Управление ключами и сертификатами libvirt в XCA
Для удобства работы создана БД libvirt.xdb с шаблонами:
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
Подписание
выбрать Создать самозаверенный сертификат
Алгоритм подписи
выбрать SHA 256
Шаблон
для нового сертификата выбрать libvrt_ЦС
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Тип ключа
выбрать RSA
Длина ключа
выбрать 2048 bit
нажать кнопку Создать.
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
, в разделе Подписание
Использовать этот сертификат для подписи
нужно выбрать (созданный ранее) libvrt CA
Алгоритм подписи
выбрать SHA 256
Шаблон для нового сертификата
выбрать libvrt_Сервер
Нажать кнопку Применить всё
На вкладке Расширения
нужно заполнить поле X509v3 Subject Alternate Name
Нужно дать правильные имена/IP адреса для сервера, иначе libvrtd
не будет работать с ключом.
Пример дан в шаблоне:
DNS:server, DNS:server.domain.ru, IP:10.10.0.1, IP:192.168.1.10
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Тип ключа
выбрать RSA
Длина ключа
выбрать 2048 bit
Нажать кнопку Создать
Теперь в поле Закрытый ключ
нужно выбрать только что созданный ключ libvrt Server (RSA:2048 bit)
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK
Перейти на вкладку Сертификаты
и нажать кнопку Новый сертификат
На вкладке Первоисточник
, в разделе Подписание
Использовать этот сертификат для подписи
нужно выбрать (созданный ранее) libvrt CA
Алгоритм подписи
выбрать SHA 256
Шаблон для нового сертификата
выбрать libvrt_Клиент
Нажать кнопку Применить всё
На вкладке Субъект
нужно заполнить поля:
Нажать кнопку Сгенерировать новый ключ
В окне появившемся окне Certificate and Key management
Тип ключа
выбрать RSA
Длина ключа
выбрать 2048 bit
Нажать кнопку Создать
На вкладке Расширения
нужно задать период действия сертификата.
После заполнения полей нужно нажать кнопку OK