Генерация сертификата для удаленных рабочих станций на базе Linux
Статья обновлена: 20 мая 2022
ID: 15890
В Kaspersky Thin Client подключение к удаленным рабочим станциям требует проверки и сохранения сертификата в тонком клиенте. Чтобы избавить пользователей от необходимости верифицировать сертификаты, загрузите их в политику плагина Kaspersky Security Management Suite. Устройства, синхронизированные с Kaspersky Security Center, получат эти сертификаты.
Чтобы создать сертификат на рабочей станции с операционной системой Linux, выполните шаги ниже.
Шаг 1. Создайте корневой сертификат
Если у вас отсутствует инструмент OpenSSL, выполните команду:
sudo apt install openssl
Если OpenSSL установлен:
- Сгенерируйте корневой ключ, используя команду:
openssl genrsa -out rootCA.key 2048
- Если вы хотите зашифровать ключ, выполните команду:
openssl genrsa -out rootCA.key -aes256
- Чтобы создать сертификат, используйте ключ, созданный на предыдущем шаге, и укажите в параметре subj атрибуты Common Name, Country и другие:
openssl req -x509 -key rootCA.key -out rootCA.crt -days 10000 -subj '/CN=MyRootCA.ru/C=RU/L=Moscow/O=My Organization Name/OU=My Organization Unit Name'
- Во время выполнения команды может потребоваться ввести пароль от ключа.
Корневой сертификат будет создан.
Шаг 2. Создайте сертификат для подключения к удаленной рабочей станции
- Сгенерируйте ключ, используя команду:
openssl genrsa -out ktc_rdp_stand.key 2048
- Если вы хотите зашифровать ключ, выполните команду:
openssl genrsa -out rootCA.key -aes256
- Чтобы создать запрос на сертификат, используйте ключ, созданный на предыдущем шаге, и укажите в параметре subj атрибуты Common Name, Country и другие.
openssl req -new -key ktc_rdp_stand.key -out ktc_rdp_stand.csr -subj '/CN= ktc_rdp_test_stand/C=RU/L=Moscow/O=My Organization Name/OU=My Organization Unit Name' -addext "keyUsage = digitalSignature, keyEncipherment, dataEncipherment, cRLSign, keyCertSign" -addext "extendedKeyUsage = serverAuth, clientAuth"
- Подпишите запрос на сертификат созданным ранее корневым сертификатом. Параметр -days может быть любым.
openssl x509 -req -in ktc_rdp_stand.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out ktc_rdp_stand.crt -days 5000
Сертификат для подключения к удаленной рабочей станции будет создан.
