Настройки в домене MS AD

Выпуск Wildcard-сертификата
Выпуск сертификата для сервера РЕД АДМ
Корневые ключи центра сертификации
Преобразование ключей для сервера РЕД АДМ

Окружение

• Версия ОС: РЕД ОС 8
• Конфигурация ОС: Сервер
• Версия ПО: redadm-2.0.0

В данном разделе описана работа в Центре сертификации MS CA с Wildcard-сертификатами, используемыми для реализации безопасного SSL-соединения сервера РЕД АДМ с клиентскими агентами и подсистемами РЕД АДМ.

Необходимо выпустить указанные ниже сертификаты и ключи к ним:

-- Wildcard-сертификат,

-- сертификат для сервера РЕД АДМ,

-- корневой сертификат Центра сертификации.

Далее поместите их на сервер РЕД АДМ, и в конфигурационном файле server.conf укажите абсолютные пути к ним.

Имена сертификатов и пути к ним могут быть любыми.

Выпуск Wildcard-сертификата

Для выпуска Wildcard-сертификата на сервере Центра сертификации выполните по очереди следующие операции:

1) Последовательно нажмите «Пуск» → «Выполнить» (или сочетание клавиш «Win» + «R»).

В открывшейся командной строке введите mmc и нажмите «Enter». Откроется Консоль управления (MMC).

2) Последовательно нажмите «Файл» → «Добавить или удалить оснастку...».

3) В списке доступных оснасток выберите «Сертификаты» и нажмите «Добавить».

4) В открывшемся окне «Оснастка диспетчеров сертификатов» выберите «учетной записи компьютера» и нажмите кнопку «Далее».

5) На следующей странице для параметра «Эта оснастка всегда управляет» выберите «локальным компьютером» и нажмите кнопку «Готово».

Вернувшись в окно «Добавление и удаление оснасток», нажмите кнопку «ОК».

6) В корне Консоли управления выберите «Сертификаты (локальный компьютер)» и кликните ПКМ по «Личное».

В открывшемся контекстном меню последовательно выберите «Все задачи» («All Tasks») → «Дополнительные операции» («Advanced Operations») → «Создать настраиваемый запрос...» («Create Custom Request»).

7) Откроется окно «Регистрация сертификатов». Нажмите кнопку «Далее».

На следующей странице производится выбор политики регистрации сертификатов. В секции «Настраиваемый запрос» («Custom Request») выберите «Продолжить без политики регистрации» («Proceed without enrollment policy») и нажмите кнопку «Далее».

8) Откроется страница «Пользовательский запрос».

Установите параметры:

-- «Шаблон» -- «Старый ключ (без шаблона)» («(No template) Legacy key»)

-- «Формат запроса» -- «PKCS #10»

Нажмите кнопку «Далее».

9) Откроется страница «Сведения о сертификате».

Для создаваемого запроса нажмите на значок «Подробности» («Details») -- отобразятся более подробные сведения. Нажмите кпопку «Свойства» («Properties»).

10) Откроется окно «Свойства сертификата».

Во вкладке «Общие» («General») задайте параметры (здесь и далее вводимые значения приведены для примера):

-- «Понятное имя» («Friendly name») -- *.red.adm

-- «Описание» («Description»): my wildcard

Перейдите на вкладку «Субъект» («Subject»):

В секции «Имя субъекта» («Subject name») выберите указанный тип параметра, задайте значение параметра, после чего добавьте (выберите) параметр, нажав кнопку «Добавить» справа (в дальнейшем добавление параметров осуществляется аналогичным образом):

-- тип -- «Общее имя» («Common name»), значение -- *.red.adm

В секции «Дополнительное имя» («Alternative name») добавьте (выберите) параметр:

-- тип -- «Служба DNS», значение -- *.red.adm

11) Перейдите на вкладку «Расширения» («Extensions»).

В секции «Использование ключа» («Key Usage») в списке «Доступные параметры» («Available options») выберите параметры:

-- «Цифровая подпись» («Digital Signature»)

-- «Шифрование ключей» («Key Encipherment»)

В секции «Расширенное использование ключа (политики применения)» («Extended Key Usage (application policies)») выберите параметр «Проверка подлинности сервера» («Server Authentication»).

12) Перейдите на вкладку «Закрытый ключ» («Private key»).

В секции «Параметры ключа» («Key options») установите параметры:

-- в выпадающем меню «Размер ключа» («Key size») -- выберите «2048»;

-- установите чекбокс «Сделать закрытый ключ экспортируемым» («Make private key exportable»).

13) Нажмите кнопку «OK» для применения и сохранения настроек, окно «Свойства сертификата» закроется. Вы продолжите работу в окне «Регистрация сертификатов» на странице «Сведения о сертификате», где будут отображены добавленные выше свойства.

Нажмите кнопку «Далее». Откроется страница сохранения. Укажите расположение и имя файла, формат файла выберите «Base 64». Нажмите кнопку «Готово».

