажмите «Просмотр».
  3. Нажмите «SSL» → «Диспетчер ключей» и нажмите «Добавить», чтобы настроить новый диспетчер ключей.

1.1.2.13. Создайте доверенный магазин Elytron

Чтобы создать хранилище доверенных сертификатов в Elytron, выполните следующую команду интерфейса командной строки.

Чтобы успешно выполнить приведенную выше команду, у вас должен быть файл application.truststore в вашем каталоге EAP_HOME /standalone/configuration. Хранилище доверенных сертификатов должно содержать сертификаты, связанные с конечной точкой, или цепочку сертификатов, если сертификат конечной точки подписан ЦС.

Red Hat рекомендует избегать использования самозаверяющих сертификатов. В идеале сертификаты должны быть подписаны центром сертификации, а ваше хранилище доверенных сертификатов должно содержать цепочку сертификатов, представляющую ваш корневой и промежуточный центры сертификации.

1.1.2.14. Создайте доверительного менеджера Elytron

Чтобы определить менеджера доверия в Elytron, выполните следующую команду интерфейса командной строки.

Это устанавливает определенное хранилище доверенных сертификатов в качестве источника сертификатов, которым доверяет сервер приложений.

1.1.2.15. Использование стандартных компонентов Elytron

JBoss EAP предоставляет набор компонентов Elytron по умолчанию, сконфигурированных в подсистеме elytron. Дополнительные сведения об этих предварительно настроенных компонентах можно найти в разделе «Готово к использованию» руководства по Архитектуре безопасности.

1.1.2.15.1. Защита интерфейсов управления

Дополнительную информацию о том, как разрешить JBoss EAP использовать стандартные компоненты Elytron для защиты интерфейсов управления, можно найти в разделе «Аутентификация пользователя с помощью Elytron».

1.1.2.15.2. Защита приложений
1.1.2.15.3. Использование SSL/TLS

JBoss EAP предоставляет одностороннюю конфигурацию SSL/TLS по умолчанию с использованием устаревшей аутентификации основного управления, но не предоставляет ее в подсистеме elytron. Вы можете найти более подробную информацию о настройке SSL/TLS с помощью подсистемы elytron как для интерфейсов управления, так и для приложений в следующих разделах:

1.1.2.15.4. Использование Elytron с другими подсистемами

Помимо защиты приложений и интерфейсов управления, Elytron также интегрируется с другими подсистемами в JBoss EAP.

batch-jberet Вы можете настроить подсистему batch-jberet для выполнения пакетных заданий с использованием домена безопасности Elytron. Дополнительные сведения см. в разделе Настройка безопасности для пакетных заданий в Руководстве по настройке .источники данных Вы можете использовать хранилище учетных данных или домен безопасности Elytron для предоставления информации аутентификации в определении источника данных. Дополнительные сведения см. в разделе Безопасность источника данных в Руководстве по настройке . ejb3 Вы можете создавать сопоставления для доменов безопасности Elytron в подсистеме ejb3, на которые будут ссылаться развертывания. Дополнительные сведения см. в разделе Интеграция Elytron с подсистемой EJB в разделе Разработка приложений EJB . iiop-openjdk Вы можете использовать подсистему elytron для настройки SSL/TLS между клиентами и серверами с помощью подсистемы iiop-openjdk. Дополнительные сведения см. в разделе Настройка IIOP для использования SSL/TLS с подсистемой Elytron в Руководстве по настройке . jca Вы можете использовать атрибут elytron-enabled, чтобы включить защиту Elytron для менеджера работ. Дополнительные сведения см. в разделе «Настройка подсистемы JCA» в Руководстве по настройке . jgroups Вы можете настроить протоколы SYM_ENCRYPT и ASYM_ENCRYPT для ссылки на хранилища ключей или ссылки на учетные данные, определенные в подсистеме elytron. Дополнительные сведения см. в разделе «Защита кластера» в Руководстве по настройке . mail Вы можете использовать хранилище учетных данных для предоставления сведений об аутентификации в определении сервера в почтовой подсистеме. Дополнительные сведения см. в разделе Использование хранилища учетных данных для паролей в Руководстве по настройке . message-activemq Вы можете защитить удаленные подключения к удаленным подключениям, используемым подсистемой обмена сообщениями-activemq. Дополнительные сведения см. в разделе «Использование подсистемы Elytron» документа Настройка обмена сообщениями . modcluster Вы можете использовать ssl-контекст клиента Elytron для связи с балансировщиком нагрузки с помощью SSL/TLS. Дополнительные сведения см. в разделе Интеграция Elytron с подсистемой ModCluster. удаленное взаимодействие Вы можете настроить входящие и исходящие соединения в подсистеме удаленного взаимодействия, чтобы ссылаться на контексты аутентификации, фабрики аутентификации SASL и контексты SSL, определенные в подсистеме elytron. Полную информацию о настройке каждого типа подключения см. в разделе Интеграция Elytron с подсистемой удаленного взаимодействия. resource-adapters Вы можете защитить соединения с адаптером ресурсов с помощью Elytron. Вы можете включить входящий поток безопасности, чтобы установить учетные данные безопасности при отправке работы для выполнения менеджером работ. Дополнительные сведения см. в разделе Настройка адаптеров ресурсов для использования подсистемы Elytron в Руководстве по настройке . undertow Вы можете использовать подсистему elytron для настройки как SSL/TLS, так и аутентификации приложений. Дополнительную информацию о настройке аутентификации приложений см. в разделах Использование SSL/TLS и Настройка веб-приложений для использования Elytron или Legacy Security для аутентификации в разделе Как настроить управление идентификацией .

