- 1 Общая информация
- 2 Установка и настройка
- 2.1 Подготовка технологического пользователя в CheckPoint
- 2.2 Подготовка SFTP на сервере CheckPoint
- 2.3 Установка коннектора к CheckPoint ICA
- 2.4 Настройка Удостоверяющего центра в Avanpost PKI
- 2.4.1 Настройка экземпляра УЦ
- 2.4.2 Настройка шаблона сертификата в Avanpost PKI
- 2.4.2.1 Настройка шаблона сертификата CheckPoint ICA в шаблоне сертификата Avanpost PKI
- 2.4.2.2 Настройка Секции DN в шаблоне сертификата Avanpost PKI
- 2.4.2.3 Настройка Секции расширений в шаблоне сертификата Avanpost PKI
- 2.4.2.4 Настройка Параметров закрытого ключа в шаблоне сертификата Avanpost PKI
- 2.4.3 Настройка шаблона приложения в Avanpost PKI
Общая информация
Интеграционное решение Avanpost PKI с CheckPoint ICA является однокомпонентным и состоит из коннектора к CheckPoint ICA:
- Коннектор к CheckPoint ICA - программная библиотека, входящая в состав Avanpost PKI и реализующая программный интерфейс ICA Avanpost PKI. Отвечает за взаимодействие Avanpost PKI Server с сервером CheckPoint ICA по протоколам SSH и SFTP и вызов утилиты командной строки CheckPoint ICA - cpca_client
Функции интеграционного решения
Интеграционное решение Avanpost PKI с CheckPoint ICA реализует выполнение следующих функций по запросу Avanpost PKI:
- Выпуск сертификата;
- Отзыв сертификата
Особенности интеграционного взаимодействия
Интеграционное взаимодействие Avanpost PKI с CheckPoint ICA реализуется вызовом удаленной утилиты командной строки cpca_client и выполнением команд с использованием протокола SSH:
- Выпуск сертификата - выполняется команда cpca_client create_cert
- Отзыв сертификата- выполняется команда cpca_client revoke_cert
Выполнение команды cpca_client create_cert приводит к тому, что CheckPoint ICA создает и ключевую пару, и выпускает сертификат. Результатом выполнения команды является ключевой контейнер в формате PKCS12 (PFX), размещенный в файловой системе ОС.
После выпуска сертификата с использованием протокола SFTP ключевой контейнер импортируется в Avanpost PKI и становится доступным для дальнейшей установки на ключевой носитель или в реестр ОС.
Установка и настройка
Подготовка технологического пользователя в CheckPoint
Создание роли с минимальным набором полномочий для технологического пользователя
Для создания роли в CheckPoint подключитесь к Gaia Portal CheckPoint с правами администратора и выполните следующие действия:
- В разделе "User Management" выберите подраздел "Roles" и нажмите "Add";
- Введите данные новой роли:
- В разделе Features обязательно выберите "Certificate Authority" в режиме "Read/Write";
- В разделе Extended Commands обязательно отметьте активной команду "cpca_client";
- В разделе Features обязательно выберите "Certificate Authority" в режиме "Read/Write";
- Нажмите "OK"
Создание технологического пользователя
Для создания технологического пользователя в CheckPoint подключитесь к Gaia Portal CheckPoint с правами администратора и выполните следующие действия:
- В разделе "User Management" выберите подраздел "Users" и нажмите "Add";
- Введите данные технологического пользователя:
- Обязательно в поле Shell выберите "/bin/bash";
- Обязательно отметьте чек-бокс "Command Line";
- Добавьте пользователю роль, созданную на предыдущем шаге;
- Нажмите "OK"
Подготовка SFTP на сервере CheckPoint
Убедитесь, что на сервере CheckPoint включен SFTP, для этого откройте файл /etc/ssh/sshd_config и проверьте наличие строчки
Subsystem sftp /usr/libexec/openssh/sftp-server
Если строчка отсутствует/закомментирована, добавьте/раскомментируйте, сохраните файл и выполните перезапуск службы sshd:
service sshd restart
Установка коннектора к CheckPoint ICA
Библиотека коннектора к CheckPoint ICA идет в поставке дистрибутива Avanpost PKI (Avanpost.PKI.Server) и не требует дополнительных действий по установке.
