Установка ключей и сертификатов, выпущенных центром сертификации

Для работы SSH-прокси, RDP-прокси и GRPC-сервиса должны применяться ключи и сертификаты. Дистрибутив продукта включает в себя скрипты для генерации и установки самоподписанных ключей и сертификатов.

Требования к ключам и сертификатам

RDP/RDPGW

• Назначение — Server Authentication

• Формат — X.509 (.crt/.pem + .key)

• Алгоритм ключа — RSA 2048/4096, ECDSA или Ed25519

• CN и SAN должны совпадать с FQDN или IP-адресом, по которому подключается клиент

SSH

• Поддерживаемые алгоритмы: RSA, DSA, ECDSA, Ed25519

• Поддерживаемые форматы: PKCS#1, PKCS#8, OpenSSL, OpenSSH

• Используется пара ключей: приватный и публичный

GRPC

• Назначение — установка защищённого TLS соединения между GRPC-клиентами и GRPC-сервисами, входящими в состав PAM

• Формат — X.509 (.crt/.pem + .key)

• Алгоритм ключа — RSA 2048/4096, ECDSA или Ed25519

Размещение ключей и сертификатов

Пути к ключам и сертификатам заданы в конфигурационных файлах:

RDP-прокси

Пути для RDP-прокси задаются в файле конфигурации rdp-proxy — /opt/smartpam/rdp-proxy/config.yaml:

# Сертификат конечного узла:
host_cert_public_path: "/opt/smartpam/assets/rdp/rdp_cert.crt"
# Приватный ключ конечного узла:
host_cert_private_path: "/opt/smartpam/assets/rdp/rdp.key"
# Сертификат прокси-сервера:
gate_cert_public_path: "/opt/smartpam/assets/rdpgw/rdpgw_cert.pem"
# Приватный ключ прокси-сервера:
gate_cert_private_path: "/opt/smartpam/assets/rdpgw/rdpgw.pem"

SSH-прокси

Путь для SSH-прокси задается в файле конфигурации ssh-proxy — /opt/smartpam/ssh-proxy/config.yaml:

# Приватный ключ
host_key_path: "/opt/smartpam/assets/sshproxy/id_rsa"

GRPC-сервер

Пути для GRPC-сервера задаются в нескольких файлах конфигурации:

• Event Processor — /opt/smartpam/event-processor/config.yaml

• Manager — /opt/smartpam/pam-manager/config.yaml

• Session Recorder — /opt/smartpam/session-recorder/config.yaml

• Vault — /opt/smartpam/pam-vault/config.yaml

Пример блока grpc_server:

grpc_server:
  port: :8011
  enable_tls: true
  cert: "/opt/smartpam/assets/grpc/grpc_cert.pem"   # сертификат GRPC
  key: "/opt/smartpam/assets/grpc/grpc.pem"         # ключ GRPC
  secret: "grpc_secret"

Установка RDP-сертификатов

Для подключения к ресурсам удалённого рабочего стола (RDP) через PAM Proxy необходимо установить два сертификата:

• Сертификат прокси-сервера (применяется при установлении соединения по протоколу RDGSP)

• Сертификат конечного узла (предъявляется клиенту внутри RDP-сессии)

Получите необходимые файлы и разместите их в необходимых каталогах:

# Сертификат конечного узла:
/opt/smartpam/assets/rdp/rdp_cert.crt

# Приватный ключ конечного узла:
/opt/smartpam/assets/rdp/rdp.key

# Сертификат прокси-сервера:
/opt/smartpam/assets/rdpgw/rdpgw_cert.pem

# Приватный ключ прокси-сервера:
/opt/smartpam/assets/rdpgw/rdpgw.pem

Установка SSH-ключей

Для работы SSH-прокси используется пара криптографических ключей (приватный и публичный). Ключи генерируются локально с помощью утилиты ssh-keygen.

1. Сгенерируйте пару SSH-ключей:

ssh-keygen -t rsa -f id_rsa

В результате будут созданы:
- Приватный ключ: ``id_rsa``
- Публичный ключ: ``id_rsa.pub``

2. Разместите приватный ключ в служебном каталоге и установите необходимые права доступа:

mkdir -p /opt/smartpam/assets/sshproxy/
mv id_rsa /opt/smartpam/assets/sshproxy/
chmod 600 /opt/smartpam/assets/sshproxy/id_rsa
chown smartpam:smartpam /opt/smartpam/assets/sshproxy/id_rsa

1. Публичный ключ куда-либо устанавливать не требуется.

Установка GRPC-сертификата

Получите необходимые файлы и разместите их в необходимых каталогах:

# Сертификат сервера GRPC:
/opt/smartpam/assets/grpc/grpc_cert.pem

# Приватный ключ сервера GRPC:
/opt/smartpam/assets/grpc/grpc.pem