- Состав стенда
- Ввод в эксплуатацию корневого центра сертификации
- Ввод в эксплуатацию подчиненного центра сертификации
- Ввод в эксплуатацию центра валидации
- Подключение ресурсной системы
- Настройка АРМ администратора
- Настройка рассылки уведомлений об истечении срока действия сертификата
- Обеспечение возможности строгой аутентификации пользователей в домене
- Итог
Рассмотрим развертывание инфраструктуры открытых ключей на примере двухуровневой иерархии, состоящей из корневого отключенного от сети центра сертификации (Stand-Alone Root CA) и подчиненного издающего корпоративного центра сертификации (Subordinate CA). Таким образом, типовая структурная схема может выглядеть так, как это показано на рисунке 3, где:
Корневой ЦС (Root CA) — выдаёт сертификат только подчинённому ЦС;
Подчинённый издающий ЦС (Subordinate CA) — выдаёт сертификаты конечным потребителям и публикует свой сертификат и списки отзыва на Центре валидации (Validation Authority);
Центр валидации (Validation Authority) — является хранилищем сертификатов ЦС и их списков отзыва, которые может скачать любой клиент;
Клиентские подключения — получают свои сертификаты у подчинённого ЦС и скачивают списки отзыва с сервера отзыва.
Рисунок 4 – Структурная схема PKI системы
Состав стенда
В данном примере структура PKI развертывается на нескольких компьютерах и включает в себя следующие компоненты:
- Root CA (корневой ЦС) – ПК с предустановленным ПО AeCA CA в соответствии с требованиями, указанными в пункте 2.5 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-1. В переходный период на длительном этапе миграции в качестве корневого центра сертификации может использоваться Microsoft Certificate Services.
- Subordinate CA (издающий ЦС) – ПК с предустановленным ПО AeCA CA в соответствии с требованиями, указанными в пункте 2.5 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-1.
- Domain Controller (контроллер домена) на базе проекта Samba DC.
- Центр валидации – ПК с предустановленным ПО AeCA VA в соответствии с требованиями, указанными в пункте 2.5 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-1.
- АРМ Администратора под управлением ОС Linux– ПК с предустановленным ПО JCWebClient 4.3.3 (для 64-битных систем) и поддерживаемым браузером согласно пункту 2.5.1 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-1 и Мастером групповой настройки.
- АРМ Администратора под управлением ОС Windows – ПК с предустановленными средствами администрирования RSAT.
- Client под управлением ОС Linux – ПК на базе ОС семейства Linux, далее с помощью Мастера Групповой настройки будет установлено ПО Aladdin SecurLogon.
- Client под управлением ОС Windows – ПК на базе ОС семейства Windows.
Ввод в эксплуатацию корневого центра сертификации
Корневой ЦС (Root CA) позволяет выпускать сертификаты для пользователей, серверов или отдельных программ и служб в инфраструктуре.
К созданию центра сертификации необходимо отнестись с большой ответственностью, т. к. пересоздание корневого сертификата может повлечь за собой отзыв старых и выдачу новых сертификатов клиентам, или необходимость поддерживать несколько сертификатов доверенных центров в системах, что вызывает дополнительную нагрузку на администрирующий персонал. Желательно, как можно полнее отразить процессы жизненного цикла сертификатов в формальных документах.
Следует внимательно отнестись к физической охране сервера сертификации и обеспечить доступ к нему только узкому кругу ответственных лиц. Для улучшения защиты можно использовать шифрование файловой системы, где развернуты файлы центра.
Для установки корневого ЦС:
- На сервере корневого Центра сертификации установите вспомогательное ПО в соответствии с процедурами, приведёнными в разделе 3 RU.АЛДЕ.03.01.020-01 32 01-1 Центр сертификатов Aladdin Enterprise Certificate Authority. Руководства администратора;
- Произведите подготовку предустановочных конфигурационных файлов и выполните установку компонента «Центр сертификации Aladdin eCA» в соответствии с разделом 4 «Центра сертификатов Aladdin Enterprise Certificate Authority. Руководства администратора» RU.АЛДЕ.03.01.020-01 32 01-1.
