В версии 3.14.6 ECSS-10 был переведен на единый сертификат. Все подсистемы используют по умолчанию ecss10.crt.
Также в ходе установки пакета css-user генерируются следующие файлы:

  • ecss10root.key — корневой приватный ключ под паролем;
  • ecss10root.crt — корневой сертификат. Этот сертификат устанавливается на клиентский ПК, чтобы исключить предупреждения безопасности в браузере, если используется само подписанный сертификат, который генерирует ecss-user при установке;
  • ecss10.key — приватный ключ для использования системой;
  • ecss10.pem — dhparam;
  • ecss10.crt — публичный сертификат. Также содержит в себе указание на альтернативные доменные имена (Subject Alternative Name), используемые ECSS.

Настройка сертификатов

Установка купленных сертификатов

Этот способ используется в случае, если сертификат был куплен или получен в центре авторизации (например, StartSSL или Let's Encrypt).

В случае купленных сертификатов необходимо переименовать их в ecss10.{key,crt}, поместить в /etc/ecss/ssl и при настройке пакета ecss-user выбрать тип установки сертификатов manual

Генерация сертификата во время установки

Во время установки пакета ecss-user происходит генерация сертификатов ECSS-10.
Ряд вопросов задаваемых при установке пакета:

ВопросПример ответа
Enter password for certs (Введите пароль для сертификатов)password
Certificate Validity (Срок действия сертификатов)365

Enter country for cert (Введите страну для сертификата)

RU

Enter state for cert (Введите регион для сертификата)

Novosibirsk

Enter locality for cert (Введите город для сертификата)

Novosibirsk

Enter organization name of cert (Введите организацию для сертификата)

Eltex

Enter organizational unit name of cert (Введите отделение для сертификата)

Service

nter common name of cert (Введите имя сертификата)

ecss10

Enter email for cert (Введите почту для сертификата)

test@eltex.loc

What encryption algorithm for the key would you like to use? (Какой алгоритм шифрования для ключа вы хотели бы использовать?)

des3

Enter count bits of key (Введите количество бит для ключа)

4096

Enter subject alternative name (Введите дополнительные доменные имен)

-

Enter count bits of dhparam (ведите количество бит для dhparam)

1024

Чтобы сгенерировать или скопировать новый сертификат, необходимо удалить   ecss10.{pem,crt,key}   и   ecss10root.{crt,key} находящиеся в папке /etc/ecss/ssl , после чего сделать:
sudo dpkg-reconfigure ecss-user

Настройка сертификатов на системе в кластере

В случае, когда система разворачивается в кластере — сертификаты на хостах должен быть одинаковые. Для этого необходимо на одном хосте выполнить генерацию сертификатов, а на последующих скопировать их.

Копирование ключа через ssh

Перед копирование ключа через ssh необходимо добавить пользователя (от имени которого будет копирование сертификатов) в группу ssw:

sudo gpasswd -a <USER> ssw

При настройке пакета ecss-user выбираем пункт «copy»:

После чего будет предложено несколько способов копирования ключей, выбираем ssh:

Далее необходимо ответить на ряд вопросов:

ВопросПример ответа
(Введите имя хоста для подключения)ecss1
(Введите порт хоста для подключения)22
(Введите логин для подключения)<USER>
(Какой метод авторизации использовать?)password
(Введите пароль для подключения)password
(Введите путь до сертификатов)/etc/ecss/ssl

Копирование ключа через http

Для копирования сертификатов через http необходим сервер (http, ftp, s3 и т.д.) с сертификатами.

При настройке пакета ecss-user выбираем пункт «copy»:

После чего будет предложено несколько способов копирования ключей, нам нужен http:

Далее необходимо ответить на ряд вопросов:

ВопросПример ответа
Введите URL путь до папки с сертификатамиhttp://<IP>:<PORT>
Введите логин для авторизации [Оставьте пустым, если не используется]-

Где <IP>:<PORT> являются ip адресом и портом хоста на котором развернут сервер с сертификатами.

Копирование ключа через ecss

Для копирования ключа данным методом необходима запущенная нода ecss-core.

При настройке пакета ecss-user выбираем пункт «copy»:

После чего будет предложено несколько способов копирования ключей, выбираем ecss:

Далее необходимо ответить на ряд вопросов:

ВопросПример ответа
Введите url для http_terminalhttps://ecss1:9999
Введите имя ноды с сертификатамиcore1@ecss1
Введите логин для авторизации в http_terminaladmin
Введите пароль для авторизации в http_terminalpassword