Внимание! В случае повторной установки ПО рекомендуется произвести очистку кэша используемого веб‑браузера.

Распаковка инсталляционного комплекта

Распакуйте инсталляционный rpm/deb‑пакет, находясь в папке, где расположен пакет, выполнив команду с правами суперпользователя:

РЕД ОС

sudo dnf install <наименование пакета>.rpm

Astra Linux

sudo dpkg ‑i <наименование пакета>.deb

Альт Сервер

sudo apt‑get install <наименование пакета>.rpm

Инсталляционный rpm/deb‑пакет будет автоматически распакован в директорию /opt/aecaRa.

Структура распакованного инсталляционного rpm/deb‑пакета приведена в таблице ниже (Таблица 4).

Таблица 4 – Структура установочного комплекта Центра регистрации Aladdin eRA

Структурный элемент

Назначение элемента

/opt/aecaRa

Установочный комплект Центра регистрации Aladdin eRA, а также используемые дополнительные инструменты.

/opt/aecaRa/dist

Путь развертывания продукта, который содержит создаваемые временные файлы.

..dist/backup/

Созданные резервные копии Центра регистрации Aladdin eRA.

..dist/certificates/aeca‑ca

Расположение сертификата для установки соединения с Центром сертификации Aladdin еСА.

..dist/certificates/ssl

Расположение сертификатов для управления SSL‑соединением.

..dist/environment/

Расположение переменных окружения сервисов.

..dist/logs/

Расположения технических логов сервисов.

/opt/aecaRa/eula

Файл лицензионного соглашения.

/opt/aecaRa/samples

Содержит шаблоны файлов конфигурации для внутреннего использования Центром регистрации Aladdin eRA.

/opt/aecaRa/scripts

Содержит скрипты управления Центром регистрации Aladdin eRA.

../scripts/internal

Скрипты для внутреннего использования программы.

../scripts/backup.sh

Скрипт резервного копирования конфигурации Центра регистрации Aladdin eRA

../scripts/config.sh

Конфигурационный файл Центра регистрации Aladdin eRA.

../scripts/database_create.sh

Скрипт создания базы данных Центра регистрации Aladdin eRA.

../scripts/diagnostics.sh

Скрипт сбора диагностической информации Центра регистрации Aladdin eRA.

../scripts/install.sh

Скрипт установки и обновления текущей версии Центра регистрации Aladdin eRA.

../scripts/restore.sh

Скрипт восстановления из резервной копии конфигурации Центра регистрации Aladdin eRA.

../scripts/uninstall.sh

Скрипт удаления Центра регистрации Aladdin eRA.

/opt/aecaRa/services

Сервисы Серверной части Центра регистрации Aladdin eRA.

/opt/aecaRa/scripts/jc_checksum

Файл с эталонами контрольных сумм исполняемых файлов Центра регистрации Aladdin eRA.

/opt/aecaRa/static

Артефакты Клиентской части Центра регистрации Aladdin eRA.

../opt/aecaRa/bin/jcverify

Каталог утилиты контроля целостности «jcverify».

../opt/aecaRa/bin/jcverify/jcverify

Утилита контроля целостности «jcverify».

../opt/aecaRa/bin/jcverify/jcverify.txt

Вспомогательный файл для работы утилиты целостности «jcverify».

/opt/aecaRa/digsig/keys/aladdin_pub.key

Публичный открытый ключ производителя для обеспечения ЗПС ОС Astra Linux SE.

  • Владельцем распакованных файлов будет являться пользователь «root», другие пользователи не будут иметь прав доступа к инсталляционному комплекту.

Настройка конфигурации программы

Перед установкой программного комплекса требуется определить значения следующих параметров:

  • Webserver– укажите используемый веб‑сервер (`nginx`, `apache` или `cpnginx`). Также значение параметра можно будет ввести после запуска инсталлятора установки, в интерактивном режиме выбрав веб‑сервер;
  • webserver_path– укажите папку с файлами для развёртывания веб‑сервера. Также значение параметра можно будет ввести при запуске инсталлятора, в интерактивном режиме указав путь к файлам веб‑сервера:
    • конфигурация Nginx располагается по пути /etc/nginx;
    • конфигурация A.уесpache располагается для Astra Linux SE по пути /etc/apache2, для RedOS – по пути /etc/httpd, для Альт Сервер по пути /etc/httpd2;
    • конфигурация cpnginx располагается по пути /etc/opt/cprocsp/cpnginx;
  • database_password– укажите пароль создаваемой базы данных (имя базы данных по умолчанию ‑ aecara). После обновления с версии 2.0 до версии 2.2, а также после создания и настройки базы данных (см. раздел 4.3) пароль пользователя базы данных отображается в конфигурационном файле в шифрованном виде (алгоритм шифрования AES‑256 с использованием сгенерированного в файле /opt/aecaRa/scripts/key ключа шифрования). Пароль не должен содержать специальные символы «|» и «\»;
  • aeca_ca_host– укажите адрес (IP‑адрес или доменное имя) Центра сертификации Aladdin eCA, к которому будет подключён Центр регистрации Aladdin eRA (пример, 22.5.21);
  • aeca_ca_auth_password– укажите пароль от контейнера закрытого ключа учётной записи администратора, используемой для взаимодействия Центр регистрации Aladdin eRA с Центром сертификации Aladdin eCA;
  • kerberos_service_principal– укажите принципал HTTP‑службы, используемой для валидации Kerberos‑билетов (состоит из HTTP/<доменное имя стенда>.<домен>, пример значения: HTTP/ra01.presale.aeca);
  • kerberos_keytab_locationукажите расположение keytab‑файла для принципала HTTP‑службы для валидации Kerberos‑билетов. Рекомендуется располагать данный файл по пути /etc/http.keytab (пример значения /etc/http.keytab);
  • kerberos_krb5_location– укажите расположение conf файла (по умолчанию располагается по пути /etc/krb5.conf, не рекомендуется изменять без веской причины);
  • kerberos_ad_domain– укажите имя домена службы каталог в верхнем регистре (пример значения параметра: AECA);
  • kerberos_ad_server– укажите LDAP‑адрес для подключения к домену. Обычно, состоит из ldap://<имя контроллера домена>.<домен> (пример ldap://dc1.presale.aeca);
  • resource_type– укажите тип подключаемой ресурсной системы (доступные значения: FREE_IPA, ALD_PRO, SAMBA_DC, MS_AD, RED_ADM, ALT_DOMAIN);
  • resource_base_dn– укажите точку подключения к ресурсной системе (пример значения dc=presale,dc=aeca);
  • certificate_raw_server_password– укажите пароль от контейнера закрытого ключа веб‑сервера;
  • root_cert_path– укажите абсолютный путь к сертификату корневого центра сертификации из цепочки сертификатов сервера СУБД. Значение параметра необходимо заполнить только при включённом флаге обязательного использования TLS для подключения к СУБД (при значении параметра use_tls=true);
  • hostname– укажите полное имя компьютера, на котором будет развёрнут Центра регистрации Aladdin eRA.

При использовании СКЗИ «КриптоПро CSP» канал взаимодействия клиентского и серверного компонента программы должен быть организован по протоколу TLS ГОСТ, должна обеспечиваться TLS‑аутентификация пользователей в программном средстве с использованием отечественных криптографических алгоритмов, а маркеров доступа пользователей Центра сертификации Aladdin eCA должен быть подписан по алгоритму ГОСТ Р 34.11‑2012/34.10‑2012 256/512 Бит. Для этого настройте конфигурационный файл в соответствии с таблицей ниже (Таблица 5).

Таблица 5 – Параметры для настройки TLS ГОСТ

Параметр

Значение

webserver

'cpnginx'

webserver_path

'/etc/opt/cprocsp/cpnginx'

sign_provider

'CRYPTO_PRO'

sign_key_algorithm

'GOST_R_34_10_2012'

sign_key_length

'256' или '512

sign_hash_algorithm

'GOST_R_34_11_2012'

Отредактируйте конфигурационный файл /opt/aecaRa/scripts/config.sh, выполнив команду:

sudo nano /opt/aecaRа/scripts/config.sh

Настраиваемые параметры конфигурационного файла /opt/aecaRa/scripts/config.sh позволяют задавать:

  • параметры конфигурации развёртывания сервисов центра регистрации;
  • параметры конфигурации подключения к центру сертификации;
  • параметры конфигурации подключаемой ресурсной системы;
  • параметры конфигурации offline‑выпуска сертификатов;
  • параметры сертификата веб‑сервера центра регистрации;
  • расписание синхронизации ресурсных систем;
  • расписание синхронизации разрешённых издателей;
  • расписание архивации журнала событий;
  • конфигурацию базы данных;
  • конфигурация памяти.