После завершения установки в терминале будут выведены учётные данные администратора инициализации, от имени которого необходимо будет выполнять дальнейшие действия по инициализации. Их следует сохранить в надёжном месте. Также сертификат данного пользователя можно получить в каталоге /opt/aeca/p12/superadmin.p12. - Выполните настройку АРМ администратора Центра сертификации в соответствии с процедурами, описанными в разделе 2 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководство администратора RU.АЛДЕ.03.01.020-01 32 01-2, для этого:
- импортируйте сертификат администратора инициализации superadmin.p12 в браузер;
- подключитесь по IP-адресу УЦ, например, https://<ipадрес>:8888/aecaCa/.
Все дальнейшие действия по работе с УЦ осуществляются через веб-браузер.
- Зайдите на сервер ЦС как Администратор.
- Выполните начальную инициализацию ЦС в соответствии с разделом 3 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2, для этого:
- Загрузите лицензию для корневого ЦС.
- Имя ЦС будет задано автоматически, в зависимости от данных загруженной лицензии.
- Задайте опциональный суффикс в формате Х.500. При задании суффикса следует руководствоваться несколькими рекомендациями:
- суффикс должен отражать название отдела или подразделения, которое отвечает за его управление в атрибуте OU (Organizational Unit);
- дублировать полное название организации (атрибут O, Organization);
- отражать юридическое место дислокации ЦС. Для этого достаточно использовать атрибуты L (Locality) и C (Country). Как правило, это название города и страны, где юридически зарегистрирована организация. Если необходимо, можно указать штат/область посредством атрибута S (State).
- Установите срок действия сертификата. Обычно задают срок минимум в 2 – 5 раз больше, чем планируемый срок действия выданных сертификатов подчинённых ЦС. Максимальный срок жизни сертификата равен 25 лет, вы можете изменить его в соответствии с вашей политикой. Сертификаты уровня CA имеют более длительный срок действия, поскольку истечение срока действия сертификата CA автоматически означает прекращение действия всех выданных им сертификатов. Как ориентировочные значения можно принять 20-летний жизненный цикл для корневого сертификата.
- Определите параметры шифрования, выбрав алгоритм ключа, длину ключа и алгоритм хэш-суммы.
- Создается корневой сертификат в виде файла формата ***.pem.
***.pem — файл публичного сертификата ЦС. Серверы и клиенты будут использовать этот сертификат для подтверждения единой сети доверия. Копия этого файла должна иметься у всех серверов, использующих ваш ЦС. Все стороны будут использовать публичный сертификат для подтверждения подлинности системы.
Ввод в эксплуатацию подчиненного центра сертификации
После установки корневого центра сертификации необходимо установить подчиненный центр сертификации для реализации ограничений политики инфраструктуры открытого ключа и для выдачи сертификатов конечным клиентам. Использование хотя бы одного подчиненного центра сертификации способствует защите корневого центра сертификации от необязательного воздействия извне.
Управление подчиненным ЦС дает возможность подписывать сертификаты пользователей для строгой аутентификации в домене, для корпоративной электронной подписи и для серверной инфраструктуры.
Если подчиненный центр сертификации будет использоваться для выдачи сертификатов пользователям или компьютерам с учетными записями, содержащимися в домене, установка подчиненного центра сертификации в качестве центра сертификации предприятия позволит использовать существующие данные учетной записи клиента в доменных службах для выдачи сертификатов и управления ими, а также для публикации сертификатов в доменных службах.
Для установки подчиненного ЦС:
- На сервере подчинённого Центра сертификации установите вспомогательное ПО в соответствии с процедурами, приведёнными в разделе 3 RU.АЛДЕ.03.01.020-01 32 01-1 Центр сертификатов Aladdin Enterprise Certificate Authority. Руководства администратора;
- Произведите подготовку предустановочных конфигурационных файлов и выполните установку компонента «Центр сертификации Aladdin eCA» в соответствии с разделом 4 «Центра сертификатов Aladdin Enterprise Certificate Authority. Руководства администратора» RU.АЛДЕ.03.01.020-01 32 01-1.
После завершения установки в терминале будут выведены учётные данные администратора инициализации, от имени которого необходимо будет выполнять дальнейшие действия по инициализации. Их следует сохранить в надёжном месте. Также сертификат данного пользователя можно получить в каталоге /opt/aeca/p12/superadmin.p12. - Выполните настройку АРМ администратора Центра сертификации в соответствии с процедурами, описанными в разделе 2 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководство администратора RU.АЛДЕ.03.01.020-01 32 01-2, для этого:
- импортируйте сертификат администратора инициализации superadmin.p12 в браузер;
- подключитесь по IP-адресу УЦ, например, https://<ipадрес>:8888/aecaCa/.