1.1.2.16. Включить и отключить подсистему Elytron

Подсистема elytron поставляется с предварительно настроенными профилями EAP JBoss по умолчанию наряду с устаревшей подсистемой безопасности.

Если вы используете профиль, в котором не настроена подсистема elytron, вы можете добавить его, добавив расширение elytron и включив подсистему elytron.

Чтобы добавить расширение elytron, необходимое для подсистемы elytron:

Чтобы включить подсистему elytron в JBoss EAP:

Чтобы отключить подсистему elytron в JBoss EAP:

Другие подсистемы JBoss EAP могут зависеть от подсистемы elytron. Если эти зависимости не будут устранены до отключения, вы увидите ошибки при запуске JBoss EAP.

  • конечные точки видео
  • веб-браузеры (включая веб-приложение Infinity Connect )
  • Мобильные клиенты Infinity Connect (сертификаты обязательны для этих клиентов)
  • устройства сетевой инфраструктуры сторонних производителей
  • Клиенты Outlook (если включена служба планирования VMR для Exchange).

Вы можете использовать встроенный в Pexip Infinity генератор запросов на подпись сертификата (CSR), чтобы получить сертификат сервера от центра сертификации.

Эта тема охватывает:

  • Чтобы настроить Pexip Infinity для проверки одноранговых сертификатов и взаимной аутентификации TLS, см. раздел Проверка соединений SIP TLS с одноранговыми системами.
  • Чтобы использовать инструмент центра сертификации Microsoft в службах сертификации Active Directory (AD CS), см. раздел Настройка диспетчера Windows Server для использования шаблона сертификата с возможностями клиента и сервера.

Обратите внимание, что связь между узлом управления и узлами конференц-связи, а также между самими узлами конференц-связи не зависит от сертификатов TLS; вместо этого он использует транспорт IPsec. Дополнительные сведения см. в разделе Методологии шифрования.

Обзор сертификатов

Инфраструктура открытых ключей (PKI) обеспечивает основу для управления цифровыми сертификатами. Это дает следующие преимущества:

  • Аутентификация: удостоверения проверяются, чтобы гарантировать, что только авторизованные пользователи и устройства имеют доступ к серверу.
  • Шифрование: сеансы могут быть зашифрованы, чтобы информация могла передаваться конфиденциально.
  • Целостность данных: гарантирует, что любые сообщения или данные, передаваемые на устройства и серверы и с них, не будут изменены.
  • Пары открытый/закрытый ключ: открытый и закрытый ключи используются для шифрования и расшифровки информации, передаваемой на сервер. Только закрытый ключ, который держится сервером в секрете, может расшифровать информацию, зашифрованную открытым ключом. Этот механизм известен как асимметричная криптография (поскольку шифрование выполняется с использованием неидентичных ключей); эти два ключа математически связаны, и все, что зашифровано с помощью открытого ключа, может быть расшифровано только с помощью соответствующего закрытого ключа, и наоборот.
  • Сертификат: сертификат содержит открытый ключ и информацию о его владельце (часто называемом субъектом и обычно выражаемом как имя хоста или доменное имя) и его издателе (обычно это доверенный сторонний центр сертификации). Метаданные этого сертификата отформатированы в соответствии с международным стандартом ITU-T X.509. Сертификат не считается действительным, если он не был прямо или косвенно подписан доверенным центром сертификации.
  • Центр сертификации (ЦС): ЦС – это такая организация, как Symantec или Comodo, которая выдает цифровые сертификаты корпорациям после проверки личности заявителя. Сертификат является доказательством того, что определенный сервер или веб-сайт принадлежит определенной организации. Центр сертификации может использовать свой собственный закрытый ключ для подписи сертификатов, которые он выпускает. Затем этот подписанный сертификат можно проверить как подписанный доверенным ЦС, сверив подпись с собственным корневым сертификатом ЦС (через его открытый ключ). Однако многие центры сертификации подписывают не своим корневым сертификатом, а промежуточным сертификатом — промежуточный центр — это орган, выдавший сертификат, который сам был выпущен корневым или другим промежуточным центром более высокого уровня. Этот метод создает цепочку доверия.
  • Цепочка доверия: когда устройство проверяет сертификат, оно сравнивает эмитента сертификата со своим списком доверенных центров сертификации. Если совпадение не найдено, проверяется, был ли сертификат выдавшего ЦС выдан доверенным ЦС, и так до конца цепочки сертификатов. Вершина цепочки, корневой сертификат, должен быть выдан доверенным центром сертификации. Веб-браузеры и другие клиенты обычно имеют список сертификатов ЦС, которым они доверяют, и, таким образом, могут проверять сертификаты отдельных серверов, однако серверу часто требуется предоставить полную цепочку сертификатов вместе с сертификатом сервера.

Использование сертификата TLS в Pexip Infinity

Сертификаты, используемые в Pexip Infinity, представляют собой стандартные цифровые сертификаты, но они называются сертификатами TLS, поскольку используются при установлении TLS-подключения к узлу Pexip.

Клиенты, которые подключаются к Pexip Infinity через TLS, должны доверять удостоверению центра сертификации (ЦС), подписавшего сертификат TLS узла. Платформа Pexip Infinity поставляется с самозаверяющим сертификатом для узла управления, и каждый узел конференц-связи развертывается с самозаверяющим сертификатом. Эти сертификаты имеют 4096-битный открытый ключ, а также дополнены 2048-битными параметрами Диффи-Хеллмана. Срок действия каждого самоподписанного сертификата истекает через 30 дней.

Поскольку эти сертификаты являются самоподписанными, клиенты не будут доверять им. Поэтому мы рекомендуем заменить эти сертификаты собственными сертификатами, подписанными либо внешним ЦС, либо доверенным внутренним ЦС.

В целом, для обеспечения зашифрованной связи с использованием TLS должно произойти следующее:

  1. ЦС выдает подписанный сертификат, который загружается на сервер.
  2. Когда клиенту необходимо связаться с сервером, он отправляет серверу запрос на идентификацию.
  3. Сервер отправляет обратно копию своего сертификата TLS и открытого ключа.
  4. Клиент проверяет, является ли ЦС, выдавший сертификат, доверенным.
  5. Если ЦС является доверенным и сертификат действителен в других отношениях, клиент создает сеансовый ключ, зашифрованный с помощью открытого ключа сервера, и отправляет его на сервер.
  6. Сервер расшифровывает сеансовый ключ. Затем он использует сеансовый ключ для шифрования подтверждения, которое отправляет клиенту, чтобы инициировать зашифрованную связь.
  7. Сервер и клиент теперь шифруют весь обмен данными с помощью сеансового ключа.

