Общее описание
Для обеспечения безопасного взаимодействия между администратором и системой NAICE реализована защита пользовательских интерфейсов: lemmus, gavia, larus, castor и sterna. HTTP-трафик полностью зашифрован с использованием протокола TLS, что предотвращает перехват данных и несанкционированный доступ.
При этом генерируется различные сертификаты для двух групп сервисов:
- Административные сервисы:
- Gavia REST API Gateway - внешнее API для управления сущностями;
- Lemmus, Authorization Server - сервер авторизации для администраторов;
- Larus - WEB GUI для администратора;
- Портальные сервисы:
- Castor - API управления настройкой порталов и портальной авторизацией;
- Sterna - WEB GUI портала.
Использование самоподписанного сертификата
Во время установки сервисов NAICE для пользовательских интерфейсов автоматически выполняется генерация двух самоподписанных сертификата, что позволяет обеспечить защищённое взаимодействие через HTTPS на основе параметров, указанных в конфигурации.
Для перегенерирования нового самоподписанного сертификата необходимо сделать следующее:
1) Для WEB-интерфейса NAICE:
Перейти в веб-интерфейс OVA-образа, доступный по следующей ссылке:
https://<IP-адрес установки NAICE>:8000
После чего перейти на вкладку NAICE - Certificates - web и нажать кнопку Сгенерировать самоподписанный сертификат.
2) Для портальных сервисов
Перейти в веб-интерфейс OVA-образа, доступный по следующей ссылке:
https://<IP-адрес установки NAICE>:8000
После чего перейти на вкладку NAICE - Certificates - portal и нажать кнопку Сгенерировать самоподписанный сертификат.
Внимание! При пересоздании самоподписанных сертификатов будут перезагружены все модули ПО NAICE, будет кратковременное отключение услуги.
Использование собственного сертификата
При наличии собственного заверенного сертификата предусмотрена возможность заменить самоподписанный сертификат на собственный.
Требования к пользовательскому сертификату
Сертификат должен соответствовать всем нижеуказанным требованиям для обеспечения корректной работы с сервисом NAICE.
- Сертификат должен быть в формате PEM или CRT.
- Использование сертификатов в формате DER или контейнеров PKCS не поддерживается.
- Сертификат должен поддерживать только шифрование AES.
- Сертификат и приватный ключ должны быть отдельными файлами.
- В пароле не допускается использование символов: $, ', ", `, скобок и пробелов.
- Сертификат должен содержать атрибуты:
- Subject: CN;
- X509v3 Key Usage: Digital Signature, Key Encipherment (обязательно critical);
- X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication;
- X509v3 Subject Alternative Name: должен включать DNS-имя, соответствующее имени сервиса.
Для замены самоподписанного сертификата на пользовательский необходимо выполнить следующее:
1) Перейти в веб-интерфейс OVA-образа, доступный по следующей ссылке:
https://<IP-адрес установки NAICE>:8000
2) Перейти на вкладку NAICE → Certificates → web (Для сертификатов WEB-интерфейса) или NAICE → Certificates → portal (Для портальных сервисов), ввести Пароль к файлу приватного ключа, Имя домена и загрузить следующие файлы:
- Файл сертификата
- Ключ сертификата
3) Нажать кнопку Сохранить
Внимание! При загрузке пользовательских сертификатов будут перезагружены все модули ПО NAICE, будет кратковременное отключение услуги.
Мониторинг срока действия сертификатов
Для мониторинга срока дейтсвия сертификатов WEB-интерфейса или портальных сервисов необходимо сделать следующее:
1) Перейти в веб-интерфейс OVA-образа, доступный по следующей ссылке:
https://<IP-адрес установки NAICE>:8000
2) Перейти на вкладку NAICE → Certificates → web (Для сертификатов WEB-интерфейса) или NAICE → Certificates → portal (Для портальных сервисов).
Срок действия сертификатов отображается для любого типа сертификатов - сгенерированных самоподписанных или пользовательских