Все дальнейшие действия по работе с УЦ осуществляются через веб-браузер.
- Зайдите на сервер ЦС как Администратор.
- Выполните начальную инициализацию ЦС в соответствии с разделом 3 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2, для этого:
- Загрузите лицензию для подчинённого ЦС.
- Имя ЦС будет задано автоматически, в зависимости от данных загруженной лицензии.
- Задайте опциональный суффикс в формате Х.500. При задании суффикса следует руководствоваться несколькими рекомендациями:
- суффикс должен отражать название отдела или подразделения, которое отвечает за его управление в атрибуте OU (Organizational Unit);
- дублировать полное название организации (атрибут O, Organization);
- отражать юридическое место дислокации ЦС. Для этого достаточно использовать атрибуты L (Locality) и C (Country). Как правило, это название города и страны, где юридически зарегистрирована организация. Если необходимо, можно указать штат/область посредством атрибута S (State).
- Определите параметры шифрования, выбрав алгоритм ключа, длину ключа и алгоритм хэш-суммы.
- Создается подчиненный центр сертификации в состоянии «Запрос».
- Скачайте файл запроса .csv созданного подчиненного ЦС.
- Перенесите файл запроса .csv созданного подчиненного ЦС на АРМ корневого ЦС любым удобным способом.
- Загрузите файл-запрос с носителя в приложение АЕСА СА, установленное на корневом УЦ.
- Выполните процедуру подписания запроса на сертификат подчиненного ЦС в соответствии с пунктом 4.3.2.2 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2 Сертификаты подчиненного ЦС подписывается корневым ЦС, который надежно хранится в автономном режиме и используется для подписи сертификатов конечных объектов. Корневой ЦС подтверждает достоверность промежуточных CA, которые, в свою очередь, подтверждают полномочия ЦС самого нижнего уровня. Выдающие сертификаты ЦС подтверждают достоверность сертификатов индивидуальных пользователей, которым были выданы сертификаты. На каждом уровне выдается сертификат для нижестоящего уровня и определяются политики и правила, управляющие использованием и временем жизни сертификатов. Иерархическая система взаимосвязей сертификатов формирует цепочку сертификации.
- Скачайте цепочку сертификатов корневого ЦС в формате *.pem на последнем этапе подписания запроса на сертификат ЦС, и перенесите её любым удобным способом на АРМ подчиненного ЦС.
- Импортируйте цепочку сертификатов в подчиненный ЦС в состоянии «Запрос» в соответствии с пунктом 4.3.1.3 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2.
- Подчиненный ЦС из состояния «Запрос» переходит в состоянии «Активирован».
Ввод в эксплуатацию центра валидации
Развёртывание центра валидации
Для обеспечения проверки статуса сертификатов в рамках инфраструктуры открытых ключей предприятия и частичного снятия нагрузки с издающего Центра сертификации необходимо развернуть Центр валидации для дальнейшей его настройки через Центр сертификации.
Центр валидации поддерживает взаимодействие с администратором, работающим на удалённом сервере, только по протоколу HTTPS с аутентификацией удалённого администратора по клиентскому сертификату, и администратором, работающим локально на сервере Центра валидации по протоколам HTTP/HTTPS без дополнительной аутентификации.
- На сервере Центра валидации установите вспомогательное ПО (СУБД, Open JDK) в соответствии с процедурами, приведёнными в разделе 3 RU.АЛДЕ.03.01.020-01 32 01-1 Центр сертификатов Aladdin Enterprise Certificate Authority. Руководства администратора;
- Произведите подготовку предустановочных конфигурационных файлов и выполните установку компонента «Центр валидации Aladdin eCA» в соответствии с разделом 5 «Центра сертификатов Aladdin Enterprise Certificate Authority. Руководства администратора» RU.АЛДЕ.03.01.020-01 32 01-1. После завершения установки в терминале будут выведены учётные данные администратора инициализации, от имени которого необходимо будет выполнять дальнейшие действия по инициализации. Их следует сохранить в надёжном месте. Также сертификат данного пользователя можно получить в каталоге /opt/aeca/p12/superadmin.p12.
- Выполните настройку АРМ администратора Центра валидации в соответствии с процедурами, описанными в разделе 2 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководство администратора RU.АЛДЕ.03.01.020-01 32 01-2, для этого:
- импортируйте сертификат администратора инициализации superadmin.p12 в браузер;
- подключитесь по IP-адресу УЦ, например, https://<ipадрес>:8888/aecaVa/.
