Alterator-ca

Материал из ALT Linux Wiki

Название пакета

alterator-ca

Назначение

Модуль Удостоверяющий центр позволяет управлять SSL-сертификатами, используемыми для обеспечения безопасных соединений между сетевыми узлами.

Для обеспечения безопасности соединения для клиента (в качестве клиентского ПО может выступать, например веб-браузер) основным является вопрос о принятии сертификата. При принятии сертификата возможны следующие варианты:

Сертификат сервера подписан одним из известных клиенту удостоверяющим центром (УЦ)
в этом случае сертификат принимается, и устанавливается безопасное SSL-соединение. Обычно клиентское ПО (например, веб-браузер) содержит список наиболее известных УЦ и предоставляет возможность управления (добавление/удаление) сертификатами таких УЦ.
Сертификат сервера подписан УЦ неизвестным клиенту
в этом случае придётся самостоятельно решить вопрос о принятии такого сертификата:
  • можно временно (на время одной сессии) принять сертификат сервера;
  • можно принять сертификат сервера на постоянной основе;
  • если вы доверяете УЦ, подписавшему сертификат, можно добавить сертификат самого УЦ к списку известных сертификатов, и таким образом, в дальнейшем все сертификаты, подписанные этим УЦ, будут приниматься автоматически.
Сертификат сервера является самоподписанным
это случай, когда сертификат сервера не подтверждён вообще никакой третьей стороной. Такие сертификаты используются в локальных сетях, где вы самостоятельно можете проверить аутентичность сервера. В случае самоподписанных сертификатов вы должны самостоятельно убедиться в том, что сервер является тем, за кого себя выдаёт. Сделать это можно, сверив отпечатки полученного сертификата и реально находящегося на сервере.

Запуск

Модуль Удостоверяющий центр доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система ▷ Удостоверяющий центр).

Использование модуля

Управление сертификатами

Доступно по ссылке «Управление сертификатами» («Certificate management»):

Управление сертификатами

В этом разделе можно:

  • настроить ежедневное обновление подписей сертификатов, используемых локальными службами и службами подчинённых серверов;
  • подписать произвольный сертификат (запрос на подпись) корневым сертификатом УЦ, настроенным в «Управление УЦ»;
  • просмотреть состояния и подпись локальных сертификатов и сертификатов подчинённых серверов.

Просмотр состояния локальных сертификатов

Управление УЦ

Доступно по ссылке «Управление УЦ» («CA management»):

Управление УЦ

На странице управления УЦ можно:

  • просмотреть информацию о сертификате УЦ;
  • выгрузить для дальнейшего использования сертификат УЦ (файл ca-root.pem). Этот файл можно будет добавить к списку УЦ, используемому клиентским ПО, после чего все сертификаты, подписанные данным УЦ будут приниматься автоматически;
  • выгрузить для дальнейшего использования запрос на подпись сертификата УЦ (файл ca-root.csr). Это может понадобиться, если необходимо подписать сертификат УЦ каким-то сторонним УЦ;
  • перегенерировать сертификат УЦ с другими параметрами (можно изменить параметры: «Страна (С)» и «Организация (O)»).