Полный перечень и описание параметров конфигурации приведено в Таблица 6.

Таблица 6 – Описание параметров конфигурации

Параметр

Значение параметра по умолчанию

Описание

Конфигурация развертывания

webserver

#CHANGEIT

Используемый веб‑сервер (nginx,apache, cpnginx)

webserver_path

#CHANGEIT

Папка с файлами для развёртывания сервиса (по умолчанию: конфигурация nginx располагается по пути /etc/nginx, для Astra Linux конфигурация apache располагается по пути /etc/apache2, для RedOS конфигурация apache располагается по пути /etc/httpd, конфигурация cpnginx располагается по пути /etc/opt/cprocsp/cpnginx)

aeca_path

'/opt/aecaRa/dist'

Папка с файлами для развёртывания Центра регистрации Aladdin eRA

environment_path

'/opt/aecaRa/dist/environment'

Папка с переменными окружения для сервисов

webserver_config_path

'/opt/aecaRa/dist/webserver'

Расположение конфигурации Центра регистрации Aladdin eRA для веб‑сервера

encryption_key_path

'/opt/aecaVa/scripts/key'

Ключ для шифрования конфигурационного файла

proxy_connect_timeout

'320'

Время ожидания подключения к прокси-серверу перед тем, как будет выдано сообщение об ошибке. Только для Nginx. Настраивается разработчиками. Редактировать не следует.

proxy_send_timeout

'320'

Время ожидания ответа от прокси-сервера после отправки запроса. Если ответ не получен в течение этого времени, запрос считается неудачным. Только для Nginx. Настраивается разработчиками. Редактировать не следует.

proxy_read_timeout

'720'

Время ожидания чтения ответа от прокси-сервера после получения успешного запроса. Если ответ не получен в течение этого времени, запрос считается неудачным. Только для Nginx. Настраивается разработчиками. Редактировать не следует.

ssl_protocols

'TLSv1.2 TLSv1.3'

Поддерживаемые версии протокола TLS. Доступно использование только TLSv1.2 и/или TLSv1.3 (при использовании обоих версий протокола необходимо указывать их через пробел).

ssl_ciphers

По умолчанию не задано.

Поддерживаемые наборы шифров для TLS‑соединения. Данный параметр позволяет ограничить наборы шифров (cipher suites), которые могут использоваться при TLS‑соединении. Разделитель между наборами – «:». Если клиент не поддерживает ни один из указанных в данном параметре наборов, TLS‑соединение не будет установлено.

По умолчанию значение в данном параметре не задано, что означает отсутствие управления со стороны Центра регистрации перечнем допустимых наборов шифров (ciphersuites) TLS‑соединения для веб‑сервера.

В данном параметре могут быть указаны любые наборы шифров, поддерживаемые используемой на сервере Центра регистрации версией Openssl для TLS версии 1.2.

Получить список поддерживаемых используемым Openssl наборов шифров для TLS версии 1.2 можно с помощью команды:

openssl ciphers ‑tls1_2 ‑s

Данный параметр учитывается только при использовании Nginx или Apache. Конфигурирование наборов шифров TLS‑соединения для Cpnginx осуществляется с помощью утилиты «cpconfig» из состава СКЗИ «КриптоПро CSP»[1].

Путь хранения резервных копий

backup_path

'/opt/aecaRa/dist/backup'

Папка, в которую сохраняются резервные копии Центра регистрации Aladdin eRA

Путь хранения лог‑файлов

logs_base

'/opt/aecaRa/dist/logs'

Папка, в которой хранятся лог‑файлы

аrchive_path

'/opt/aecaRa/dist/
archive'

Папка, в которую сохраняется архив журнала событий, сформированный в результате автоматической архивации по заданным параметрам

Путь хранения контейнера сертификата и ключа веб‑сервера, а также цепочек сертификатов разрешённых издателей

certificates_ssl_path

'/opt/aecaRa/dist/
certificates/ssl'

