Avanpost FAM/MFA+ : 4.1.2. Выпуск ключа шифрования и сертификата

Общие сведения

SSL-сертификат может быть выпущен:

  • через официальный удостоверяющий центр (Certificate Authority - CA);
  • самостоятельно субъектом системы (самоподписанный сертификат).

Сертификаты, выпущенные удостоверяющим центром. Удостоверяющий центр выпускает сертификат, подтверждая подлинность идентичности владельца ключа, и подписывает его собственной приватной подписью. Такие сертификаты являются доверенными сторонами при взаимодействии между различными узлами или системами в сети. 

Самоподписанные сертификаты. Самоподписанные сертификаты выпускаются самим пользователем или организацией без привлечения удостоверяющего центра. В этом случае владелец генерирует свою собственную ключевую пару и подписывает сертификат собственной приватной подписью. Такой способ выпуска сертификатов является быстрым и выгодным, подходит для тестирования системы и локального использования. 

Ключ шифрования генерируется в системе FAM.

Критерии для ключевой пары (закрытого и открытого ключей) и сертификата:

  • Длина ключа. Длина ключа измеряется в битах и указывает на количество битов в ключе. Более длинные ключи обеспечивают более высокий уровень безопасности, рекомендуется от 2048 бит и выше.
  • Алгоритм шифрования. Алгоритм шифрования определяют математические методы, используемые для создания ключей и обеспечения безопасности данных, наиболее распространенные: RSA/ ECC/ DSA.
  • Удостоверяющий центр. При использовании не самоподписанного сертификата, удостоверяющий центр, выпускающий сертификат, должен быть надежным и доверенным.  
  • Срок действия. Сертификат должен иметь ограниченный срок действия. Рекомендуется выбирать срок действия, который соответствует требованиям безопасности, минимизирует риски и удобен для обновления.
  • Проверка подлинности. Сертификат должен содержать информацию, которая позволяет проверить его подлинность и принадлежность к соответствующей организации или лицу (например, имя организации, доменное имя, электронная почта и другие дополнительные данные).

Ключ сертификата используется для задач:

  • подписи JWT-токенов в рамках взаимодействия по OpenID Connect;
  • подписи SAML Response в рамках взаимодействия по SAML.

Выпуск самоподписанного сертификата

В ОС должны быть установлены следующие программы:
- openssl (программа управления сертификатами);

Для генерации самоподписанного сертификата cert.pem и закрытой части key.pem необходимо:

  1. Перейти в домашнюю папку пользователя и создать директорию для ключей:

    cd
    mkdir .idp && cd .idp
  2. Сгенерировать сертификат и ключ для него:

    openssl req -newkey rsa:2048 -new -nodes -x509 -days <Количество дней "жизни" сертификата> -keyout key.pem -out cert.pem


Обсуждение