14) В браузере Internet Explorer откройте страницу https://localhost/certsrv

Последовательно нажмите «Request a certificate» → «advanced certificate request», и в поле «Saved Request» вставьте содержимое сохранённого файла запроса.

Выберите тип -- «Base 64», шаблон сертификата («Certificate template») -- «Web-server». Нажмите «Download certificate».

15) В корне Консоли управления выберите «Сертификаты (локальный компьютер)» и кликните ПКМ по «Личное».

В открывшемся контекстном меню последовательно выберите «Все задачи» → «Импорт» и добавьте созданный сертификат.

16) Произведите экспорт открытого и закрытого ключей. По возможности, везде выбирайте формат Base 64. При экспорте закрытого ключа обязательно установите пароль (далее, при конвертации, он будет убран).

17) Загрузите ключи на хост с сервером РЕД АДМ.

Выпуск сертификата для сервера РЕД АДМ

Для выпуска сертификата для сервера РЕД АДМ на сервере центра сертификации выполните следующие действия:

1) Последовательно нажмите «Пуск» → «Выполнить» (или сочетание клавиш «Win» + «R»).

В открывшейся командной строке введите mmc и нажмите «Enter». Откроется Консоль управления (MMC).

2) Последовательно нажмите «Файл» → «Добавить или удалить оснастку...».

3) В списке доступных оснасток выберите «Сертификаты» и нажмите «Добавить».

4) В открывшемся окне «Оснастка диспетчеров сертификатов» выберите «учетной записи компьютера» и нажмите кнопку «Далее».

5) На следующей странице для параметра «Эта оснастка всегда управляет» выберите «локальным компьютером» и нажмите кнопку «Готово».

Вернувшись в окно «Добавление и удаление оснасток», нажмите кнопку «ОК».

6) В корне Консоли управления выберите «Сертификаты (локальный компьютер)» и перейдите в логическое хранилище «Личное».

7) В панели «Тип объекта» кликните ПКМ (правой кнопкой мыши) на свободном месте, и в открывшемся контекстном меню последовательно выберите «Все задачи» («All Tasks») → «Дополнительные операции» («Advanced Operations») → «Создать настраиваемый запрос...» («Create Custom Request»).

8) Откроется окно «Регистрация сертификатов». Нажмите кнопку «Далее».

На следующей странице производится выбор политики регистрации сертификатов. В секции «Настраиваемый запрос» («Custom Request») выберите «Продолжить без политики регистрации» («Proceed without enrollment policy») и нажмите кнопку «Далее».

9) Откроется страница «Пользовательский запрос».

Установите параметры:

-- «Шаблон» -- «Старый ключ (без шаблона)» («(No template) Legacy key»)

-- «Формат запроса» -- «PKCS #10»

Нажмите кнопку «Далее».

10) Откроется страница «Сведения о сертификате».

Для создаваемого запроса нажмите на значок «Подробности» («Details») -- отобразятся более подробные сведения. Нажмите кпопку «Свойства» («Properties»).

11) Откроется окно «Свойства сертификата».

Во вкладке «Общие» («General») задайте параметры:

-- «Понятное имя» («Friendly name») -- redadm.red.adm

-- «Описание» («Description»): my server certificate

Перейдите на вкладку «Субъект» («Subject»):

В секции «Имя субъекта» («Subject name») добавьте (выберите) параметр:

-- тип -- «Общее имя» («Common name»), значение -- redadm.red.adm

В секции «Дополнительное имя» («Alternative name») добавьте (выберите) параметры:

-- тип -- «Служба DNS», значение -- redadm.red.adm

-- тип -- «IP-адрес (v4)», значение -- 10.10.10.10

12) Перейдите на вкладку «Расширения» («Extensions»).

В секции «Использование ключа» («Key Usage») в списке «Доступные параметры» («Available options») выберите параметры:

-- «Цифровая подпись» («Digital Signature»)

-- «Шифрование ключей» («Key Encipherment»)

В секции «Расширенное использование ключа (политики применения)» («Extended Key Usage (application policies)») выберите параметр «Проверка подлинности сервера» («Server Authentication»).

13) Перейдите на вкладку «Закрытый ключ» («Private key»).

В секции «Параметры ключа» («Key options») установите параметры:

-- в выпадающем меню «Размер ключа» («Key size») -- выберите «2048»

-- установите чекбокс «Сделать закрытый ключ экспортируемым» («Make private key exportable»)

14) Нажмите кнопку «OK» для применения и сохранения настроек, окно «Свойства сертификата» закроется. Вы продолжите работу в окне «Регистрация сертификатов» на странице «Сведения о сертификате», где будут отображены добавленные выше свойства.

Нажмите кнопку «Далее». Откроется страница сохранения. Укажите расположение и имя файла, формат файла выберите «Base 64». Нажмите кнопку «Готово».

15) В браузере Internet Explorer откройте страницу https://localhost/certsrv

Последовательно нажмите «Request a certificate» → «advanced certificate request», и в поле «Saved Request» вставьте содержимое сохранённого файла запроса.