Руководство по использованию сертификатов

При запросе/генерации сертификатов для вашей платформы Pexip Infinity:

  • Не используйте сертификаты SHA-1 на узлах конференц-связи — вместо этого используйте сертификаты SHA-256.(Некоторые клиенты, например устройства iOS, уже требуют использования сертификатов SHA-256, и вскоре браузеры перестанут принимать сертификаты SHA-1.)
  • Если браузерам (например, клиентам веб-приложений Infinity Connect) требуется доступ к вашей платформе Pexip Infinity, убедитесь, что ваши сертификаты содержат по крайней мере одну запись альтернативного имени субъекта (SAN) — обычно это повторение общего имени. (Браузеры Chrome и Firefox отказываются от поддержки сопоставления общих имен.)

Подстановочные сертификаты TLS не поддерживаются в средах SIP или Microsoft Skype для бизнеса/Lync (согласно RFC 5922). Если вы используете SIP или Skype для бизнеса/Lync, ваши узлы конференц-связи не должны использовать подстановочные сертификаты TLS.

Будильники

На узле управления возникает тревога, если:

  • узел управления или узел конференц-связи не имеет связанного сертификата TLS
  • сертификат TLS имеет неполную цепочку доверия корневому сертификату CA
  • Срок действия одного или нескольких ваших доверенных сертификатов ЦС или сертификатов TLS истекает в течение следующих 30 дней.

Управление сертификатом сервера TLS узла

Вы можете загружать, просматривать/изменять, удалять и загружать сертификаты сервера TLS, которые используются узлом управления и каждым узлом конференц-связи. Вы также можете сгенерировать запрос на подпись сертификата для существующего сертификата или имени субъекта.

Обратите внимание, что после внесения любых изменений в сертификаты необходимо дождаться синхронизации файлов с соответствующим узлом управления или узлом конференц-связи (обычно примерно через одну минуту). При изменении сертификатов в цепочке может потребоваться перезагрузка связанных узлов конференц-связи, если изменения не дают желаемого эффекта.

Загрузка сертификата сервера TLS

Чтобы загрузить новый сертификат сервера TLS для узла управления или узла конференц-связи:

  1. В интерфейсе администратора Pexip Infinity выберите Платформа > Сертификаты TLS.
  2. Выберите Добавить сертификат TLS .

Заполните следующие поля:

Вставьте сертификат в формате PEM в текстовую область или выберите файл, содержащий новый сертификат TLS.

Вы должны загрузить файл сертификата, полученный от центра сертификации (обычно с расширением .CRT или .PEM). Не загружайте запрос на подпись сертификата (файл .CSR).

Сертификат должен быть действителен для DNS-имени хоста или полного доменного имени узла управления или узла конференц-связи, которому он будет назначен.

Вы можете вставить несколько сертификатов в текстовую область, но один из этих сертификатов должен быть сопряжен с соответствующим закрытым ключом.

Вставьте закрытый ключ в формате PEM в текстовую область или выберите файл, содержащий закрытый ключ, связанный с новым сертификатом TLS.

Файлы закрытых ключей обычно имеют расширение .KEY или .PEM. Pexip Infinity поддерживает ключи RSA и ECDSA.

При необходимости вставьте любые дополнительные параметры в формате PEM в текстовую область или выберите файл, содержащий параметры, которые должны быть связаны с новым сертификатом TLS.

Можно добавить пользовательские параметры DH и имя кривой EC для эфемерных ключей. Такие параметры можно сгенерировать через набор инструментов OpenSSL с помощью команд openssl dhparam и openssl ecparam. Например, команда openssl dhparam -2 -outform PEM 2048 генерирует 2048-битные параметры DH.

Обратите внимание, что эти параметры также могут быть добавлены "как есть" в конец сертификата TLS.

Выберите один или несколько узлов, к которым необходимо применить новый сертификат TLS.

При необходимости вы можете загрузить сертификат, а затем применить его к узлу позже.

Если сертификат с тем же именем субъекта уже существует (например, при замене сертификата с истекшим сроком действия), новый сертификат загружается вместе с исходным сертификатом (если сведения об издателе и серийном номере не совпадают, в этом случае существующий сертификат обновляется). с новым содержимым файла). Если исходный сертификат TLS был назначен одному или нескольким узлам конференц-связи, вам необходимо перенести эти назначения узлов на новый сертификат.

