В ECSS-10 генерируется и используется единый сертификат. Все подсистемы используют по умолчанию ecss10.crt.
Также в ходе установки пакета ecss-user генерируются следующие файлы:
Этот способ используется в случае, если сертификат был куплен или получен в центре авторизации (например, StartSSL или Let's Encrypt).
В случае купленных сертификатов необходимо переименовать их в ecss10.{key,crt}, поместить в /etc/ecss/ssl и при настройке пакета ecss-user выбрать тип установки сертификатов manual |
Во время установки пакета ecss-user происходит генерация сертификатов ECSS-10.
Ряд вопросов задаваемых при установке пакета:
| Вопрос | Пример ответа |
|---|---|
| Enter password for certs (Введите пароль для сертификатов) | password |
| Certificate Validity (Срок действия сертификатов) | 365 |
Enter country for cert (Введите страну для сертификата) | RU |
Enter state for cert (Введите регион для сертификата) | Novosibirsk |
Enter locality for cert (Введите город для сертификата) | Novosibirsk |
Enter organization name of cert (Введите организацию для сертификата) | Eltex |
Enter organizational unit name of cert (Введите отделение для сертификата) | Service |
nter common name of cert (Введите имя сертификата) | ecss10 |
Enter email for cert (Введите почту для сертификата) | test@eltex.loc |
What encryption algorithm for the key would you like to use? (Какой алгоритм шифрования для ключа вы хотели бы использовать?) | des3 |
Enter count bits of key (Введите количество бит для ключа) | 4096 |
Enter subject alternative name (Введите дополнительные доменные имен) | - |
Enter count bits of dhparam (ведите количество бит для dhparam) | 1024 |
Чтобы сгенерировать или скопировать новый сертификат, необходимо удалить |
В случае, когда система разворачивается в кластере — сертификаты на хостах должен быть одинаковые. Для этого необходимо на одном хосте выполнить генерацию сертификатов, а на последующих скопировать их.
Перед копирование ключа через ssh необходимо добавить пользователя (от имени которого будет копирование сертификатов) в группу ssw:
sudo gpasswd -a <USER> ssw |
При настройке пакета ecss-user выбираем пункт «copy»:
После чего будет предложено несколько способов копирования ключей, выбираем ssh:
Далее необходимо ответить на ряд вопросов:
| Вопрос | Пример ответа |
|---|---|
| (Введите имя хоста для подключения) | ecss1 |
| (Введите порт хоста для подключения) | 22 |
| (Введите логин для подключения) | <USER> |
| (Какой метод авторизации использовать?) | password |
| (Введите пароль для подключения) | password |
| (Введите путь до сертификатов) | /etc/ecss/ssl |
Для копирования сертификатов через http необходим сервер (http, ftp, s3 и т.д.) с сертификатами.
При настройке пакета ecss-user выбираем пункт «copy»:
После чего будет предложено несколько способов копирования ключей, нам нужен http:
Далее необходимо ответить на ряд вопросов:
| Вопрос | Пример ответа |
|---|---|
| Введите URL путь до папки с сертификатами | http://<IP>:<PORT> |
| Введите логин для авторизации [Оставьте пустым, если не используется] | - |
Где <IP>:<PORT> являются ip адресом и портом хоста на котором развернут сервер с сертификатами.
Для копирования ключа данным методом необходима запущенная нода ecss-core.
При настройке пакета ecss-user выбираем пункт «copy»:
После чего будет предложено несколько способов копирования ключей, выбираем ecss:
Далее необходимо ответить на ряд вопросов:
| Вопрос | Пример ответа |
|---|---|
| Введите url для http_terminal | https://ecss1:9999 |
| Введите имя ноды с сертификатами | core1@ecss1 |
| Введите логин для авторизации в http_terminal | admin |
| Введите пароль для авторизации в http_terminal | password |