Ручное создание сертификатов
Создание корневого сертификата
Корневой сертификат может быть выпущен удостоверяющим центром и хранится на USB-накопителе или токене, либо вы можете создать его самостоятельно по инструкции ниже.
Загруженный в Kaspersky IoT Secure Gateway 1000 корневой сертификат в дальнейшем будет использоваться для проверки сертификатов администратора и пользователя при подключении к веб-интерфейсу Kaspersky IoT Secure Gateway 1000.
Создание корневого сертификата должно производиться на доверенном устройстве в условиях безопасной среды (отсутствуют уязвимости и доступ устройства к интернету).
Ниже приведен пример использования утилиты OpenSSL для создания корневого сертификата. Подробную информацию по работе с утилитой вы можете получить в документации по OpenSSL.
Чтобы создать корневой сертификат с помощью утилиты OpenSSL:
- В консоли запустите утилиту OpenSSL, выполнив команду:
openssl req -x509 -newkey rsa:4096 -keyout cert_key.pem -out cert.pem -days 365 -subj "/C=RU/ST=Moscow/L=Moscow/O=SomeOrganization/OU=SomeUnit/emailAddress=test@example.com/CN=KISGAuthCert" -extensions v3_ca
где:
-x509– параметр, определяющий создание самоподписанного сертификата. В этом случае используется стандарт инфраструктуры открытых ключей протоколов SSL и TLS для управления ключами и сертификатами.-newkey– параметр, определяющий необходимость создания нового сертификата и нового ключа одновременно.rsa:4096– параметр, определяющий тип и длину ключа. В результате применения этого параметра будет создан ключ с использованием алгоритма шифрования RSA, длиной 4096 бит.-keyout cert_key.pem– имя файла, в котором будет сохранен закрытый ключ созданного сертификата.-out cert.pem– имя файла, в котором будет сохранен созданный сертификат.-days 365– параметр, определяющий срок действия созданного корневого сертификата.-subj– блок параметров, в котором требуется указать регистрационные данные о компании, выпускающей сертификат.
- Введите и повторите пароль для закрытого ключа сертификата. Пароль должен отличаться от пароля сертификата, предоставляемого по умолчанию.
В результате в директории, в которой была выполнена команда, будет создано два файла:
- cert.pem – файл корневого сертификата;
- cert_key.pem – закрытый ключ корневого сертификата.
Созданный файл корневого сертификата cert.pem требуется загрузить при необходимости обновить корневой сертификат.
Создание сертификатов администратора и пользователя
Сертификаты администратора и пользователя могут быть созданы с помощью заранее созданного корневого сертификата.
Загруженные в Kaspersky IoT Secure Gateway 1000 сертификаты администратора и пользователя в дальнейшем будет использоваться для подключения к в веб-интерфейсу Kaspersky IoT Secure Gateway 1000.
Ниже приведен пример использования утилиты OpenSSL для создания сертификата администратора или пользователя. Подробную информацию по работе с утилитой вы можете получить в документации по OpenSSL.
Чтобы создать сертификат администратора или пользователя с помощью утилиты OpenSSL:
- Чтобы создать новый сертификат, в консоли запустите утилиту OpenSSL, выполнив команду:
openssl req -new -newkey rsa:4096 -keyout TlsClientAdminKey.pem -out TlsClientAdmin.csr
- Чтобы подписать создаваемый сертификат ранее созданным корневым сертификатом, выполните следующую команду и введите пароль от закрытого ключа корневого сертификата:
openssl x509 -req -days 365 -in TlsClientAdmin.csr -CA cert.pem -CAkey cert_key.pem -CAcreateserial -out TlsClientAdmin.crt -extensions v3_req
Созданный файл сертификата в формате CRT необходим при обновлении сертификата администратора или пользователя.
- Чтобы создать архив, содержащий новый сертификат и его закрытый ключ, выполните следующую команду:
openssl pkcs12 -export -in TlsClientAdmin.crt -inkey TlsClientAdminKey.pem -out TlsClientAdmin.p12 -name TlsClientAdmin -descert -nomaciter
Созданный файл архива в формате P12 требуется загрузить в браузер при подключении к веб интерфейсу Kaspersky IoT Secure Gateway 1000.