Просмотр или изменение существующих сертификатов TLS и изменение назначений узлов

Чтобы просмотреть информацию о существующем сертификате TLS, изменить содержимое сертификата или изменить узлы, к которым применяется сертификат:

Выберите Платформа > Сертификаты TLS .

По умолчанию отображается список и текущий статус всех загруженных сертификатов. Значения статуса включают:

  • Хороший : это хороший, действующий сертификат.
  • Временный: это самозаверяющий сертификат.
  • Слабая подпись: сертификат подписан с помощью SHA-1 или другой старой подписи. Вместо этого мы рекомендуем использовать сертификаты SHA-256.
  • Пустая тема: сертификат содержит только SAN.Это действительный сертификат, но многие браузеры его не принимают.
  • В течение нескольких дней: все браузеры не будут доверять сертификатам, срок действия которых превышает 825 дней, а Safari также не будет доверять сертификатам с датой начала действия 1 сентября 2020 года или позже и сроком действия более 398 дней.
  • ли>
  • осталось дней: когда срок действия сертификата истекает в течение следующих 60 дней.
  • Срок действия истек: когда срок действия сертификата истек.

В качестве альтернативы вы можете выбрать просмотр сертификатов по узлу, чтобы увидеть, какой сертификат был назначен узлу управления или конкретному узлу конференц-связи .

Выберите имя субъекта сертификата, который вы хотите просмотреть или изменить.

Отображаются декодированные данные сертификата, включая любую информацию о цепочке доверия.

При необходимости вы можете изменить:

  • Узлы, которым назначен сертификат. Если вы назначите сертификат узлу, он автоматически заменит любой другой сертификат, ранее назначенный этому узлу.
  • Данные сертификата TLS (путем расширения раздела данных в формате PEM).
  • Параметры TLS, связанные с сертификатом (путем расширения раздела данных в формате PEM).

Вы не можете изменить закрытый ключ.

Загрузка нескольких файлов сертификатов TLS

Чтобы загрузить пакет сертификатов TLS:

  1. Выберите Платформа > Сертификаты TLS.
  2. Выберите Импорт файлов .

Нажмите «Выбрать файлы», чтобы выбрать один или несколько текстовых файлов в формате PEM, которые вы хотите импортировать.

  • Файлы должны содержать сертификаты TLS сервера с соответствующими закрытыми ключами.
  • Закрытые ключи можно загрузить в виде отдельных файлов или добавить к файлу(ам) сертификата TLS сервера.
  • Параметры DH или EC могут быть добавлены к каждому сертификату TLS сервера.

Обратите внимание, что файлы сертификатов доверенных ЦС также можно импортировать с помощью этого метода, если это необходимо.

При этом сертификаты из выбранных файлов добавляются в существующий список сертификатов TLS (или в список доверенных сертификатов ЦС, если это применимо).

Если сертификат с тем же именем субъекта уже существует (например, при замене сертификата с истекшим сроком действия), новый сертификат загружается вместе с исходным сертификатом (если сведения об издателе и серийном номере не совпадают, в этом случае существующий сертификат обновляется). с новым содержимым файла). Если исходный сертификат TLS был назначен одному или нескольким узлам конференц-связи, вам необходимо перенести эти назначения узлов на новый сертификат.

Удаление существующего сертификата TLS

Чтобы удалить один или несколько сертификатов TLS:

  1. Выберите Платформа > Сертификаты TLS.
  2. Установите флажки рядом с сертификатами, которые нужно удалить, и в раскрывающемся меню «Действие» выберите «Удалить выбранные сертификаты TLS» и выберите «Перейти».

Загрузка существующего сертификата TLS

Чтобы загрузить существующий сертификат TLS:

Выберите имя субъекта сертификата, который вы хотите загрузить.

Отображаются данные сертификата.

По умолчанию сам сертификат и любые промежуточные сертификаты выбираются для включения в загрузку.

Вы также можете указать закрытый ключ (в этом случае вы также должны указать кодовую фразу ).

Загружается файл с именем _certificate или _keycert (если был включен закрытый ключ) с расширением .pem или .pfx. Этот файл содержит сертификат и/или закрытый ключ по запросу.