Выберите тип -- «Base 64», шаблон сертификата («Certificate template») -- «Web-server». Нажмите «Download certificate».

16) В корне Консоли управления выберите «Сертификаты (локальный компьютер)» и кликните ПКМ по «Личное».

В открывшемся контекстном меню последовательно выберите «Все задачи» → «Импорт» и добавьте созданный сертификат.

17) Произведите экспорт открытого и закрытого ключей. По возможности, везде выбирайте формат Base 64. При экспорте закрытого ключа обязательно установите пароль (далее, при конвертации, он будет убран).

18) Загрузите ключи на хост с сервером РЕД АДМ.

Корневые ключи центра сертификации

Для экспорта корневого ключа центра сертификации на сервере центра сертификации выполните следующие действия:

1) Последовательно нажмите «Пуск» → «Выполнить» (или сочетание клавиш «Win» + «R»).

В открывшейся командной строке введите mmc и нажмите «Enter». Откроется Консоль управления (MMC).

2) Последовательно нажмите «Файл» → «Добавить или удалить оснастку...».

3) В списке доступных оснасток выберите «Сертификаты» и нажмите «Добавить».

4) В открывшемся окне «Оснастка диспетчеров сертификатов» выберите «учетной записи компьютера» и нажмите кнопку «Далее».

5) На следующей странице для параметра «Эта оснастка всегда управляет» выберите «локальным компьютером» и нажмите кнопку «Готово».

Вернувшись в окно «Добавление и удаление оснасток», нажмите кнопку «ОК».

6) В корне консоли нажмите на «Сертификаты (локальный компьютер)» и перейдите в логическое хранилище «Личное».

7) Откройте корневой сертификат и последовательно нажмите «Детали» → «Копировать в файл».

Выполните экспорт закрытого ключа в формат pfx, обязательно установите пароль.

Выполните экспорт открытого ключа в формат cer Base 64.

8) Загрузите ключи на хост с сервером РЕД АДМ.

Преобразование ключей для сервера РЕД АДМ

1) Создайте резервную копию директории /opt/redadm/configs/ssl

2) Загрузите в директорию /root следующие сертификаты, полученные в Центре сертификации MS~CA:

-- wildcard-public.cer

-- wildcard-private.pfx

-- redadm-server-public.cer

-- redadm-server-private.pfx

-- ca-public.cer

-- ca-private.pfx

3) Выполните преобразование и переименование ключей:

 cd /root 

openssl pkcs12 -in wildcard-private.pfx -nocerts -nodes -out wildcard_cert.key
openssl pkcs12 -in wildcard-private.pfx -nocerts -nodes -out wildcard-key.pem
openssl x509 -in wildcard-public.cer -out wildcard-cert.pem
openssl x509 -in wildcard-public.cer -out wildcard_cert.crt

openssl x509 -in redadm-server-public.cer -out redadm-server.crt
openssl pkcs12 -in redadm-server-private.pfx -nocerts -nodes -out redadm-server.key

openssl x509 -in ca-public.cer -out redadm-ca.pem
openssl x509 -in ca-public.cer -out ca.crt
openssl pkcs12 -in ca-private.pfx -nocerts -nodes -out ca.key

cp wildcard_cert.crt /opt/redadm/configs/ssl/pki/issued/
cp wildcard-cert.pem /opt/redadm/configs/ssl/pki/issued/
cp redadm-server.crt /opt/redadm/configs/ssl/pki/issued/

cp redadm-server.key /opt/redadm/configs/ssl/pki/private/
cp wildcard_cert.key /opt/redadm/configs/ssl/pki/private/
cp wildcard-key.pem /opt/redadm/configs/ssl/pki/private/

cp ca.crt /opt/redadm/configs/ssl/pki/

cp redadm-ca.pem /opt/redadm/configs/ssl/
cp redadm-server.crt /opt/redadm/configs/ssl/
cp redadm-server.key /opt/redadm/configs/ssl/

chown -R redadm_local_service_user:redadm_local_service_user /opt/redadm/configs/ssl/pki/issued/

chown -R redadm_local_service_user:redadm_local_service_user /opt/redadm/configs/ssl/pki/private/

chown redadm_local_service_user:redadm_local_service_user /opt/redadm/configs/ssl/pki/ca.crt

chown redadm_local_service_user:redadm_local_service_user /opt/redadm/configs/ssl/redadm-ca.pem

chown redadm_local_service_user:redadm_local_service_user /opt/redadm/configs/ssl/redadm-server.crt

chown redadm_local_service_user:redadm_local_service_user /opt/redadm/configs/ssl/redadm-server.key

4) Добавьте корневой сертификат в хранилище доверенных сертификатов:

cp redadm-ca.pem /etc/pki/ca-trust/source/anchors/
update-ca-trust
update-ca-trust extract

5) Перезагрузите службы сервера РЕД АДМ:

systemctl restart redadm.service rabbitmq-server.service redadm-celery-worker.service redadm-celery-beat.service nginx.service memcached.service

Дата последнего изменения: 07.04.2026

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.