- Все дальнейшие действия по работе с Центром валидации осуществляются через сервер Подчинённого Центра сертификации.
Регистрация центра валидации для подчиненного ЦС
После того, как корневой ЦС установлен и сконфигурирован, необходимо приступать к регистрации Центра валидации на подчинённом Центре сертификации для:
1) создания и настройки сервиса распространения списков отзыва CRL DP. Каждый издающий (подчиненный) ЦС будет публиковать свой список отзыва, используя HTTPпротокол и web-сервер Центра валидации.
- Для настройки этого сервиса необходимо задать:
- период обновления списка отозванных сертификатов CRL. Обновление CRL происходит автоматически через заданный период времени, который возможно изменять кратно одному часу, дню, месяцу, году. Рекомендации по сроку обновления CRL:
- все ЦС, которые выдают сертификаты только другим ЦС (не конечным потребителям), должны публиковать CRL сроком действия от 3-х до 12 месяцев с запасом в один месяц;
- все ЦС, которые выдают сертификаты конечным потребителям (пользователям и устройствам), должны публиковать базовые CRL не реже одного раза в неделю.
- период обновления DeltaCRL – время между публикациями Delta CRL;
- срок действия перекрытия – задается период действия текущего списка CRL до публикации нового списка CRL, согласно настроенному периоду. После изменения значений «Автообновления CRL» необходимо сохранить изменения и опубликовать CRL.
- период обновления списка отозванных сертификатов CRL. Обновление CRL происходит автоматически через заданный период времени, который возможно изменять кратно одному часу, дню, месяцу, году. Рекомендации по сроку обновления CRL:
- Точка распространения списков отзыва, которая будет регистрироваться в издаваемых сертификатах с указанием пути, по которому клиенты могут скачать список отзыва. Этот путь публикуется в сервисе CRL для каждого ЦС.
2) создания и настройки сервиса AIA для определения места хранения актуальных сертификатов издающих ЦС. Сертификаты подчиненных (издающих) ЦС из этого хранилища можно использовать для создания цепочки сертификатов, которую можно проследить до корневого сертификата.
- Для доступа к хранилищу сертификатов используются те же точки распространения развернутого web-сервера, что для распространения CRL.
- Обе эти точки содержатся во всех выданных удостоверяющим центром сертификатах и, соответственно, должны быть доступны всем потребителям. Клиенты должны обладать возможностью проверять цепочку сертификатов и список отзыва, обращаясь по тем данным, которые указаны в сертификате, то есть определены в AIA и CRL при настройке.
3) развертывания OCSP-сервера, работающего по протоколу HTTP. OCSP-сервер обрабатывает запросы на проверку сертификатов субъектов, так что здесь следует применять аппаратное обеспечение сервера с возможностью масштабирования, соответствующей прогнозируемой потребности в подключениях;
4) внесения сведений об OCSP-сервере (url-адрес OCSP) в удостоверяющий центр для добавления местонахождения сервера OCSP в подписываемые им сертификаты. Когда удостоверяющий центр подписывает сертификат, обычно он добавляет в сертификат адрес сервера OCSP. Например, когда пользователь встречает сертификат сервера, он отправляет запрос серверу OCSP, указанному в сертификате. На этом адресе OCSPответчик ожидает запросы и сообщает о статусе сертификата - отозван он или нет. Ответчику OCSP необходима криптографическая пара для подписания ответа, который он отправляет запрашивающей стороне. Криптографическая пара OCSP должна быть подписана тем же удостоверяющим центром, которым подписан проверяемый сертификат.
- Перед регистрацией Центра валидации необходимо выполнить настройку автообновления периода обновления CRL, при необходимости, настроить публикацию DeltaCrl, и выпустить первый CRL согласно пунктам 4.8.1 и 4.8.2 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2.
- Регистрация Центра валидации выполняется в соответствии с пунктом 4.8.3 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2. Основные этапы регистрации Центра валидации:
- скопируйте и перенесите на текущий подчинённый ЦС сертификат суперадмина webсервера «Центра валидации» /opt/aeca/p12/superadmin.p12 и пароль из файла generated_passwords.txt, данные строки superadmin_password , полученный после установки ПО AeCA VA;
- запустите Мастер регистрации центра валидации, нажав кнопку <Зарегистрировать +> на вкладке «Центры валидации» сервера Подчинённого Центра сертификации;
- в открывшемся окне Мастера регистрации укажите ip-адрес или имя хост-сервера с указанием доменной зоны, на котором развёрнут компонент «Центр валидации» Aladdin eCA;
- загрузите предварительно скачанный сертификат superadmin.p12 сервера Центр валидации;
- далее выполните подписание запроса OCSP нажав одноимённую кнопку в окне Мастера регистрации центра валидации.