Вы также можете загрузить несколько сертификатов в один файл: установите флажки рядом с сертификатами, которые нужно загрузить, и в раскрывающемся меню «Действие» выберите «Загрузить» и выберите «Перейти». В этом случае сгенерированный файл называется all_certificates или all_keycerts (если были включены закрытые ключи).

Обратите внимание, что вы не можете загрузить временный/самозаверяющий сертификат.

Вы можете использовать Pexip Infinity Management Node для преобразования сертификатов PEM в формат PFX (или наоборот), загрузив сертификат в формате PEM, а затем снова загрузив его в формате PFX. При загрузке вы также можете включить закрытый ключ и все необходимые промежуточные сертификаты в пакет PFX.

Замена существующего сертификата (путем создания нового запроса на подпись сертификата)

Вы можете создать запрос на подпись сертификата (CSR) для существующего сертификата или имени субъекта, например, если срок действия вашего текущего сертификата скоро истечет, и вы хотите заменить его. Перед созданием CSR вы можете изменить данные сертификата, которые будут включены в новый запрос, например добавить дополнительные альтернативные имена субъекта (SAN) к тем, которые уже присутствуют в существующем сертификате.

Управление доверенными сертификатами ЦС

Сертификаты Trusted CA используются в Pexip Infinity для:

  • проверить клиентские сертификаты, представленные Pexip Infinity, когда включен режим проверки SIP TLS
  • обеспечивать цепочку доверия сертификатов, когда клиенты подключаются к узлу конференц-связи через SIP TLS
  • проверка сертификата сервера на устройстве инфраструктуры видеосети, когда узел конференц-связи устанавливает исходящее подключение SIP TLS к этому устройству, и это устройство выбирает набор шифров, требующий аутентификации, и происходит обмен сертификатом
  • проверить подключение к серверу LDAP
  • проверяйте подключения к локальному серверу Exchange при использовании планирования VMR для Exchange или присоединения в одно касание.
  • при необходимости проверьте подключение к API конечной точки при использовании функции "Присоединение в одно касание" .

Pexip Infinity поставляется со встроенным списком доверенных сертификатов ЦС. Этот список основан на хранилище сертификатов ЦС Mozilla и не может быть изменен.

Кроме того, вы можете загрузить настраиваемый набор доверенных сертификатов ЦС на платформу Pexip Infinity.

Цепочка доверия

Чтобы клиент доверял сертификату TLS сервера, клиент должен быть настроен на доверие к центру сертификации (ЦС), подписавшему сертификат сервера. Многие ЦС подписывают не корневым сертификатом, а промежуточным сертификатом. Однако клиенты могут доверять только корневому ЦС. Поэтому от сервера (в данном случае узла управления или узла конференц-связи) часто требуется предоставить полную цепочку сертификатов вместе с сертификатом сервера TLS.

В этом случае цепочка промежуточных сертификатов ЦС должна быть установлена ​​на узле управления, чтобы гарантировать, что цепочка доверия сертификатов правильно установлена, когда клиенты подключаются к узлу конференц-связи через SIP TLS.

Для этого необходимо загрузить пользовательский файл сертификатов доверенных ЦС, содержащий все необходимые сертификаты ЦС, один за другим, в формате PEM.

Загрузка дополнительных доверенных сертификатов ЦС и управление ими

Вы можете загрузить настраиваемый набор доверенных сертификатов ЦС на платформу Pexip Infinity. Любые загруженные здесь доверенные сертификаты ЦС используются в дополнение к набору доверенных сертификатов ЦС по умолчанию, который поставляется с Pexip Infinity .

Для управления набором пользовательских доверенных сертификатов ЦС выберите Платформа > Сертификаты доверенных ЦС. Это показывает список и текущий статус всех доверенных сертификатов ЦС, которые были загружены. Отсюда вы можете:

Загрузите файл сертификатов доверенного ЦС: выберите «Импортировать файлы» , выберите «Выбрать файлы», чтобы выбрать один или несколько файлов PEM, которые вы хотите импортировать, а затем нажмите «Импорт» .