Настройка Удостоверяющего центра в Avanpost PKI
Настройка экземпляра УЦ
Для настройки Удостоверяющего центра CheckPoint ICA в Avanpost PKI аутентифицируйтесь в веб-приложении Avanpost PKI Web от имени администратора и перейдите в раздел Настройки - Настройки УЦ:
- Добавьте новый УЦ нажав "Добавить новый УЦ...";
- Введите имя нового УЦ (например, "CheckPoint ICA АО "Аванпост");
- Выберите Тип УЦ - "УЦ CheckPoint ICA";
- Заполните параметры конфигурации коннектора к CheckPoint ICA:
- Строка подключения к УЦ - строка параметров подключения к серверу УЦ, разделенных символом ";":
- Server - DNS-имя или IP-адрес сервера CheckPoint;
- Username - логин технологического пользователя;
- Password - пароль технологического пользователя;
- InitialCommand - команда bash, которая будет выполнена перед выпуском или отзывом сертификата, например, команда mdsenv, которая устанавливает переменные окружения для мульти-доменного сервера (не обязательный параметр, если не указан - команда не будет выполнена);
Пример строки подключения: Server=10.10.180.54;Username=avanpost_pki_system;Password=Qwerty12;InitialCommand=msdenv 10.10.180.54;
Порт на котором запущена служба УЦ (не обязательно) - по умолчанию 18209;
Путь на сервере УЦ куда будет сохранен выпущенный сертификат - укажите домашнюю директорию технологического пользователя;
- ПИН-код на контейнер по умолчанию - укажите ПИН-код, которым будут защищены создаваемые УЦ PFX-файлы;
- Задержка после выпуска сертификатов, в секундах (не обязательно) - задержка в секундах после запуска команды на выпуск сертификата и перед попыткой чтения созданного PFX-файла. Должна определяться исходя из скорости обработки сервером CheckPoint команды cpca_client create_cert и создания PFX-файла. ПО умолчанию - 10 секунд
- Строка подключения к УЦ - строка параметров подключения к серверу УЦ, разделенных символом ";":
- Сохраните настройку УЦ
Настройка шаблона сертификата в Avanpost PKI
Настройка шаблона сертификата CheckPoint ICA в шаблоне сертификата Avanpost PKI
CheckPoint ICA поддерживает возможность выпуска сертификатов различных видов: SIC, USER, IKE, ADMIN_PKG, что определяется ключом -k команды cpca_client create_cert. Для настройки одного из данных шаблонов через Avanpost PKI необходимо в шаблон сертификата в Avanpost PKI добавить информацию о шаблоне CheckPoint ICA в разделе Настройка - Шаблоны сертификатов - УЦ, в поле "Имя шаблона":
Настройка Секции DN в шаблоне сертификата Avanpost PKI
CheckPoint ICA поддерживает только следующие компоненты DN субъекта сертификата:
- CN;
- OU;
- DC;
Задание иных компонентов DN в шаблоне сертификата в Avanpost PKI вызовет ошибку выпуска сертификата на УЦ CheckPoint ICA.
Настройка Секции расширений в шаблоне сертификата Avanpost PKI
Настройка секции расширений в шаблоне сертификата Avanpost PKI не имеет никакого смысла, т.к. все расширения будут созданы УЦ CheckPoint ICA.
Настройка Параметров закрытого ключа в шаблоне сертификата Avanpost PKI
В разделе Параметры закрытого ключа в настройке шаблона сертификата Avanpost PKI в обязательном порядке укажите:
- Алгоритм подписи - RSA;
- Криптопровайдер - MS RSA;
Другие параметры не поддерживаются УЦ CheckPoint ICA.
Параметры "Размер ключа" и "Имя контейнера" будут определены самим УЦ CheckPoint ICA.
Настройка шаблона приложения в Avanpost PKI
При настройке шаблона приложения и добавлении в него шаблона сертификата, относящегося к УЦ CheckPoint ICA обязательным к выбору является параметр "Генерация на сервере" т.к. непосредственное создание ключей выполняется на сервере CheckPoint IC.