Создание сертификатов

Вам необходимо создать следующие корневые сертификаты:

• для работы API компонентов службы идентификации пользователей Collector, MapApp и GroupApp по протоколу mTLS;
• для подключения компонента Collector к контроллеру домена Microsoft Active Directory по протоколу TLS.
• для подключения компонента GroupApp к контроллеру домена по протоколу LDAP или LDAPS.

Вы можете создать необходимые сертификаты через удостоверяющий центра или самостоятельно с помощью утилиты OpenSSL.

Чтобы создать сертификаты с помощью OpenSSL:

1. Создайте корневой сертификат:
   1. Создайте ключ корневого сертификата с именем ca_key.pem, выполнив следующую команду:

      openssl genrsa -out cakey.pem 2048

   2. Создайте корневой сертификат с расширением PEM и именем ca.pem и подпишите его созданным ключом, выполнив следующую команду:

      openssl req -x509 -new -subj "/C=GB/CN=ca" -addext "subjectAltName = DNS:localhost" -key ca_key.pem -out ca.pem -days 365 -sha256

2. Создайте сертификат для компонента Collector:
   1. Создайте ключ сертификата с именем collector_key.pem, выполнив следующую команду:

      openssl genrsa -out collector_key.pem 2048

   2. Создайте сертификат с расширением PEM и именем collector.pem, подпишите его созданным ключом и корневым сертификатом, выполнив следующую команду:

      openssl req -x509 -new -subj "/C=GB/CN=collector" -addext "subjectAltName = DNS:collector" -key collector_key.pem -out collector.pem -CA ca.pem -CAkey ca_key.pem -days 365

3. Создайте сертификат для компонента MapApp:
   1. Создайте ключ сертификата с именем mapapp_key.pem, выполнив следующую команду:

      openssl genrsa -out mapapp_key.pem 2048

   2. Создайте сертификат с расширением PEM и именем mapapp.pem, подпишите его созданным ключом и корневым сертификатом, выполнив следующую команду:

      openssl req -x509 -new -subj "/C=GB/CN=mapapp" -addext "subjectAltName = DNS:mapapp" -key mapapp_key.pem -out mapapp.pem -CA ca.pem -CAkey ca_key.pem -days 365

4. Создайте сертификат для компонента GroupApp:
   1. Создайте ключ сертификата с именем groupapp_key.pem, выполнив следующую команду:

      openssl genrsa -out groupapp_key.pem 2048

   2. Создайте сертификат с расширением PEM и именем groupapp.pem, подпишите его созданным ключом и корневым сертификатом, выполнив следующую команду:

      openssl req -x509 -new -subj "/C=GB/CN=groupapp" -addext "subjectAltName = DNS:groupapp" -key groupapp_key.pem -out groupapp.pem -CA ca.pem -CAkey ca_key.pem -days 365

5. Создайте сертификат для подключения к контроллеру домена Microsoft Active Directory через WinRM:
   1. Создайте ключ сертификата с именем admin_key.pem, выполнив следующую команду:

      openssl genrsa -out admin_key.pem 2048

   2. Создайте сертификат с расширением CRT и именем admin.crt, подпишите его созданным ключом и корневым сертификатом, выполнив следующую команду :

      openssl req -x509 -new -subj "/C=RU/CN=<имя пользователя>" \

      -addext "subjectAltName = otherName:1.3.6.1.4.1.311.20.2.3;UTF8: <имя пользователя>@<домен>" \

      -addext "extendedKeyUsage = clientAuth" \

      -key admin_key.pem -out admin.crt -CA ca.pem -CAkey ca_key.pem -days 365

      где <имя пользователя> – это имя пользователя в домене <домен>, у которого есть доступ на чтение журналов и подключение по WinRM.

6. Упакуйте созданные сертификаты и ключи в формате P12 и укажите пароли, выполнив следующие команды:
   • Для корневого сертификата:

     keytool -import -file ca.pem -alias ca -keystore ca.p12

   • Для сертификата компонента Collector:

     openssl pkcs12 -export -in collector.pem -out collector.p12 -name collector -nodes -inkey collector_key.pem

   • Для сертификата компонента MapApp:

     openssl pkcs12 -export -in mapapp.pem -out mapapp.p12 -name mapapp -nodes -inkey mapapp_key.pem

   • Для сертификата компонента GroupApp:

     openssl pkcs12 -export -in groupapp.pem -out groupapp.p12 -name groupapp -nodes -inkey groupapp_key.key

В начало