brepo
/
cecemaut
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'c2b717bea6'
${ noResults }
cecemaut/docs/UTILS_EXAMPLES.md

140 lines
6.9 KiB
Raw Normal View History Unescape

Initial commit
1 week ago
Сводка утилит для создания сертификатов и управление ими в инфраструктуре центра сертификации
В данной статье представлены краткое описание и примеры использования нескольких полезных утилит, которые помогают автоматизировать процесс создания сертификатов и управления ими в инфраструктуре центра сертификации.
## Утилита `prepare.sh`
### Описание:
Скрипт автоматизирует процесс создания инфраструктуры центра сертификации (ЦС), включая создание директорий, генерацию ключей и сертификатов, а также настройку конфигурационных файлов для корневого и промежуточного ЦА.
### Примеры использования:
1. Запуск скрипта с правами суперпользователя:
```sh
sudo bash prepare.sh
```
## Утилита `make_server_cert.sh`
### Описание:
Генерирует серверные сертификаты для указанных доменов или IP-адресов. Скрипт создает приватный ключ, запрос на подпись сертификата (CSR) и сам сертификат.
### Примеры использования:
1. Генерация серверного сертификата для домена `example1.com` и IP-адреса `192.168.3.145`:
```sh
bash make_server_cert.sh example1.com 192.168.3.145
```
## Утилита `make_client_cert.sh`
### Описание:
Скрипт для создания клиентских сертификатов для указанного сервера и клиента. Генерирует приватный ключ, запрос на сертификат (CSR), подписывает его и выводит информацию о сгенерированном сертификате.
### Примеры использования:
1. Генерация клиентского сертификата для домена `example1.com` и имени пользователя `user1@test.com`, действующего 365 дней:
```sh
bash make_client_cert.sh -s example1.com -c user1@test.com -d 365
```
## Утилита `make_server_revoke.sh`
### Описание:
Позволяет отозвать серверный сертификат для указанного домена или IP-адреса.
### Примеры использования:
1. Отозвать серверный сертификат для домена `brepo.ru`:
```sh
bash make_server_revoke.sh -n 1 brepo.ru
```
## Утилита `make_client_revoke.sh`
### Описание:
Позволяет отозвать клиентский сертификат для указанного сервера и клиента.
### Примеры использования:
1. Отозвать клиентский сертификат для домена `example1.com` и имени пользователя `user2@test.com`:
```sh
bash make_client_revoke.sh -n 1 -s example1.com -c user2@test.com
```
## Утилита `make_app_keys.sh`
### Описание:
Скрипт генерирует беспарольный приватный и публичный ключ с помощью `openssl` и сохраняет их в указанной директории. Это удобно для создания ключей, которые будут использоваться приложениями без необходимости вводить пароль при каждом использовании.
### Примеры использования:
1. Генерация ключей в директории `/etc/ssl/app_keys`:
```sh
bash make_app_keys.sh /etc/ssl/app_keys
```
После выполнения ключи будут доступны как:
- `/etc/ssl/app_keys/caapp.private.key.pem`
- `/etc/ssl/app_keys/caapp.public.key.pem`
## Еще примеры
1. Подготовка инфраструктуры ЦС и генерация серверного и клиентского сертификатов:
```sh
bash prepare.sh
bash make_server_cert.sh example1.com 192.168.5.145
bash make_client_cert.sh -s example1.com -c user1@test.com -d 365
```
2. Отозвать серверный и клиентский сертификаты (все версии):
```sh
bash make_server_revoke.sh brepo.ru
bash make_client_revoke.sh -s example1.com -c user2@test.com
```
Эти утилиты и примеры помогут вам автоматизировать процесс создания сертификатов и управления ими в инфраструктуре центра сертификации.
## Примеры настройки nginx
Как обеспечить доступ к сайту с помощью сертификатов:
Примкр настройки домена, например с репозиторием пакетов `/etc/nginx/conf.d/example1.com.conf`:
```
server {
listen 8081 ssl;
server_name example1.com www.example1.com;
root /var/www/example1.com/html;
index index.html;
location / {
try_files $uri $uri/ =404;
}
access_log /var/log/nginx/example1.com.access.log;
error_log /var/log/nginx/example1.com.error.log debug;
ssl_certificate /database/ca/intermediate/certs/example1.com.cert.pem;
ssl_certificate_key /database/ca/intermediate/private/example1.com.key.pem;
ssl_client_certificate /database/ca/intermediate/certs/ca-chain.cert.pem;
ssl_crl /database/ca/intermediate/crl/ca-full.crl.pem;
ssl_verify_client on;
keepalive_timeout 70;
fastcgi_param SSL_VERIFIED $ssl_client_verify;
fastcgi_param SSL_CLIENT_SERIAL $ssl_client_serial;
fastcgi_param SSL_CLIENT_CERT $ssl_client_cert;
fastcgi_param SSL_DN $ssl_client_s_dn;
}
```
Вызов на строне клиента:
```
curl -k --cert /database/ca/client_certs/example1.com/user2@test.com.cert.pem --key /database/ca/client_certs/example1.com/private/user2@test.com_private.key.pem https://example1.com:8081
```
Или настройка DNF репозитория для доступа к закрытому репозиторию:
```[test]
name = test
enabled = 1
sslverify = 0
gpgcheck = 1
baseurl = https://example1.com:8081
sslclientkey=/database/ca/client_certs/example1.com/private/user2@test.com_private.key.pem
sslclientcert=/database/ca/client_certs/example1.com/user2@test.com.cert.pem
sslcacert=/database/ca/intermediate/certs/ca-chain.cert.pem
```