Управление ключами и сертификатами libvirt в XCA

Для удобства работы создана БД libvirt.xdb с шаблонами:

• libvirt_ЦС
• libvirt_Сервер
• libvirt_Клиент

• Создание нового клиента
• Отзыв сертификата
• Создание нового сервера
• Создание нового центра сертификации

1. Экспорт сертификата центра сертификации
2. Создание сертификата сервера
3. Экспорт сертификата
4. Экспорт закрытого ключа

1. Экспорт сертификата центра сертификации
2. Создание сертификата клиента
3. Экспорт сертификата
4. Экспорт закрытого ключа

Перейти на вкладку Сертификаты и нажать кнопку Новый сертификат

На вкладке Первоисточник

• в разделе Подписание выбрать Создать самозаверенный сертификат
• в поле Алгоритм подписи выбрать SHA 256
• в разделе Шаблон для нового сертификата выбрать libvrt_ЦС

Нажать кнопку Применить всё

На вкладке Субъект нужно заполнить поля:

• Internal Name
• countryName
• stateOfProvinceName
• localityName
• organizationName
• organizationUnitName
• commonName
• emailAddress

Нажать кнопку Сгенерировать новый ключ

В окне появившемся окне Certificate and Key management

• в поле Тип ключа выбрать RSA
• в поле Длина ключа выбрать 2048 bit

нажать кнопку Создать.

На вкладке Расширения нужно задать период действия сертификата.

После заполнения полей нужно нажать кнопку OK

Перейти на вкладку Сертификаты и нажать кнопку Новый сертификат

На вкладке Первоисточник, в разделе Подписание

• в поле Использовать этот сертификат для подписи нужно выбрать (созданный ранее) libvrt CA
• в поле Алгоритм подписи выбрать SHA 256
• в поле Шаблон для нового сертификата выбрать libvrt_Сервер

Нажать кнопку Применить всё

На вкладке Расширения нужно заполнить поле X509v3 Subject Alternate Name

Нужно дать правильные имена/IP адреса для сервера, иначе libvrtd не будет работать с ключом.
Пример дан в шаблоне:

DNS:server, DNS:server.domain.ru, IP:10.10.0.1, IP:192.168.1.10

На вкладке Субъект нужно заполнить поля:

• Internal Name
• countryName
• stateOfProvinceName
• localityName
• organizationName
• organizationUnitName
• commonName
• emailAddress

Нажать кнопку Сгенерировать новый ключ

В окне появившемся окне Certificate and Key management

• в поле Тип ключа выбрать RSA
• в поле Длина ключа выбрать 2048 bit

Нажать кнопку Создать

Теперь в поле Закрытый ключ нужно выбрать только что созданный ключ libvrt Server (RSA:2048 bit)

На вкладке Расширения нужно задать период действия сертификата.

После заполнения полей нужно нажать кнопку OK

Перейти на вкладку Сертификаты и нажать кнопку Новый сертификат

На вкладке Первоисточник, в разделе Подписание

• в поле Использовать этот сертификат для подписи нужно выбрать (созданный ранее) libvrt CA
• в поле Алгоритм подписи выбрать SHA 256
• в поле Шаблон для нового сертификата выбрать libvrt_Клиент

Нажать кнопку Применить всё

На вкладке Субъект нужно заполнить поля:

• Internal Name
• countryName
• stateOfProvinceName
• localityName
• organizationName
• organizationUnitName
• commonName
• emailAddress

Нажать кнопку Сгенерировать новый ключ

В окне появившемся окне Certificate and Key management

• в поле Тип ключа выбрать RSA
• в поле Длина ключа выбрать 2048 bit

Нажать кнопку Создать

На вкладке Расширения нужно задать период действия сертификата.

После заполнения полей нужно нажать кнопку OK