- В результате:
- активированы службы AIA и CRL DP;
- активирована служба OCSP.
- Компьютер с именем SubCA установлен, обновлён и сконфигурированы параметры безопасности. Данный компьютер будет выполнять роль издающего центра сертификации.
Подключение ресурсной системы
Для загрузки субъектов доменной структуры и дальнейшего выпуска для них сертификатов необходимо выполнить подключение к ресурсной системе контроллера домена на сервере подчинённого Центра сертификации.
- Aladdin Enterprise CA поддерживает следующие типы ресурсных систем:
- Samba DC;
- ALD PRO;
- MS AD;
- FreeIPA.
- Для домена Samba предварительно выполните настройку конфигурационного файла контроллера домена krb5.conf в соответствии с Приложением А, Таблица 2.
- При подключении к ресурсной системе без использования протокола TLS произведите настройку конфигурационного файла smbd.conf в соответствии с Приложением А, Таблица 3.
- При подключении к ресурсной системе по протоколу TLS произведите настройку в соответствии с Приложением А, Таблица 4.
- Выполните подключение контроллера домена к ресурсной системе подчиненного ЦС для загрузки всех субъектов доменной сети в Центр Сертификации в соответствии с пунктом 4.7.1 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2.
Настройка АРМ администратора
- АРМ Администратора предназначен для выполнения организационно-технических мероприятий, связанных с формированием служебных ключей и сертификатов пользователей, управления Центром сертификации, автоматизированной настройки рабочих мест пользователей. АРМ администратора функционирует в ОС Astra Linux 1.7 Смоленск в конфигурации «Минимальный сервер» с опцией SSH-сервер и уровнем безопасности «Базовая защита» или RED OS 7.3. АРМ администратора взаимодействует с Центром сертификации по HTTPS протоколу.
- К основным функция АРМ администратора относятся:
- обеспечение взаимодействия с Центром сертификации;
- шифрование информации передаваемой ЦС с использованием протокола HTTPS с двусторонней аутентификацией;
- организация просмотра информации из БД ЦС, относящейся к пользователю;
- подписание запросов на формирование сертификатов;
- обеспечение возможности получения пользователем нескольких сертификатов;
- запись электронного сертификата открытого ключа пользователя на электронный ключ;
- отзыв сертификатов;
- просмотр журнала событий ЦС;
- публикация списков отозванных сертификатов открытых ключей пользователей;
- скачивание списка отозванных сертификатов в виде файла;
- сохранение сертификата (цепочки сертификатов) Центра;
- создание учётной записи оператора.
- Перед началом работы с Центром сертификации на АРМ администратора необходимо произвести двустороннюю HTTPS-аутентификацию администратора для входа в учётную запись, когда веб-клиент проверяет сертификат веб-сервера и веб-сервер проверяет сертификат веб-клиента.
- Предварительно на Подчинённом удостоверяющем центре:
- создайте учётную запись АРМ администратора в соответствии с пунктом 4.5 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2;
- выпустите сертификат для учетной записи администратора АРМ на вкладке «Учётные записи», выделив созданную учётную запись администратора АРМ и нажав кнопку <Выпустить сертификат>, в соответствии с пунктом 4.5.4 или 4.5.5 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2. Запишите или запомните пароль для выпущенного сертификата;
- на вкладке «Настройки» в поле «Разрешенные издатели» выберите издателя – Подчинённый удостоверяющий центр, от имени которого был выпущен сертификат учетной записи, и активируйте проверку издателя, передвинув ползунок вправо;
- на вкладке «Настройки» нажмите кнопку для применения настроек вебсервера.
