====== XCA — libvrt ======
{{:xca:bigkey.png|}} {{:libvirt:logo-banner-dark-800.png?250|}}

FIXME

Управление ключами и сертификатами [[libvirt:libvirt|libvirt]] в [[xca:xca|XCA]]

Для удобства работы создана БД {{:xca:libvrt.xdb|libvirt.xdb}} с шаблонами:
  * libvirt_ЦС
  * libvirt_Сервер
  * libvirt_Клиент

====== Типовые действия ======
  * **[[#Создание нового клиента]]**
  * **[[xca:xca#Отзыв сертификата]]**
  * **[[#Создание нового сервера]]**
  * **[[#Создание нового центра сертификации]]**

===== Создание нового сервера =====
  - [[xca:xca#Экспорт сертификата|Экспорт сертификата центра сертификации]]
  - [[#Создание сертификата сервера]]
  - [[xca:xca#Экспорт сертификата]]
  - [[xca:xca#Экспорт закрытого ключа]]

===== Создание нового клиента =====
  - [[xca:xca#Экспорт сертификата|Экспорт сертификата центра сертификации]]
  - [[#Создание сертификата клиента]]
  - [[xca:xca#Экспорт сертификата]]
  - [[xca:xca#Экспорт закрытого ключа]]


====== Создание нового центра сертификации ======
Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key>

На вкладке ''Первоисточник'' 
  * в разделе ''Подписание'' выбрать ''Создать самозаверенный сертификат''
  * в поле ''Алгоритм подписи'' выбрать ''SHA 256''
  * в разделе ''Шаблон'' для нового сертификата выбрать ''libvrt_ЦС''
Нажать кнопку <key>Применить всё</key>

На вкладке ''Субъект'' нужно заполнить поля:
  * ''[[xca:xca#Internal Name]]''
  * ''[[xca:xca#countryName]]''
  * ''[[xca:xca#stateOfProvinceName]]''
  * ''[[xca:xca#localityName]]''
  * ''[[xca:xca#organizationName]]''
  * ''[[xca:xca#organizationUnitName]]''
  * ''[[xca:xca#commonName]]''
  * ''[[xca:xca#emailAddress]]''
Нажать кнопку <key>Сгенерировать новый ключ</key>

В окне появившемся окне ''Certificate and Key management'' 
  * в поле ''Тип ключа'' выбрать ''RSA''
  * в поле ''Длина ключа'' выбрать ''2048 bit'' 
нажать кнопку <key>Создать</key>.

На вкладке ''Расширения'' нужно задать период действия сертификата.

После заполнения полей нужно нажать кнопку <key>OK</key>

====== Создание сертификата сервера ======
Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key>

На вкладке ''Первоисточник'', в разделе ''Подписание'' 
  * в поле ''Использовать этот сертификат для подписи'' нужно выбрать (созданный ранее) ''libvrt CA''
  * в поле  ''Алгоритм подписи'' выбрать ''SHA 256''
  * в поле ''Шаблон для нового сертификата'' выбрать ''libvrt_Сервер''
Нажать кнопку <key>Применить всё</key>

На вкладке ''Расширения'' нужно заполнить поле ''X509v3 Subject Alternate Name''

:!: Нужно дать правильные имена/IP адреса для сервера, иначе ''libvrtd'' не будет работать с ключом. \\ Пример дан в шаблоне:
<code>
DNS:server, DNS:server.domain.ru, IP:10.10.0.1, IP:192.168.1.10
</code>




На вкладке ''Субъект'' нужно заполнить поля:
  * ''[[xca:xca#Internal Name]]''
  * ''[[xca:xca#countryName]]''
  * ''[[xca:xca#stateOfProvinceName]]''
  * ''[[xca:xca#localityName]]''
  * ''[[xca:xca#organizationName]]''
  * ''[[xca:xca#organizationUnitName]]''
  * ''[[xca:xca#commonName]]''
  * ''[[xca:xca#emailAddress]]''
Нажать кнопку <key>Сгенерировать новый ключ</key>

В окне появившемся окне ''Certificate and Key management''
  * в поле ''Тип ключа'' выбрать ''RSA''
  * в поле ''Длина ключа'' выбрать ''2048 bit'' 
Нажать кнопку <key>Создать</key>

Теперь в поле ''Закрытый ключ'' нужно выбрать только что созданный ключ ''libvrt Server (RSA:2048 bit)''

На вкладке ''Расширения'' нужно задать период действия сертификата.

После заполнения полей нужно нажать кнопку <key>OK</key>


====== Создание сертификата клиента ======
Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key>

На вкладке ''Первоисточник'', в разделе ''Подписание'' 
  * в поле ''Использовать этот сертификат для подписи'' нужно выбрать (созданный ранее) ''libvrt CA''
  * в поле  ''Алгоритм подписи'' выбрать ''SHA 256''
  * в поле ''Шаблон для нового сертификата'' выбрать ''libvrt_Клиент''
Нажать кнопку <key>Применить всё</key>

На вкладке ''Субъект'' нужно заполнить поля:
  * ''[[xca:xca#Internal Name]]''
  * ''[[xca:xca#countryName]]''
  * ''[[xca:xca#stateOfProvinceName]]''
  * ''[[xca:xca#localityName]]''
  * ''[[xca:xca#organizationName]]''
  * ''[[xca:xca#organizationUnitName]]''
  * ''[[xca:xca#commonName]]''
  * ''[[xca:xca#emailAddress]]''
Нажать кнопку <key>Сгенерировать новый ключ</key>

В окне появившемся окне ''Certificate and Key management''
  * в поле ''Тип ключа'' выбрать ''RSA''
  * в поле ''Длина ключа'' выбрать ''2048 bit'' 
Нажать кнопку <key>Создать</key>

На вкладке ''Расширения'' нужно задать период действия сертификата.

После заполнения полей нужно нажать кнопку <key>OK</key>


====== Ссылки ======



{{tag>Admin Network Encryption}}