====== XCA — libvrt ======
{{:xca:bigkey.png|}} {{:libvirt:logo-banner-dark-800.png?250|}}
FIXME
Управление ключами и сертификатами [[libvirt:libvirt|libvirt]] в [[xca:xca|XCA]]
Для удобства работы создана БД {{:xca:libvrt.xdb|libvirt.xdb}} с шаблонами:
* libvirt_ЦС
* libvirt_Сервер
* libvirt_Клиент
====== Типовые действия ======
* **[[#Создание нового клиента]]**
* **[[xca:xca#Отзыв сертификата]]**
* **[[#Создание нового сервера]]**
* **[[#Создание нового центра сертификации]]**
===== Создание нового сервера =====
- [[xca:xca#Экспорт сертификата|Экспорт сертификата центра сертификации]]
- [[#Создание сертификата сервера]]
- [[xca:xca#Экспорт сертификата]]
- [[xca:xca#Экспорт закрытого ключа]]
===== Создание нового клиента =====
- [[xca:xca#Экспорт сертификата|Экспорт сертификата центра сертификации]]
- [[#Создание сертификата клиента]]
- [[xca:xca#Экспорт сертификата]]
- [[xca:xca#Экспорт закрытого ключа]]
====== Создание нового центра сертификации ======
Перейти на вкладку ''Сертификаты'' и нажать кнопку Новый сертификат
На вкладке ''Первоисточник''
* в разделе ''Подписание'' выбрать ''Создать самозаверенный сертификат''
* в поле ''Алгоритм подписи'' выбрать ''SHA 256''
* в разделе ''Шаблон'' для нового сертификата выбрать ''libvrt_ЦС''
Нажать кнопку Применить всё
На вкладке ''Субъект'' нужно заполнить поля:
* ''[[xca:xca#Internal Name]]''
* ''[[xca:xca#countryName]]''
* ''[[xca:xca#stateOfProvinceName]]''
* ''[[xca:xca#localityName]]''
* ''[[xca:xca#organizationName]]''
* ''[[xca:xca#organizationUnitName]]''
* ''[[xca:xca#commonName]]''
* ''[[xca:xca#emailAddress]]''
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне ''Certificate and Key management''
* в поле ''Тип ключа'' выбрать ''RSA''
* в поле ''Длина ключа'' выбрать ''2048 bit''
нажать кнопку Создать.
На вкладке ''Расширения'' нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
====== Создание сертификата сервера ======
Перейти на вкладку ''Сертификаты'' и нажать кнопку Новый сертификат
На вкладке ''Первоисточник'', в разделе ''Подписание''
* в поле ''Использовать этот сертификат для подписи'' нужно выбрать (созданный ранее) ''libvrt CA''
* в поле ''Алгоритм подписи'' выбрать ''SHA 256''
* в поле ''Шаблон для нового сертификата'' выбрать ''libvrt_Сервер''
Нажать кнопку Применить всё
На вкладке ''Расширения'' нужно заполнить поле ''X509v3 Subject Alternate Name''
:!: Нужно дать правильные имена/IP адреса для сервера, иначе ''libvrtd'' не будет работать с ключом. \\ Пример дан в шаблоне:
DNS:server, DNS:server.domain.ru, IP:10.10.0.1, IP:192.168.1.10
На вкладке ''Субъект'' нужно заполнить поля:
* ''[[xca:xca#Internal Name]]''
* ''[[xca:xca#countryName]]''
* ''[[xca:xca#stateOfProvinceName]]''
* ''[[xca:xca#localityName]]''
* ''[[xca:xca#organizationName]]''
* ''[[xca:xca#organizationUnitName]]''
* ''[[xca:xca#commonName]]''
* ''[[xca:xca#emailAddress]]''
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне ''Certificate and Key management''
* в поле ''Тип ключа'' выбрать ''RSA''
* в поле ''Длина ключа'' выбрать ''2048 bit''
Нажать кнопку Создать
Теперь в поле ''Закрытый ключ'' нужно выбрать только что созданный ключ ''libvrt Server (RSA:2048 bit)''
На вкладке ''Расширения'' нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
====== Создание сертификата клиента ======
Перейти на вкладку ''Сертификаты'' и нажать кнопку Новый сертификат
На вкладке ''Первоисточник'', в разделе ''Подписание''
* в поле ''Использовать этот сертификат для подписи'' нужно выбрать (созданный ранее) ''libvrt CA''
* в поле ''Алгоритм подписи'' выбрать ''SHA 256''
* в поле ''Шаблон для нового сертификата'' выбрать ''libvrt_Клиент''
Нажать кнопку Применить всё
На вкладке ''Субъект'' нужно заполнить поля:
* ''[[xca:xca#Internal Name]]''
* ''[[xca:xca#countryName]]''
* ''[[xca:xca#stateOfProvinceName]]''
* ''[[xca:xca#localityName]]''
* ''[[xca:xca#organizationName]]''
* ''[[xca:xca#organizationUnitName]]''
* ''[[xca:xca#commonName]]''
* ''[[xca:xca#emailAddress]]''
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне ''Certificate and Key management''
* в поле ''Тип ключа'' выбрать ''RSA''
* в поле ''Длина ключа'' выбрать ''2048 bit''
Нажать кнопку Создать
На вкладке ''Расширения'' нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
====== Ссылки ======
{{tag>Admin Network Encryption}}