Ручное создание сертификатов

Создание корневого сертификата

Корневой сертификат может быть выпущен удостоверяющим центром и хранится на USB-накопителе или токене, либо вы можете создать его самостоятельно по инструкции ниже.

Загруженный в Kaspersky IoT Secure Gateway 1000 корневой сертификат в дальнейшем будет использоваться для проверки сертификатов администратора и пользователя при подключении к веб-интерфейсу Kaspersky IoT Secure Gateway 1000.

Создание корневого сертификата должно производиться на доверенном устройстве в условиях безопасной среды (отсутствуют уязвимости и доступ устройства к интернету).

Ниже приведен пример использования утилиты OpenSSL для создания корневого сертификата. Подробную информацию по работе с утилитой вы можете получить в документации по OpenSSL.

Чтобы создать корневой сертификат с помощью утилиты OpenSSL:

В консоли запустите утилиту OpenSSL, выполнив команду:
openssl req -x509 -newkey rsa:4096 -keyout cert_key.pem -out cert.pem -days 365 -subj "/C=RU/ST=Moscow/L=Moscow/O=SomeOrganization/OU=SomeUnit/emailAddress=test@example.com/CN=KISGAuthCert" -extensions v3_ca

где:
- -x509 – параметр, определяющий создание самоподписанного сертификата. В этом случае используется стандарт инфраструктуры открытых ключей протоколов SSL и TLS для управления ключами и сертификатами.
- -newkey – параметр, определяющий необходимость создания нового сертификата и нового ключа одновременно.
- rsa:4096 – параметр, определяющий тип и длину ключа. В результате применения этого параметра будет создан ключ с использованием алгоритма шифрования RSA, длиной 4096 бит.
- -keyout cert_key.pem – имя файла, в котором будет сохранен закрытый ключ созданного сертификата.
- -out cert.pem – имя файла, в котором будет сохранен созданный сертификат.
- -days 365 – параметр, определяющий срок действия созданного корневого сертификата.
- -subj – блок параметров, в котором требуется указать регистрационные данные о компании, выпускающей сертификат.
Введите и повторите пароль для закрытого ключа сертификата. Пароль должен отличаться от пароля сертификата, предоставляемого по умолчанию.
В результате в директории, в которой была выполнена команда, будет создано два файла:
- cert.pem – файл корневого сертификата;
- cert_key.pem – закрытый ключ корневого сертификата.
Созданный файл корневого сертификата cert.pem требуется загрузить при необходимости обновить корневой сертификат.

Создание сертификатов администратора и пользователя

Сертификаты администратора и пользователя могут быть созданы с помощью заранее созданного корневого сертификата.

Загруженные в Kaspersky IoT Secure Gateway 1000 сертификаты администратора и пользователя в дальнейшем будет использоваться для подключения к в веб-интерфейсу Kaspersky IoT Secure Gateway 1000.

Ниже приведен пример использования утилиты OpenSSL для создания сертификата администратора или пользователя. Подробную информацию по работе с утилитой вы можете получить в документации по OpenSSL.

Чтобы создать сертификат администратора или пользователя с помощью утилиты OpenSSL:

Чтобы создать новый сертификат, в консоли запустите утилиту OpenSSL, выполнив команду:
openssl req -new -newkey rsa:4096 -keyout TlsClientAdminKey.pem -out TlsClientAdmin.csr
Чтобы подписать создаваемый сертификат ранее созданным корневым сертификатом, выполните следующую команду и введите пароль от закрытого ключа корневого сертификата:
openssl x509 -req -days 365 -in TlsClientAdmin.csr -CA cert.pem -CAkey cert_key.pem -CAcreateserial -out TlsClientAdmin.crt -extensions v3_req

Созданный файл сертификата в формате CRT необходим при обновлении сертификата администратора или пользователя.
Чтобы создать архив, содержащий новый сертификат и его закрытый ключ, выполните следующую команду:
openssl pkcs12 -export -in TlsClientAdmin.crt -inkey TlsClientAdminKey.pem -out TlsClientAdmin.p12 -name TlsClientAdmin -descert -nomaciter

Созданный файл архива в формате P12 требуется загрузить в браузер при подключении к веб интерфейсу Kaspersky IoT Secure Gateway 1000.

В начало