При этом сертификаты из выбранных файлов добавляются в существующий список доверенных сертификатов ЦС (или в список сертификатов TLS, в зависимости от типов сертификатов, содержащихся в файле). Если сертификат с тем же именем субъекта уже существует (например, при замене сертификата с истекшим сроком действия), новый сертификат загружается вместе с исходным сертификатом (если сведения об издателе и серийном номере не совпадают, в этом случае существующий сертификат обновляется новым сертификатом). содержимое файла).

Просмотреть или изменить существующий сертификат: выберите имя субъекта сертификата, который вы хотите просмотреть. Отображаются декодированные данные сертификата.

При необходимости вы можете изменить данные сертификата в формате PEM и нажать Сохранить .

В этом разделе описываются шаги по созданию сертификата, его подписанию центром сертификации (ЦС) и его настройке с помощью ArcGIS Server. Шаги для этого следующие:

  1. Создайте самозаверяющий сертификат.
  2. Попросите центр сертификации подписать ваш сертификат.
  3. Настройте сайт ArcGIS Server для использования сертификата, подписанного ЦС.
  4. Настройте каждый ArcGIS Server в своем развертывании.
  5. Импортируйте корневой сертификат ЦС в хранилище сертификатов Windows.
  6. Получить доступ к вашему сайту.

Создать самозаверяющий сертификат

Уникальное имя, которое легко идентифицирует сертификат.

Используйте RSA (по умолчанию) или DSA.

Указывает размер в битах, используемый при создании криптографических ключей, используемых для создания сертификата. Чем больше размер ключа, тем сложнее взломать шифрование; однако время расшифровки зашифрованных данных увеличивается с увеличением размера ключа. Для DSA размер ключа может быть от 512 до 1024. Для RSA рекомендуемый размер ключа – 2048 или больше.

Используйте значение по умолчанию ( SHA256 с RSA ). Если в вашей организации действуют особые ограничения безопасности, для DSA можно использовать один из следующих алгоритмов: SHA384withRSA , SHA512withRSA , SHA1withRSA , SHA1withDSA .

Это поле является необязательным и используется для обратной совместимости со старыми веб-браузерами и программным обеспечением. В качестве общего имени рекомендуется использовать полное доменное имя вашего сервера.

Название вашего организационного подразделения, например, Отдел ГИС.

Название вашей организации, например, Esri.

Город или местность

Название города или местности, например, Редлендс.

Штат или провинция

Полное название штата или провинции, например Калифорния.

Сокращенный код вашей страны, например США.

Общее время в днях, в течение которого этот сертификат будет действителен, например, 365.

Альтернативное имя субъекта

Альтернативное имя субъекта (SAN) используется для проверки того, что SSL-сертификат, представленный веб-сайтом, к которому осуществляется доступ, был выпущен для этого веб-сайта.

Если этот параметр оставить пустым, в качестве значения по умолчанию используется полное доменное имя локального компьютера. Поле SAN поддерживает несколько значений; однако оно должно включать полное доменное имя веб-сайта. Значение параметра SAN не может содержать пробелы.

Запросить ЦС на подписание вашего сертификата

Чтобы веб-браузеры могли принять ваш сертификат в качестве доверенного, он должен быть проверен и подписан известным центром сертификации, таким как Verisign или Thawte.

Настройте ArcGIS Server для использования сертификата, подписанного ЦС

Точки распространения CRL (CDP), определенные в сертификате, подписанном ЦС, должны быть действительными и доступными с компьютера или компьютеров, на которых размещен ArcGIS Server. Если CDP, указанный в сертификате, недействителен или недоступен из-за отсутствия доступа к Интернету, сети или настроек брандмауэра, публикация в ArcGIS Desktop невозможна. Чтобы обойти эту проблему, выполните действия, описанные в разделе Я не могу опубликовать сервис на сайте ArcGIS Server, который использует сертификат, выданный ЦС, в разделе Общие проблемы и решения.

Настройте каждый компьютер ArcGIS Server в вашем развертывании

Если у вас есть развертывание ArcGIS Server на нескольких компьютерах, вы должны получить и настроить сертификат, подписанный ЦС, для каждого компьютера ArcGIS Server, который участвует в вашем сайте. Как только все сертификаты будут импортированы, перезапустите каждый компьютер на сайте ArcGIS Server.