Папка, содержащая сертификат веб‑сервера и цепочки сертификатов разрешённых издателей

certificates_aeca_
ca_path

'/opt/aecaRa/dist/certificates
/aeca‑ca'

Путь хранения контейнера сертификата для авторизации в Центре сертификации Aladdin eCA

Конфигурация пользователя

aeca_user

'aeca'

Имя пользователя Центра регистрации Aladdin eRA, используемое для работы программы

aeca_group

'aeca'

Группа, в которой состоит пользователь Центра регистрации Aladdin eRA

Конфигурация памяти

memory

6144

Максимальный лимит оперативной памяти

enable_gc_diagnostic

'false'

Флаг сбора диагностической информации о памяти

Конфигурация базы данных

use_tls

false

Флаг обязательного использования TLS для подключения к СУБД. Допустимые значения: true, false

max_db_pool_size

'50'

Максимальный размер пула подключений к СУБД.

Настраивается разработчиками. Редактировать не следует.

database_username

'aeca'

Имя пользователя базы данных, используемое для работы Центра регистрации Aladdin eRA

database_password

#CHANGEIT

Пароль пользователя базы данных, используемый для работы Центра регистрации Aladdin eRA. Пароль не должен содержать специальные символы «|» и «\»

database_host

'localhost'

Сетевой адрес базы данных

database_port

'5432'

Порт, используемый для подключения к базе данных

database_name

'aecara'

Имя базы данных, используемой Центром регистрации Aladdin eRA

root_cert_path

#CHANGEIT

Абсолютный путь к сертификату корневого ЦС из цепочки сертификатов сервера СУБД

Конфигурация Центра регистрации

http_port

'80'

Порт для подключения к программному комплексу по протоколу http

https_port

'443'

Порт для подключения к программному комплексу по протоколу https

hostname

'localhost'

Имя сервера, на котором развёртывается Центр регистрации.

hostname_no_mtls

По умолчанию не задано.

Параметр используется только в конфигурации с CPNGINX. Имя хоста (должно отличаться от значения hostname), используемое для доступа к интерфейсу без использования mTLS.

number_of_services

'16'

Количество активных сервисов в системе. Настраивается разработчиками, редактировать не следует.

logs_file_max_size

'10MB'

Максимальный размер лог‑файла (файла с диагностической информацией) сервиса перед его архивацией.

При достижении данного значения текущий лог‑файл (access.log или service.log) будет заархивирован. Файл будет сохранен в текущем каталоге хранения лог‑файлов данного сервиса с именем {access или service}‑{дата в формате YYYY‑MM‑DD}.{индекс лога}.log.

logs_max_history

'10'

Максимальный срок хранения архивов с лог‑файлами в днях.

Архивы, срок хранения которых превышает указанное в данном параметре значение, будут автоматически удаляться.

logs_total_size_cap

'100MB'

Максимальный общий объем лог‑файлов, включая архивы, каждого типа (access или service) для каждого сервиса.

При достижении данного объема наиболее старые архивы данного типа будут удаляться.

Переменные окружения, используемые всеми сервисами

logging_response

false

Флаг для сбора и регистрации ответов сервисов

logging_sql

false

Флаг для сбора и регистрации информации о подключениях и запросах к базе данных PostgreSQL

Ключ для внутренней аутентификации

api_key

'2d2ec9b4‑ad3d‑4ed0‑8961
‑d2a4ab99d810'

Значение ключа для внутренней аутентификации. Для служебного пользования

Переменные окружения, используемые сервисом ca‑adapter‑service

aeca_ca_host

#CHANGEIT

IP‑адрес Центра сертификации, к которому происходит подключение

aeca_ca_auth_filename

AUTH_CA_PATH

Имя файла контейнера сертификата, используемого для авторизации в Центре сертификации

aeca_ca_auth_password

#CHANGEIT

Пароль от контейнера сертификата, используемого для авторизации в Центре сертификации

Переменные окружения, используемые сервисом kerberos‑provider‑service

kerberos_service
_principal

#CHANGEIT

Уникальное имя для клиента, которому разрешается аутентификация в Kerberos, используемое для авторизации

kerberos_keytab
_location

#CHANGEIT

Расположение keytab‑файла, содержащего Kerberos‑билет принципала, используемого для авторизации

kerberos_krb5
_location

#CHANGEIT

Расположение файла конфигурации krb5.conf

kerberos_ad_domain

#CHANGEIT

Имя подключаемого домена

kerberos_ad_server

#CHANGEIT

Адрес сервера AD (ldap)

Переменные окружения, используемые сервисом ldap‑service

resource_type

#CHANGEIT

Тип ресурсной системы (FREE_IPA, ALD_PRO, SAMBA_DC, MS_AD, RED_ADM, ALT_DOMAIN)

resource_base_dn

#CHANGEIT

Точка подключения ресурса

ldap_sign_in_failure_
max_count

5

Максимальное количество неудачных попыток аутентификации через LDAP

ldap_sign_in_failure_
delay_millis

3600000

Время задержки после последней неудачной попытки аутентификации через LDAP

Переменные окружения, используемые сервисом settings‑service

certificate_server_
name

server

Имя файла сертификата веб‑сервера

certificate_raw_
server_password

#CHANGEIT

Пароль от контейнера сертификата веб‑сервера

issuers_name

issuers

Имя файла разрешённых издателей, получаемого от Центра сертификации Aladdin eCA

issuers_sync

'0 */30 * * * *'

CRON‑выражение, по которому выполняется синхронизация разрешённых издателей

offline_enrollment_enabled

false

Флаг включения offline‑выпуска сертификатов.

Возможные значения: true/false

offline_enrollment_cron

'0 * * * * *'

CRON выражение, по которому будет запускаться offline‑выпуск сертификатов

offline_enrollment_template_id

#CHANGEIT

Идентификатор шаблона, который будет использоваться для offline‑выпуска[2]

offline_enrollment_request_path

#CHANGEIT

Путь к каталогу с файлами запросов на сертификат для offline‑выпуска.

Путь должен быть задан в абсолютном формате. Пользователю aeca должны быть предоставлены права на чтение для данного каталога.

offline_enrollment_certificate_path

#CHANGEIT

Путь к каталогу, в который будут записываться сертификаты, созданные в результате offline‑выпуска.

Путь должен быть задан в абсолютном формате. Пользователю aeca должны быть предоставлены права на чтение и запись для данного каталога.

offline_enrollment_error_path

#CHANGEIT

Путь к каталогу, в который будут записываться запросы на сертификат, создание сертификата по которым было отклонено или завершено с ошибкой.

Путь должен быть задан в абсолютном формате. Пользователю aeca должны быть предоставлены права на чтение и запись для данного каталога.

Переменные окружения, используемые сервисом security‑service

session_max_count

"‑1"

Максимальное число одновременных сессий аккаунта в виде натурального числа. При указании значения «‑1» ограничение на количество одновременных сессий пользователя будет отсутствовать.

token_expire

‘18000’

Время жизни JWT‑токена (маркера доступа), мс.

refresh_token_expire

‘86400000’

Время жизни JWT‑токена обновления, мс.

sign_provider

'EMBEDDED'

Провайдер подписи маркера доступа (выбирается между стандартным ‑ 'EMBEDDED' и КриптоПро ‑ 'CRYPTO_PRO')

sign_key_algorithm

'RSA'

Алгоритм ключа подписи маркера доступа.

Для стандартного провайдера доступны алгоритмы 'RSA' и 'ECDSA'. Для провайдера КриптоПро доступны алгоритмы 'RSA' и 'GOST_R_34_10_2012'.

sign_key_length

'2048'

Длина ключа подписи маркера доступа

sign_hash_algorithm

'SHA512'

Алгоритм хэширования подписи маркера доступа,

Доступные для выбора значения алгоритмов хэширования:

1) для стандартного провайдера (EMBEDDED):

·         для алгоритма ключа 'RSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384'

·         для алгоритма ключа 'ECDSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384'

2) для провайдера КриптоПро (CRYPTO_PRO):

·         для алгоритма ключа 'GOST_R_34_10_2012' доступен алгоритм хэширования 'GOST_R_34_11_2012'

Для алгоритма ключа 'RSA' доступны алгоритмы хэширования 'SHA1', 'SHA256', 'SHA512', 'SHA384'

Переменные окружения, используемые сервисом logs‑service

archive_cron

'0 0 0 1 * *'

CRON‑выражение, по которому запускается архивация журнала событий

archive_enabled

'true'

Флаг: включена архивация.

Возможные значения: true, false

archive_millis_ago

'15778800000'

Период архивации (мс) (архивировать записи старше…)

Использования HTTP взаимодействия с SCEP

allow_scep_http

true

Флаг использования протокола HTTP при взаимодействии с ним по протоколу SCEP. Если установлено значение «false», то программа отключает от веб‑сервера HTTP‑конфигурацию для SCEP‑сервиса

max_requests_count

'30'

Максимальное число параллельных HTTP запросов

При превышении числа запросов в систему данного значения, для последующих запросов будет возвращаться HTTP код ошибки 429 (Слишком много запросов). Настраивается разработчиком, редактировать не следует.

[1] Инструкция по установке и настройке cpnginx - https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/440/0/nginx-gost-binary-packages. Описание порядка конфигурирования наборов шифров представлено в разделе 6.

[2] Указан идентификатор шаблона «Smartcard Logon» 

Создание и настройка базы данных

Перед установкой Центра регистрации Aladdin eRA необходимо создать и настроить базу данных Центра регистрации Aladdin eRA. Это может быть выполнено одним следующих из способов:

  • В автоматическом режиме, посредством запуска скрипта.
  • В ручном режиме.

После создания и настройки базы данных пароль пользователя базы данных, заданный в конфигурационном файле /opt/aecaRa/scripts/config.sh в параметре database_password, отображается в зашифрованном виде. Шифрование пароля выполняется по алгоритму AES‑256 с использованием автоматически сгенерированного в файле /opt/aecaRa/scripts/key ключа шифрования. Пароль не должен содержать специальные символы «|» и «\».

Созданная база данных (имя базы данных по умолчанию aecara) предназначена для хранения информации:

  • об учётных записях;
  • о заявках;
  • о правилах выдачи сертификатов;
  • журнала событий;
  • о ролях пользователей;
  • о правах, определённых для ролей пользователей.

Создание и настройка базы данных в автоматическом режиме

Перед созданием базы данных в конфигурационном файле /opt/aecaRa/scripts/config.sh должны быть заданы параметры создаваемой базы данных в (см. раздел 4.2 настоящего руководства).

Для создания и настройки базы данных запустите скрипт, выполнив команду от имени суперпользователя[1]:

sudo bash /opt/aecaRa/scripts/database_create.sh

В результате выполнения скрипта будет создана база данных с параметрами, указанными в конфигурационном файле /opt/aecaRa/scripts/config.sh (имя пользователя, пароль, имя базы данных).

[1] Выполнение скрипта требует наличия утилиты psql из пакета СУБД (postgresql, postgresql-client, postgrespro-std, jatoba4-client).

Создание и настройка базы данных PostgreSQL в ручном режиме

Требования к настройке предварительно установленной СУБД PostgreSQL:

  • создание пользователя, от имени которого будет осуществляться всё взаимодействие с СУБД;
  • создание базы данных, используемой программой в процессе работы;
  • назначение созданному пользователю полных прав доступа к созданной базе данных.

Возможно использование локальной СУБД или удалённой, доступной для подключений.

  • Запустите PostgreSQL, выполнив команду:
sudo systemctl start postgresql
  • Добавьте запуск PostgreSQL в автозагрузку, выполнив команду:
sudo systemctl enable postgresql
  • Зайдите под пользователем «postgres» в PostgreSQL, выполнив команду:
sudo ‑u postgres psql
  • Создайте пользователя базы данных, выполнив команды:
CREATE USER aeca;

где aeca – задаваемое имя пользователя по умолчанию, в случае указания отличного имени пользователя, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).

  • Задайте пароль пользователю, выполнив команды:
ALTER USER aeca WITH PASSWORD 'aeca';

где ‘aeca’ – задаваемый пароль пользователя по умолчанию. В случае указания отличного пароля, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).

  • Создайте базу данных, выполнив команду:
CREATE DATABASE aecara;

где aecara – задаваемое имя базы данных по умолчанию, в случае указания отличного имени базы данных, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).

  • Назначьте владельцем созданной базы данных созданного пользователя, выполнив команду:
ALTER DATABASE aecara OWNER TO aeca;
  • Наделите созданного пользователя полными правами доступа к созданной базе данных и завершите действия, выполнив команды:
GRANT ALL PRIVILEGES ON DATABASE aecara TO aeca;
 
\q
  • Завершите работу под пользователем «postgres» и выйдите из терминала, выполнив команду:
exit
  • Перезапустите СУБД PostgreSQL, выполнив команду:
sudo systemctl restart postgresql
  • Установите расширение pgcrypto в БД PostgreSQL, выполнив команду от имени пользователя «postgres» (с правами root):
sudo ‑u postgres psql ‑c "CREATE EXTENSION IF NOT EXISTS pgcrypto WITH SCHEMA pg_catalog;" ‑d aecara

где aecara – имя созданной базы данных.

Требования к настройке предварительно установленной СУБД PostgreSQL:

  • создание пользователя, от имени которого будет осуществляться всё взаимодействие с СУБД;
  • создание базы данных, используемой программой в процессе работы;
  • назначение созданному пользователю полных прав доступа к созданной базе данных.

Возможно использование локальной СУБД или удалённой, доступной для подключений.

  • Запустите PostgreSQL, выполнив команду:
sudo systemctl start postgresql
  • Добавьте запуск PostgreSQL в автозагрузку, выполнив команду:
sudo systemctl enable postgresql
  • Зайдите под пользователем «postgres» в PostgreSQL, выполнив команду:
sudo ‑u postgres psql
  • Создайте пользователя базы данных, выполнив команды:
CREATE USER aeca;

где aeca – задаваемое имя пользователя по умолчанию, в случае указания отличного имени пользователя, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).

  • Задайте пароль пользователю, выполнив команды:
ALTER USER aeca WITH PASSWORD 'aeca';

где ‘aeca’ – задаваемый пароль пользователя по умолчанию. В случае указания отличного пароля, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).

  • Создайте базу данных, выполнив команду:
CREATE DATABASE aecara;

где aecara – задаваемое имя базы данных по умолчанию, в случае указания отличного имени базы данных, требуется соответственно отредактировать конфигурационный файл (см. раздел 4.2).

  • Назначьте владельцем созданной базы данных созданного пользователя, выполнив команду:
ALTER DATABASE aecara OWNER TO aeca;
  • Наделите созданного пользователя полными правами доступа к созданной базе данных и завершите действия, выполнив команды:
GRANT ALL PRIVILEGES ON DATABASE aecara TO aeca;
 
\q
  • Завершите работу под пользователем «postgres» и выйдите из терминала, выполнив команду:
exit
  • Перезапустите СУБД PostgreSQL, выполнив команду:
sudo systemctl restart postgresql
  • Установите расширение pgcrypto в БД PostgreSQL, выполнив команду от имени пользователя «postgres» (с правами root):
sudo ‑u postgres psql ‑c "CREATE EXTENSION IF NOT EXISTS pgcrypto WITH SCHEMA pg_catalog;" ‑d aecara

где aecara – имя созданной базы данных.

Требования к настройке предварительно установленной СУБД Jatoba:

  • создание пользователя, от имени которого будет осуществляться всё взаимодействие с СУБД;
  • создание базы данных, используемой Программой в процессе работы;
  • назначение созданному пользователю полных прав доступа к созданной базе данных.

Возможно использование локальной СУБД или удаленной, доступной для подключений.

  • Запустите Jatoba, выполнив команду:
sudo systemctl start jatoba‑[версия]

Добавьте запуск Jatoba в автозагрузку, выполнив команду:

sudo systemctl enable jatoba‑[версия]
  • Зайдите под пользователем «postgres» в Jatoba, выполнив команду:

РЕД ОС

sudo ‑u postgres psql

Astra Linux SE

sudo ‑u postgres psql

Альт Сервер

sudo – postgres ‑s /bin/bash

‑bash‑4.4$ /usr/jatoba‑[версия]/bin/psql

psql

  • Создайте пользователя базы данных, выполнив команды:
CREATE USER aeca;

где aeca – задаваемое имя пользователя.

  • Задайте пароль пользователю, выполнив команды:
ALTER USER aeca WITH PASSWORD 'aeca';

где ‘aeca’ – задаваемый пароль пользователя.

Внимание! Пароль не должен содержать специальные символы «|» и «\».

  • Создайте базу данных, выполнив команду:
CREATE DATABASE aecara;

где aecara – задаваемое имя базы данных.

  • Назначьте владельцем созданной базы данных созданного пользователя, выполнив команду:
ALTER DATABASE aecara OWNER TO aeca;
  • Наделите созданного пользователя полными правами доступа к созданной базе данных и завершите действия, выполнив команды:
GRANT ALL PRIVILEGES ON DATABASE aecara TO aeca;
 
\q
  • Завершите работу под пользователем «postgres» и выйдите из терминала, выполнив команду:
exit
  • Перезапустите СУБД Jatoba, выполнив команду:
sudo systemctl restart jatoba‑[версия]
  • Установите расширение pgcrypto в БД Jatoba, выполнив команду от имени пользователя «postgres» (с правами root):
sudo ‑u postgres psql ‑c "CREATE EXTENSION IF NOT EXISTS pgcrypto WITH SCHEMA pg_catalog;" ‑d aecara

где aecara – имя созданной базы данных.

Установка программы

Для инициализации процесса установки Центра регистрации Aladdin eRA необходимо запустить скрипт с правами суперпользователя[1]:

sudo bash /opt/aecaRa/scripts/install.sh
  • В случае запуска от имени пользователя, не имеющего соответствующих привилегий, будет выведено сообщение, после которого работа инсталлятора завершится:
"This script must be run as root!"
  • При использовании Astra Linux Special Edition и наличии мандатных политик[2] может быть выведено сообщение:
ВАЖНО: error obtaining MAC configuration for user "aeca"

В данном случае явно назначьте классификационную метку пользователю aeca, выполнив команду:

sudo pdpl‑user ‑l 0:0 aeca

И повторно запустите скрипт установки.

После инициализации процесса установки интерактивный инсталлятор запущен и пользователю будет предложено (в случае, если ранее Центр регистрации Aladdin eRA был установлен):

  • установить ПО;
  • обновить ПО;
  • завершить работу инсталлятора.

Подтвердите выбор действия, вводом цифры «1» и процесс установки ПО будет запущен.

В случае, если в конфигурационном файле /opt/aecaRа/scripts/config.sh не определён используемый веб‑сервер или введено неверное значение параметра webserver, то в процессе установки пользователю будет предложено выбрать используемый веб‑сервер:

  • apache;
  • nginx;
  • cpnginx;

Подтвердите выбор действия вводом цифры «1», «2» или «3».

В случае, если в конфигурационном файле /opt/aecaRа/scripts/config.sh не определено расположение конфигурации выбранного веб‑сервера (параметр webserver_path), то в процессе установки пользователю будет предложено ввести расположение конфигурации.

В процессе установки требуется ввести полный путь до ранее подготовленных и скопированных на жёсткий диск файлов:

  • контейнера сертификата PKCS#12, используемого для авторизации в Центре сертификации Aladdin eCA;
  • контейнера сертификата PCS#12 веб‑сервера.

В процессе установки осуществляется:

  • создание системного пользователя и соответствующей группы, от имени которых функционирует Центр регистрации Aladdin eRA;
  • установка прав для создаваемого пользователя Центра регистрации Aladdin eRA;
  • установка контейнера сертификата, используемого для авторизации в Центре сертификации AladdineСA;
  • установка контейнера сертификата веб‑сервера Центра регистрации Aladdin eRA;
  • подготовка, установка параметров и служебных сервисов;
  • запуск служебных сервисов;
  • запись номера сборки Центра регистрации Aladdin eRA в базу данных[3].

Ход установки программы отображён в виде горизонтальной шкалы с указанием процентов выполнения установки. В случае возникновения ошибки установка будет прекращена, сообщение об ошибке будет выведено в консоль пользователя.

После первичной установки программного средства системному пользователю aeca будет назначена командная оболочка /sbin/nologin, которая запрещает интерактивный вход в ОС. При обновлении ПО командная оболочка не меняется. Чтобы сменить командную оболочку, выполните команду:

sudo usermod ‑s /bin/bash aeca

[1] Выполнение скрипта требует наличия утилиты psql из пакета СУБД (postgresql, postgresql-client, postgrespro-std, jatoba4-client).

[2] Подробная информация по аутентификации в СУБД PostgreSQL для Astra Linux Special Edition приведена в https://wiki.astralinux.ru/pages/viewpage.action?pageId=238751148

[3] Значение номера сборки записывается в таблицу «build_info» схемы «aeca_ra_info».