- Для настройки аутентификации произведите следующие действия на АРМе администратора:
- скопируйте и перенесите созданный сертификат администратора на АРМ администратора;
- откройте браузер. Для браузера Firefox в меню выберите Настройки – Приватность и Защита – Сертификаты. Нажмите кнопку <Просмотр сертификатов>;
- выберите вкладку «Ваши сертификаты», в открывшейся вкладке нажмите кнопку <Импортировать>;
- выберите файл перенесённого сертификата учетной записи на локальном диске. Нажмите кнопку <Открыть>;
- введите пароль, указанный при создании сертификата учетной записи администратора в открывшемся окне, и нажмите кнопку <Ок>;
- для входа в Центр сертификации по учетной записи введите в адресную строку: <адрес_хоста_развертывания_продукта>:<порт>//;
- в появившемся окне «Запрос идентификации пользователя» выберите установленный сертификат учетной записи;
- в случае успешной установки сертификата откроется страница с предупреждением системы безопасности. Нажмите кнопку ;
- по нажатию кнопки на странице предупреждения системы безопасности осуществляется переход на страницу ошибки распознавания сертификата. Нужно принять риски, нажав кнопку на текущей странице;
- аутентификация выполнена успешно, в случае перехода в Центр сертификации с указанием отображаемого имени на верхней панели соответствующей учетной записи.
Настройка рассылки уведомлений об истечении срока действия сертификата
- Для мониторинга сроков окончания действия сертификатов пользователей удобно использовать инструментарий AeCA CA для настройки уведомлений об истечении срока действий сертификата. Сервис автоматически определит окончания сроков действия сертификатов и оповестит вовремя всех пользователей по электронной почте.
- Для получения списка пользователей, для которых выпущены сертификаты с помощью AeCA CA, сервис использует данные базы данных aecatest и подключенных ресурсных систем.
- Далее, должен быть отредактирован конфигурационный файл email.env, в котором редактируется список элементов данных, содержащих информацию для мониторинга, а также список соответствующих триггеров.
- По умолчанию владелец сертификата будет уведомлён за 30, 7, 1 день до окончания срока действия сертификата.
- Для выполнения сценария должна быть указана электронная почта в учётных доменных записях пользователей.
- Уведомления об окончании срока действия сертификатов будут приходить при каждом выполнении сценария.
- Продление срока действия сертификата возможно через выпуск нового сертификата в центре сертификации. Если данные владельца не изменяются, то изменениям подвергается только криптографическая составляющая электронного сертификата.
- Подробное описание процедуры настройки уведомлений об истечении срока действия сертификатов пользователей приведено в пункте 4.10 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2.
Обеспечение возможности строгой аутентификации пользователей в домене
- Строгая аутентификация пользователей в домене производится по протоколу PKINIT (RFC 4556), механизму предварительной проверки подлинности для Kerberos, используя сертификаты X.509 для проверки подлинности KDC.
- Для настройки аутентификации пользователя в системе по сертификату вначале необходимо выполнить выпуск сертификата контроллера домена и его установку с целью подтверждения его подлинности в доменной структуре.
Выдача сертификата контроллера домена
- После загрузки субъектов доменной сети необходимо выпустить сертификат доступа контроллеру домена, используя автоматически подставленные данные контроллера домена, выбрав шаблон сертификата, соответствующий типу контроллера «Domain Controller». Подробная процедура выпуска сертификата для субъекта приведена в разделе 4 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2. Процедура для выпуска сертификата контроллера домена, как для нового субъекта, приведена в Приложении А, Таблица 5.
- Сформированный и подписанный сертификат контроллера домена обязательно скачайте на последнем шаге работы «Мастера создания сертификата» в формате .р12. Далее скачать сертификат DC в контейнере PKCS#12 невозможно!
Установка сертификата контроллера домена Samba DC
Произведите установку сертификата контроллера домена Samba DC в соответствии с процедурой, описанной в Приложении А, Таблице 3:
- Скачайте цепочку сертификатов ЦС, от имени которого был выпущен сертификат контроллера домена.
- Скопируйте и перенесите сертификат контроллера домена в контейнере PKCS#12 и цепочку сертификатов ЦС на АРМ с установленным контроллером домена.
- Для контроллера домена Samba извлеките из файла PKCS#12 информацию о закрытом ключе и сертификате контроллера домена.
- Импортируйте сертификат, закрытый ключ и цепочку сертификатов ЦС в соответствии с процедурой, описанной в Приложении А, Таблица 6.
- Проверьте статус сервисов контроллера домена и Kerberos и wbinfo.
Подготовка АРМ пользователей
- Запустите АРМ администратора.
- Установите «Мастер групповой настройки» согласно процедуре, приведенной в Приложении Б, Таблица 7.