Импорт корневого сертификата ЦС в хранилище сертификатов Windows

Если корневой сертификат центра сертификации отсутствует в хранилище сертификатов Windows, его необходимо импортировать.

  1. Войдите на компьютер, на котором размещен ArcGIS Server.
  2. Скопируйте подписанный сертификат, полученный от центра сертификации, в папку на этом компьютере.
  3. Откройте этот сертификат и перейдите на вкладку Путь к сертификату. Если статус сертификата: этот сертификат в порядке. , корневой сертификат ЦС присутствует в хранилище сертификатов Windows, и его не нужно импортировать. Перейдите к шагу 12.
  4. Скопируйте корневой сертификат ЦС в папку на этом компьютере.
  5. Откройте этот сертификат и перейдите на вкладку "Общие". Нажмите кнопку, чтобы установить сертификат .
  6. Когда появится мастер импорта сертификатов с панелью приветствия, нажмите "Далее" .
  7. На панели "Хранилище сертификатов" выберите параметр "Поместить все сертификаты в следующее хранилище".
  8. Нажмите кнопку «Обзор». В диалоговом окне "Выбор хранилища сертификатов" включите параметр "Показать физические хранилища" .
  9. Разверните папку «Доверенные корневые центры сертификации», чтобы просмотреть ее содержимое. Выберите «Локальный компьютер» в качестве хранилища сертификатов, которое вы хотите использовать. Нажмите "ОК".
  10. На панели "Хранилище сертификатов" нажмите "Далее" .
  11. Нажмите "Готово" .
  12. Повторите шаги 1–11 для каждого компьютера ArcGIS Server на вашем сайте.
  13. Перезапустите ArcGIS Server на каждом компьютере.

Доступ к вашему сайту

Диспетчер ArcGIS Server

Каталог сервисов ArcGIS Server

Сертификат сервера API по умолчанию выдается внутренним ЦС кластера OpenShift Container Platform. Клиенты вне кластера по умолчанию не смогут проверить сертификат сервера API. Этот сертификат можно заменить сертификатом, выданным ЦС, которому доверяют клиенты.

Добавить сервер API с именем сертификат

Сертификат сервера API по умолчанию выдается внутренним ЦС кластера OpenShift Container Platform. Вы можете добавить один или несколько альтернативных сертификатов, которые сервер API будет возвращать на основе полного доменного имени (FQDN), запрошенного клиентом, например, при использовании обратного прокси-сервера или балансировщика нагрузки.

У вас должен быть сертификат для полного доменного имени и соответствующий закрытый ключ. Каждый должен быть в отдельном файле формата PEM.

Закрытый ключ не должен быть зашифрован. Если ваш ключ зашифрован, расшифруйте его перед импортом в OpenShift Container Platform.

Сертификат должен включать расширение subjectAltName, показывающее полное доменное имя.

Файл сертификата может содержать один или несколько сертификатов в цепочке. Сертификат для полного доменного имени сервера API должен быть первым сертификатом в файле. Затем за ним могут следовать любые промежуточные сертификаты, и файл должен заканчиваться корневым сертификатом ЦС.

Не предоставляйте именованный сертификат для внутреннего балансировщика нагрузки (имя хоста api-int. . ). Это оставит ваш кластер в ухудшенном состоянии.

Создайте секрет, содержащий цепочку сертификатов и закрытый ключ, в пространстве имен openshift-config.

Обновите сервер API, чтобы он ссылался на созданный секрет.

1 Замените полным доменным именем, для которого сервер API должен предоставить сертификат.
2 Замените именем, использованным для секрета на предыдущем шаге.

Изучите объект apiserver/cluster и убедитесь, что теперь есть ссылка на секрет.

Проверьте оператора kube-apiserver и убедитесь, что развернута новая версия сервера API Kubernetes. Оператору может потребоваться минута, чтобы обнаружить изменение конфигурации и инициировать новое развертывание. Во время развертывания новой версии PROGRESSING будет сообщать True .

Не переходите к следующему шагу, пока PROGRESSING не будет указан как False , как показано в следующем выводе:

Читайте также: