Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
xca:libvrt [2019-02-18 12:47] GreyWolf [XCA — libvrt] |
xca:libvrt [2019-05-10 23:53] (текущий) GreyWolf [Создание сертификата сервера] |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
====== XCA — libvrt ====== | ====== XCA — libvrt ====== | ||
- | |{{:xca:bigcert.png|}}\\ {{:xca:bigkey.png|}}|{{:libvirt:logo-banner-dark-800.png?250|}}| | + | {{:xca:bigkey.png|}} {{:libvirt:logo-banner-dark-800.png?250|}} |
- | |:::|:::| | + | |
FIXME | FIXME | ||
- | |||
Управление ключами и сертификатами [[libvirt:libvirt|libvirt]] в [[xca:xca|XCA]] | Управление ключами и сертификатами [[libvirt:libvirt|libvirt]] в [[xca:xca|XCA]] | ||
+ | Для удобства работы создана БД {{:xca:libvrt.xdb|libvirt.xdb}} с шаблонами: | ||
+ | * libvirt_ЦС | ||
+ | * libvirt_Сервер | ||
+ | * libvirt_Клиент | ||
+ | |||
+ | ====== Типовые действия ====== | ||
+ | * **[[#Создание нового клиента]]** | ||
+ | * **[[xca:xca#Отзыв сертификата]]** | ||
+ | * **[[#Создание нового сервера]]** | ||
+ | * **[[#Создание нового центра сертификации]]** | ||
+ | |||
+ | ===== Создание нового сервера ===== | ||
+ | - [[xca:xca#Экспорт сертификата|Экспорт сертификата центра сертификации]] | ||
+ | - [[#Создание сертификата сервера]] | ||
+ | - [[xca:xca#Экспорт сертификата]] | ||
+ | - [[xca:xca#Экспорт закрытого ключа]] | ||
+ | |||
+ | ===== Создание нового клиента ===== | ||
+ | - [[xca:xca#Экспорт сертификата|Экспорт сертификата центра сертификации]] | ||
+ | - [[#Создание сертификата клиента]] | ||
+ | - [[xca:xca#Экспорт сертификата]] | ||
+ | - [[xca:xca#Экспорт закрытого ключа]] | ||
+ | |||
+ | |||
+ | ====== Создание нового центра сертификации ====== | ||
+ | Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key> | ||
+ | |||
+ | На вкладке ''Первоисточник'' | ||
+ | * в разделе ''Подписание'' выбрать ''Создать самозаверенный сертификат'' | ||
+ | * в поле ''Алгоритм подписи'' выбрать ''SHA 256'' | ||
+ | * в разделе ''Шаблон'' для нового сертификата выбрать ''libvrt_ЦС'' | ||
+ | Нажать кнопку <key>Применить всё</key> | ||
+ | |||
+ | На вкладке ''Субъект'' нужно заполнить поля: | ||
+ | * ''[[xca:xca#Internal Name]]'' | ||
+ | * ''[[xca:xca#countryName]]'' | ||
+ | * ''[[xca:xca#stateOfProvinceName]]'' | ||
+ | * ''[[xca:xca#localityName]]'' | ||
+ | * ''[[xca:xca#organizationName]]'' | ||
+ | * ''[[xca:xca#organizationUnitName]]'' | ||
+ | * ''[[xca:xca#commonName]]'' | ||
+ | * ''[[xca:xca#emailAddress]]'' | ||
+ | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
+ | |||
+ | В окне появившемся окне ''Certificate and Key management'' | ||
+ | * в поле ''Тип ключа'' выбрать ''RSA'' | ||
+ | * в поле ''Длина ключа'' выбрать ''2048 bit'' | ||
+ | нажать кнопку <key>Создать</key>. | ||
+ | |||
+ | На вкладке ''Расширения'' нужно задать период действия сертификата. | ||
+ | |||
+ | После заполнения полей нужно нажать кнопку <key>OK</key> | ||
+ | |||
+ | ====== Создание сертификата сервера ====== | ||
+ | Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key> | ||
+ | |||
+ | На вкладке ''Первоисточник'', в разделе ''Подписание'' | ||
+ | * в поле ''Использовать этот сертификат для подписи'' нужно выбрать (созданный ранее) ''libvrt CA'' | ||
+ | * в поле ''Алгоритм подписи'' выбрать ''SHA 256'' | ||
+ | * в поле ''Шаблон для нового сертификата'' выбрать ''libvrt_Сервер'' | ||
+ | Нажать кнопку <key>Применить всё</key> | ||
+ | |||
+ | На вкладке ''Расширения'' нужно заполнить поле ''X509v3 Subject Alternate Name'' | ||
+ | |||
+ | :!: Нужно дать правильные имена/IP адреса для сервера, иначе ''libvrtd'' не будет работать с ключом. \\ Пример дан в шаблоне: | ||
+ | <code> | ||
+ | DNS:server, DNS:server.domain.ru, IP:10.10.0.1, IP:192.168.1.10 | ||
+ | </code> | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | На вкладке ''Субъект'' нужно заполнить поля: | ||
+ | * ''[[xca:xca#Internal Name]]'' | ||
+ | * ''[[xca:xca#countryName]]'' | ||
+ | * ''[[xca:xca#stateOfProvinceName]]'' | ||
+ | * ''[[xca:xca#localityName]]'' | ||
+ | * ''[[xca:xca#organizationName]]'' | ||
+ | * ''[[xca:xca#organizationUnitName]]'' | ||
+ | * ''[[xca:xca#commonName]]'' | ||
+ | * ''[[xca:xca#emailAddress]]'' | ||
+ | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
+ | |||
+ | В окне появившемся окне ''Certificate and Key management'' | ||
+ | * в поле ''Тип ключа'' выбрать ''RSA'' | ||
+ | * в поле ''Длина ключа'' выбрать ''2048 bit'' | ||
+ | Нажать кнопку <key>Создать</key> | ||
+ | |||
+ | Теперь в поле ''Закрытый ключ'' нужно выбрать только что созданный ключ ''libvrt Server (RSA:2048 bit)'' | ||
+ | |||
+ | На вкладке ''Расширения'' нужно задать период действия сертификата. | ||
+ | |||
+ | После заполнения полей нужно нажать кнопку <key>OK</key> | ||
+ | |||
+ | |||
+ | ====== Создание сертификата клиента ====== | ||
+ | Перейти на вкладку ''Сертификаты'' и нажать кнопку <key>Новый сертификат</key> | ||
+ | |||
+ | На вкладке ''Первоисточник'', в разделе ''Подписание'' | ||
+ | * в поле ''Использовать этот сертификат для подписи'' нужно выбрать (созданный ранее) ''libvrt CA'' | ||
+ | * в поле ''Алгоритм подписи'' выбрать ''SHA 256'' | ||
+ | * в поле ''Шаблон для нового сертификата'' выбрать ''libvrt_Клиент'' | ||
+ | Нажать кнопку <key>Применить всё</key> | ||
+ | |||
+ | На вкладке ''Субъект'' нужно заполнить поля: | ||
+ | * ''[[xca:xca#Internal Name]]'' | ||
+ | * ''[[xca:xca#countryName]]'' | ||
+ | * ''[[xca:xca#stateOfProvinceName]]'' | ||
+ | * ''[[xca:xca#localityName]]'' | ||
+ | * ''[[xca:xca#organizationName]]'' | ||
+ | * ''[[xca:xca#organizationUnitName]]'' | ||
+ | * ''[[xca:xca#commonName]]'' | ||
+ | * ''[[xca:xca#emailAddress]]'' | ||
+ | Нажать кнопку <key>Сгенерировать новый ключ</key> | ||
+ | |||
+ | В окне появившемся окне ''Certificate and Key management'' | ||
+ | * в поле ''Тип ключа'' выбрать ''RSA'' | ||
+ | * в поле ''Длина ключа'' выбрать ''2048 bit'' | ||
+ | Нажать кнопку <key>Создать</key> | ||
+ | |||
+ | На вкладке ''Расширения'' нужно задать период действия сертификата. | ||
+ | После заполнения полей нужно нажать кнопку <key>OK</key> | ||