Общие сведения
SSL-сертификат может быть выпущен:
- через официальный удостоверяющий центр (Certificate Authority - CA);
самостоятельно субъектом системы (самоподписанный сертификат).
Сертификаты, выпущенные удостоверяющим центром. Удостоверяющий центр выпускает сертификат, подтверждая подлинность идентичности владельца ключа, и подписывает его собственной приватной подписью. Такие сертификаты являются доверенными сторонами при взаимодействии между различными узлами или системами в сети.
Самоподписанные сертификаты. Самоподписанные сертификаты выпускаются самим пользователем или организацией без привлечения удостоверяющего центра. В этом случае владелец генерирует свою собственную ключевую пару и подписывает сертификат собственной приватной подписью. Такой способ выпуска сертификатов является быстрым и выгодным, подходит для тестирования системы и локального использования.
Ключ шифрования генерируется в системе FAM.
Критерии для ключевой пары (закрытого и открытого ключей) и сертификата:
- Длина ключа. Длина ключа измеряется в битах и указывает на количество битов в ключе. Более длинные ключи обеспечивают более высокий уровень безопасности, рекомендуется от 2048 бит и выше.
- Алгоритм шифрования. Алгоритм шифрования определяют математические методы, используемые для создания ключей и обеспечения безопасности данных, наиболее распространенные: RSA/ ECC/ DSA.
- Удостоверяющий центр. При использовании не самоподписанного сертификата, удостоверяющий центр, выпускающий сертификат, должен быть надежным и доверенным.
- Срок действия. Сертификат должен иметь ограниченный срок действия. Рекомендуется выбирать срок действия, который соответствует требованиям безопасности, минимизирует риски и удобен для обновления.
Проверка подлинности. Сертификат должен содержать информацию, которая позволяет проверить его подлинность и принадлежность к соответствующей организации или лицу (например, имя организации, доменное имя, электронная почта и другие дополнительные данные).
Ключ сертификата используется для задач:
- подписи JWT-токенов в рамках взаимодействия по OpenID Connect;
- подписи SAML Response в рамках взаимодействия по SAML.
Выпуск самоподписанного сертификата
В ОС должны быть установлены следующие программы:- openssl
(программа управления сертификатами);
Для генерации самоподписанного сертификата cert.pem
и закрытой части key.pem
необходимо:
Перейти в домашнюю папку пользователя и создать директорию для ключей:
cd mkdir .idp && cd .idp
Сгенерировать сертификат и ключ для него:
openssl req -newkey rsa:2048 -new -nodes -x509 -days <Количество дней "жизни" сертификата> -keyout key.pem -out cert.pem