- Произведите подготовку АРМ пользователей для дальнейшей двукратной аутентификации в домене с использованием сертификата на электронном ключе, установив необходимое программное обеспечение методом групповой настройки в соответствии с процедурой, описанной в Приложении Б, Таблица 8:
- в окне настройки параметров сканирования сети введите ip-адрес контроллера домена и порт (выставляются автоматически по умолчанию), логин и пароль учетной записи администратора с правами root и начните процесс сканирования сети;
- после завершения сканирования сети посмотрите статус доступности репозитория по протоколу ssh для узлов, на которых будет производится настройка двухфакторной аутентификации;
- в случае статуса узла «Ошибка доступа по ssh» произведите проверку подключения к целевой машине и в случае необходимости, произведите настройку доступа ssh на настраиваемых узлах;
- после настройки доступа по ssh на целевых машинах необходимо произвести повторное сканирование сети;
- после успешного сканирования необходимо выбрать узлы для дальнейшей настройки, выбрать действие «Установить SL»;
- укажите путь к устанавливаемым пакетам SecurLogon и Единому клиенту JaCarta, выберите файл лицензии или введите ключ активации, добавьте цепочку сертификатов выпускающего сертификаты пользователей ЦС для установки в локальное хранилище сертификатов с целью верификации пользовательских сертификатов при аутентификации на целевых машинах;
- запустите процесс настройки;
- после окончания настройки на выбранных АРМ настроена сетевая двухфакторная аутентификация по сертификату пользователя на электронном ключе.
Выдача сертификата пользователю на электронном носителе
После настройки двухфакторной аутентификации при входе пользователя на АРМ необходимо выпустить сертификат на электронном носителе для учетной записи пользователя в домене. Учетная запись пользователя однозначно идентифицирует пользователя, который использует компьютерную систему. Учетная запись сообщает системе, что необходимо применить соответствующую авторизацию, чтобы разрешить или запретить доступ пользователей к ресурсам.
- Выпуск сертификата произведите на подчиненном издающем ЦС, для этого выполните действия согласно процедуре, описанной в пункте 4.6.6 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2:
- Откройте Центр сертификации – вкладку «Субъекты доступа»;
- Выберите контроллер домена и разверните группы безопасности;
- В выпадающем меню выберите группу безопасности, для пользователя которой необходимо выпустить сертификат;
- Выберите учетную запись пользователя, для которого нужно выпустить сертификат;
- Нажмите на меню, расположенное справа в строке <Выпустить сертификат>;
- В открывшемся подменю выберите <На ключевом носителе>;
- Последовательно выполните шаги Мастера создания сертификата, выбрав шаблон сертификата «Smartcard Logon» при аутентификации в домене под управлением Samba DC;
- После генерации и записи сертификата на ключевом носителе извлеките электронный ключ из USB-разъема.
Аутентификация пользователя
Для доступа пользователя в систему:
- Предварительно должна быть произведена настройка групповых политик на АРМе администратора под управлением ОС Windows в соответствии с процедурой, приведённой в Приложении С, Таблица 9.
- Включите ПК пользователя.
- Вставьте электронный ключ с выпущенным сертификатом в USB-разъем АРМ пользователя.
- В графическом окне аутентификации пользователя в домене с использованием средств двухфакторной аутентификации JaCarta на центральной панели выберите электронный ключ с сертификатом пользователя.
- В поле «Логин» выберите пользователя из выпадающего списка – имя пользователя считывается из поля «CN» выбранного сертификата с указанием домена текущего ПК при сетевой аутентификации.
- В поле «PIN-код» введите PIN-код электронного ключа, в соответствии с назначенной политикой входа, для выбранного пользователя. Максимальное количество неверных последовательных попыток ввода PIN-кода пользователя, после которого возможность использования PIN-кода пользователя будет заблокирована, определяется при настройке параметров токена в ПО «Единый Клиент JaCarta».
- Сразу после введения учетных данных начинается процедура аутентификации, которая заключается в проверке подлинности данных пользователя сервером.
- Процедура аутентификации прошла успешно, если пользователь вошел в систему.
Для блокировки доступа пользователя в домен, следует отозвать сертификат пользователя средствами Aladdin Enterprise CA и отключить пользователя средствами Samba DC, выполнив команду:
sambatool user disable PetrovDAИтог
PKI установлена успешно, если вся итоговая конфигурация соответствует ожидаемым значениям и оснастка Aladdin Enterprise CA не показывает ошибок.

